Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 06/10/2023 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023100600112
112
Nº 192, sexta-feira, 6 de outubro de 2023
ISSN 1677-7042
Seção 1
DIRETORIA COLEGIADA
RESOLUÇÃO BCB Nº 343, DE 4 DE OUTUBRO DE 2023
Dispõe sobre as medidas necessárias à execução do
compartilhamento de dados e informações sobre
indícios
de fraudes
de que
trata a
Resolução
Conjunta nº 6, de 23 de maio de 2023.
A Diretoria Colegiada do Banco Central do Brasil, em sessão realizada em 4 de
outubro de 2023, na forma do art. 9º da Lei nº 4.595, de 31 de dezembro de 1964, com
base nos arts. 9º-A da Lei nº 4.728, de 14 de julho de 1965, 9º, inciso II, da Lei nº 12.865,
de 9 de outubro de 2013, e tendo em vista o disposto no art. 9º da Resolução Conjunta
nº 6, de 23 de maio de 2023, resolve:
CAPÍTULO I
DO OBJETO E DO ÂMBITO DE APLICAÇÃO
Art. 1º Esta Resolução dispõe sobre as medidas necessárias à execução do
compartilhamento dos dados e das informações sobre indícios de fraudes de que trata a
Resolução Conjunta nº 6, de 23 de maio de 2023, a serem observadas pelas instituições
financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo
Banco Central do Brasil.
Parágrafo único. O disposto nesta Resolução não se aplica às administradoras
de consórcio.
CAPÍTULO II
DO ESCOPO MÍNIMO DOS DADOS
E DAS INFORMAÇÕES A SEREM
R EG I S T R A D O S
Art. 2º As instituições mencionadas no art. 1º devem considerar para o registro
dos dados e das informações de que trata o art. 2º, § 1º, inciso I, da Resolução Conjunta
nº 6, de 2023, no mínimo, os indícios de ocorrências ou de tentativas de fraudes nas
seguintes atividades executadas pelas instituições:
I - abertura de conta de depósitos ou de conta de pagamento;
II - prestação de serviço de pagamento, observado o disposto no § 1º;
III - manutenção de conta de depósitos ou de conta de pagamento; e
IV - contratação de operação de crédito.
§ 1º A prestação do serviço de pagamento de que trata o inciso II do caput contempla:
I - transferências entre contas na própria instituição;
II - Transferência Eletrônica Disponível (TED);
III - transações de pagamento com emprego de cheque;
IV - transações de pagamento instantâneo (Pix);
V - transferências por meio de Documento de Crédito (DOC);
VI - boletos de pagamento; e
VII - saques de recursos em espécie.
§ 2º O registro de que trata o caput não se aplica aos dados e às informações
sigilosos, nos termos de legislação especial, relacionados a indícios da prática dos crimes de
"lavagem" ou ocultação de bens, direitos e valores e de financiamento do terrorismo,
conforme disposto no art. 2º, § 7º, da Resolução Conjunta nº 6, de 2023.
Art. 3º Os dados e as informações a serem registrados de que trata o art. 2º,
§ 2º, da Resolução Conjunta nº 6, de 2023, devem conter, no mínimo, o seguinte
detalhamento:
I - identificação de quem, segundo os indícios disponíveis, teria executado ou
tentado executar a fraude, quando aplicável:
a) nome completo e número no Cadastro de Pessoas Físicas (CPF); ou
b) razão social, número no Cadastro Nacional da Pessoa Jurídica (CNPJ), nome
fantasia e, quando disponível, CPF dos representantes legais;
II - descrição dos indícios da ocorrência ou da tentativa de fraude:
a) data de execução do indício da ocorrência ou da tentativa de fraude;
b) horário de execução do indício da ocorrência ou da tentativa de fraude,
quando disponível;
c) local de execução do indício da ocorrência ou da tentativa de fraude, quando disponível;
d) atividade relacionada ao indício da ocorrência ou da tentativa de fraude de
que trata o caput do art. 2º;
e) valor da transação de pagamento, caso a atividade de que trata a alínea "d"
deste inciso refira-se à prestação de serviço de pagamento;
f) valor contratado, caso a atividade de que trata a alínea "d" deste inciso
refira-se à contratação de operação de crédito;
g) descrição da causa ou procedimento que ensejou o indício da ocorrência ou
da tentativa de fraude relacionado à atividade mencionada na alínea "d" deste inciso,
quando disponível;
h) forma de interação ou canal utilizado para a execução do indício da
ocorrência ou da tentativa de fraude, quando disponível;
i) identificação do dispositivo eletrônico utilizado na execução do indício da
ocorrência ou da tentativa de fraude, quando disponível;
j) indicação se houve ou não a atuação do cliente no indício da ocorrência ou
da tentativa de fraude, observado o disposto no § 3º; e
k) especificação quanto a tratar-se de indício de ocorrência ou de indício de
tentativa de fraude;
III - identificação da instituição responsável pelo registro dos dados e das informações:
a) nome da instituição; e
b) CNPJ da instituição; e
IV - identificação dos dados da conta destinatária e de seu titular, caso a
atividade de que trata a alínea "d" do inciso II do caput refira-se à prestação de serviço de
pagamento contemplando a transferência ou pagamento de recursos:
a) identificador da instituição;
b) código da agência, se houver;
c) número da conta;
d) tipo da conta; e
e) identificação do(s) titular(es) da conta destinatária dos recursos:
1. nome completo e CPF; ou
2. razão
social, CNPJ,
nome fantasia
e, quando
disponível, CPF
dos
representantes legais.
§ 1º O detalhamento do disposto na alínea "d" do inciso II do caput:
I - não afasta a necessidade de a instituição descrever a causa ou o
procedimento que ensejou o indício de ocorrência ou de tentativa de fraude, de que trata
a alínea "g" do inciso II do caput, quando disponível; e
II - inclui a identificação do serviço de pagamento conforme o disposto no § 1º
do art. 2º, caso a atividade de que trata a alínea "d" do inciso II do caput refira-se à
prestação de serviço de pagamento.
§ 2º O tipo da conta de que trata a alínea "d" do inciso IV do caput abrange
conta de depósito à vista, conta de depósito de poupança ou conta de pagamento pré-
paga, nos termos da regulamentação vigente.
§ 3º A atuação do cliente de que trata a alínea "j" do inciso II do caput, apurada
pela instituição mencionada no art. 1º, independe de ter sido induzida ou não por terceiros.
CAPÍTULO III
DAS MEDIDAS PARA O COMPARTILHAMENTO DE DADOS E INFORMAÇÕES
SOBRE INDÍCIOS DE FRAUDES
Seção I
Do prazo para registro dos dados e das informações e para a declaração de
conformidade
Art. 4º Os procedimentos operacionais para o compartilhamento de dados e de
informações de que trata o art. 2º da Resolução Conjunta nº 6, de 2023, devem
contemplar o registro de dados e de informações sobre indícios de ocorrências ou de
tentativas de fraudes em, no máximo, 24 (vinte e quatro) horas contadas do momento da
identificação pelas instituições mencionadas no art. 1º do indício de ocorrência ou de
tentativa de fraude em suas atividades.
Parágrafo único. O prazo máximo mencionado no caput aplica-se, também, à
alteração e à exclusão dos dados e das informações registrados sobre indícios de
ocorrências ou de tentativas de fraudes, contado do momento da identificação, pela
instituição, da necessidade de alteração ou de exclusão desses dados e dessas
informações.
Art. 5º O sistema eletrônico de que trata o art. 2º, § 1º, da Resolução Conjunta
nº 6, de 2023, deve dispor de funcionalidade para permitir que as instituições mencionadas
no art. 1º efetuem a declaração de conformidade, até o dia 15 (quinze) de cada mês:
I - do registro dos dados e das informações sobre indícios de ocorrências ou de
tentativas de fraudes do mês anterior; ou
II - da inexistência de indício de ocorrência ou de tentativa de fraude no mês
anterior.
§ 1º A declaração de conformidade de que trata o caput deve ser documentada
pelas instituições mencionadas no art. 1º.
§ 2º O disposto no inciso I do caput contempla as alterações e as exclusões dos
dados e das informações registrados sobre indícios de ocorrências ou de tentativas de fraudes.
Seção II
Da interoperabilidade entre sistemas eletrônicos
Art. 6º Para assegurar a interoperabilidade com outros sistemas eletrônicos
implementados em atendimento ao disposto na Resolução Conjunta nº 6, de 2023, quando
existentes, as instituições devem adotar, no mínimo, as seguintes medidas:
I - disponibilizar leiautes padronizados dos arquivos, regras, procedimentos, tecnologias
e demais recursos necessários para a troca de informações entre sistemas eletrônicos;
II - manter a unicidade do registro de dados e de informações sobre indícios de
ocorrências ou de tentativas de fraudes de que trata o art. 2º, § 1º, inciso I, da Resolução
Conjunta nº 6, de 2023;
III - garantir a troca de informações necessárias à identificação do sistema
eletrônico que armazena o registro único de que trata o inciso II; e
IV - prover o acesso seguro aos dados e informações armazenados no sistema
eletrônico identificado nos termos do inciso III.
§ 1º O disposto no inciso I do caput deve ser documentado.
§ 2º A unicidade do registro de dados e de informações mencionada no inciso II
do caput requer o registro, pela mesma instituição, de dados e de informações sobre indícios
de ocorrências ou de tentativas de fraude exclusivamente em um sistema eletrônico.
Seção III
Dos requisitos para a contratação do serviço de compartilhamento de dados e informações
Art. 7º As instituições mencionadas no art. 1º, caso exerçam a faculdade de que
trata o art. 10, devem assegurar que o contrato para prestação de serviço de
compartilhamento de dados e informações:
I - discrimine os valores cobrados pela prestação do serviço, de acordo com as
funcionalidades a serem utilizadas;
II - descreva os critérios para a definição dos valores de que trata o inciso I do caput;
III - proveja estimativa de custos para funcionalidades cujos valores não possam
ser definidos no momento da celebração do contrato; e
IV - especifique eventuais funcionalidades cujos valores não serão cobrados,
quando aplicável.
Seção IV
Dos requisitos técnicos de segurança
Art. 8º Os requisitos técnicos de segurança para funcionamento do sistema
eletrônico de que trata o art. 2º, § 1º, da Resolução Conjunta nº 6, de 2023, contemplam:
I - a autenticação, buscando identificar a instituição que realizou o acesso às
funcionalidades do referido sistema;
II - a criptografia dos dados e das informações recuperados, em decorrência do
acesso de que trata o inciso I do caput, quando aplicável;
III - a execução, no mínimo anual, de testes de intrusão; e
IV - o estabelecimento de mecanismos que permitam a rastreabilidade do
acesso aos dados e às informações.
§ 1º Os testes de intrusão de que trata o inciso III do caput devem ser
realizados com independência e imparcialidade por pessoa natural ou jurídica especializada
contratada para essa finalidade.
§ 2º As vulnerabilidades identificadas nos testes de intrusão de que trata o
inciso III do caput devem ser documentadas e tempestivamente tratadas.
§ 3º A implementação dos requisitos de segurança de que trata este artigo
deve ser compatível com a política de segurança cibernética da instituição, prevista na
regulamentação em vigor.
Seção V
Dos parâmetros sobre acordos de níveis de serviço
Art. 9º O detalhamento dos parâmetros sobre acordos de níveis de serviço na
execução das funcionalidades do sistema eletrônico de que trata o inciso III do art. 9º da
Resolução Conjunta nº 6, de 2023, deve contemplar, no mínimo:
I - disponibilidade anual do sistema eletrônico em produção de, no mínimo,
99,8% (noventa e nove inteiros e oito décimos por cento);
II - tempo de recuperação objetivado para o sistema eletrônico de, no máximo,
2 (duas) horas;
III - tempo de resposta às consultas realizadas pelas instituições mencionadas
no art. 1º aos dados e às informações registrados no sistema eletrônico; e
IV - tempo de resposta às consultas realizadas por outros sistemas eletrônicos
aos dados e às informações registrados no sistema eletrônico para fins de atendimento à
interoperabilidade de que trata o art. 6º, quando aplicável.
Parágrafo único. A documentação a respeito dos parâmetros sobre acordos de
níveis de serviço deve conter:
I - os dados e as informações que subsidiem a apuração da disponibilidade do
sistema eletrônico e do tempo de recuperação dispostos nos incisos I e II do caput; e
II - os dados, as informações e os parâmetros que promovam a eficiência na
definição dos tempos de resposta às consultas de que tratam os incisos III e IV do caput,
quando aplicável.
CAPÍTULO IV
DISPOSIÇÕES GERAIS
Art. 10. As instituições mencionadas no art. 1º são responsáveis pela
observância das medidas dispostas nesta Resolução, inclusive ao exercer a faculdade de
contratar empresa para a prestação do serviço de compartilhamento de dados e
informações, nos termos do art. 5º da Resolução Conjunta nº 6, de 2023.
Art. 11. As instituições mencionadas no art. 1º devem instituir mecanismos de
acompanhamento e de controle com vistas a assegurar a efetividade do cumprimento do
disposto nesta Resolução, de forma compatível com o disposto no art. 7º da Resolução
Conjunta nº 6, de 2023.
Art. 12. As instituições mencionadas no art. 1º devem manter à disposição do
Banco Central do Brasil, por 5 (cinco) anos:
I - a documentação sobre a declaração de conformidade de que trata o art. 5º,
§ 1º, contado o prazo referido neste artigo a partir da realização da referida
conformidade;
II - a documentação de que trata o art. 6º, § 1º, contado o prazo referido neste
artigo a partir das últimas atualizações das referidas documentações;
III - o contrato de que trata o art. 7º, contado o prazo referido no caput a partir
da extinção do contrato;
IV - os resultados dos testes de intrusão de que trata o art. 8º, caput, inciso III,
contado o prazo referido neste artigo a partir da entrega dos resultados dos referidos testes;
V - a documentação a respeito dos acordos de níveis de serviço de que trata o
art. 9º, parágrafo único, contado o prazo referido neste artigo a partir da última
atualização da referida documentação; e
VI - os dados, os registros e as informações relativos à aplicação dos
mecanismos de acompanhamento e de controle de que trata o art. 11, contado o prazo
referido neste artigo a partir de cada aplicação dos citados mecanismos.
Art. 13. As instituições mencionadas no art. 1º devem implementar o disposto
nos arts. 5º e 9º desta Resolução até 1º de fevereiro de 2024.
Art. 14. Esta Resolução entra em vigor em 1º de novembro de 2023.
OTÁVIO RIBEIRO DAMASO
Diretor de Regulação

Fechar