Norma
20/12/2023
#73756

Instrução Normativa BCB N° 443

Estabelece regras e calendário para controle da alteração do perfil de segurança do Open Finance.

Cosif - Contas direcionamento microcrédito - Cta

INSTRUÇÃO NORMATIVA BCB Nº 443, DE 20 DE DEZEMBRO DE 2023

Divulga regras e calendário para pontos de controle do processo de alteração do perfil de segurança do Open Finance.

Os Chefes do Departamento de Supervisão de Cooperativas e de Instituições Não Bancárias (Desuc) e do Departamento de Supervisão Bancária (Desup), no uso da atribuição que lhes confere o artigo 23, inciso I, alínea "a" do Regimento Interno do Banco Central do Brasil, anexo à Resolução BCB 340, de 21 de setembro de 2023, com base nos artigos 46, inciso II e 51, incisos IX e XI, ambos da Resolução Conjunta nº 1, de 04 de Maio de 2020.

                        R E S O L V E M :

Art. 1º  Esta Instrução Normativa divulga regras e calendário para pontos de controle de uma etapa do processo de alteração do perfil de segurança do Open Finance, que, em atendimento à Instrução Normativa BCB 305, de 15 de setembro de 2022, estabelece as diretrizes de segurança e interoperabilidade que devem ser aplicadas às APIs (Applications Programming Interface) do Open Finance.

Art. 2º Em uma das etapas do cronograma de implementação de criação do novo perfil de segurança, conforme estabelecido pela Estrutura de Governança do Open Finance, deverão ser realizados os DCMs (Dynamic Client Management), na qual, de forma bilateral, as Instituições informam os padrões utilizados e reconhecidos por cada Instituição. Esse passo é crítico para a adequada interoperabilidade do Open Finance e deverá obedecer às regras e pontos de controle estabelecidos nesta Instrução Normativa.

Art. 3º A etapa mencionada no parágrafo anterior se encerra em 14/4/2024 e deve ser observada por todos os participantes ativos no Open Finance.

Marcos de DCM a serem cumpridos por participantes relevantes

Art. 4º Em seus papéis de iniciadora/receptora, as instituições e os conglomerados relacionados nos arts. 8º e 9º devem respeitar os marcos estabelecidos no art. 5º para realização de DCM com as principais marcas das Instituições relacionadas no art. 10.

I – Todas as Instituições listadas no art. 10 devem ser objeto de DCM que integre as métricas do art. 5º. No entanto, cada iniciadora/receptora poderá usar critério próprio para identificar as principais marcas das Instituições detentoras/transmissoras. Contudo, marcas com DCR (Dynamic Client Registration), que representa o primeiro registro bilateral, ocorrido em 2024 devem ser incluídas no cronograma.

Art. 5º O processo de DCM pelos participantes listados nos arts. 8º e 9º deverá seguir o seguinte cronograma:

Data

Descrição

26/3/2024

Concluir com êxito 10% dos DCMs previstos no art. 4º.

27/3/2024

Realizar testes comprovatórios dos DCMs considerados para atingir a meta de 26/3/2023.

1/04/2024

Concluir com êxito 30% dos DCMs previstos no art. 4º.

2/4/2024

Realizar testes comprovatórios dos DCMs considerados para atingir a meta de 1/4/2024

4/4/2024

Concluir com êxito 70% dos DCMs previstos no art. 4º.

5/4/2024

Realizar testes comprovatórios dos DCMs considerados para atingir a meta de 4/4/2024

9/4/2024

Concluir com êxito 95% dos DCMs previstos no art. 4º.

10/4/2024

Realizar testes comprovatórios dos DCMs considerados para atingir a meta de 9/4/2024

11/4/2024

Concluir com êxito 100% dos DCMs previstos no art. 4º.

12/4/2024

Realizar testes comprovatórios de 100% dos DCMs previstos no art. 4º.

 

Art. 6º  Para a realização de testes comprobatórios, após cada DCM realizado com sucesso:

I – Caso a iniciadora tenha condições técnicas, deverá validar se a jornada continua operacional e se é possível realizar uma iniciação de pagamento com sucesso;

II – Caso a receptora tenha condições técnicas, deverá validar se a jornada continua operacional;

III – A receptora deverá validar se é possível consumir dados de consentimentos ativos;

IV – Evidências desses testes devem ser mantidas à disposição do Banco Central do Brasil.

Art. 7º  Caso seja realizado um novo DCM com perfil antigo para marca já computada como sucesso nos marcos estabelecidos no art. 5º, a marca deve ser desconsiderada nos marcos seguintes, até que volte a ser realizado DCM com o novo perfil de segurança.

Art. 8º  As iniciadoras e/ou receptoras que devem respeitar os marcos estabelecidos no art. 5º são os conglomerados e instituições listadas abaixo:

I - Banco do Brasil;

II – Bradesco;

III – Itaú;

IV - Mercado Pago;

V - Nu Pagamentos;

VI – PicPay;

VII – Santander;

VIII - U4C.

Art. 9º  Se, ao final de fevereiro de 2024, houver outras Instituições relevantes (95% do estoque dos consentimentos ativos para compartilhamento de dados e/ou 95% das transações iniciadas) também estarão sujeitas a esse cronograma e serão individualmente contatadas pela Supervisão do Banco Central, até 11/03/2024.

Art. 10.  As detentoras e/ou transmissoras que devem ser consideradas para fins do estabelecido no art. 4º são:

I - Banco do Brasil;

II – Bradesco;

III – CAIXA;

IV - C6;

V – Itaú;

VI - Mercado Pago;

VII - Nu Pagamentos;

VIII – PicPay;

IX – Santander.

Art. 11.  A relação de detentoras/transmissoras não será complementada com outras instituições.

Metas de atendimento de tickets

Art. 12. No período de 25/03/2024 a 14/04/2024, devem ser formalizados no service desk tickets relativos a:

I - Incidentes nos DCR/DCMs;

II - Incidentes com suspeita de que sejam desdobramentos dos DCR/DCMs. São exemplos de cenários possíveis de enquadramento nesse item erros generalizados de token inválido e escopo inválido que não ocorriam antes dos referidos DCR/DCMs;

Art. 13. Os tickets relacionados no art. 12:

Art. 13.  Os tickets mencionados no art. 12: (Redação dada pela Instrução Normativa BCB nº 457, de 19/3/2024.)

I - Referentes a DCMs que integrem os marcos do art. 4º devem ser classificados na categoria mais adequada, mas reclassificados para indisponibilidade, com meta de atendimento de incidentes com indisponibilidade, nos termos da IN BCB 359, de 3 de março de 2023;

I - Referentes a DCR/DCMs referidos no art. 4º, devem ser classificados na categoria mais adequada, mas terem sua meta de atendimento redefinida para um prazo máximo de 1 dia útil; (Redação dada pela Instrução Normativa BCB nº 457, de 19/3/2024.)

II - Não enquadráveis nos marcos do art. 4º devem ser classificados na categoria mais adequada, mas reclassificados para degradação de qualidade de serviço, com meta de atendimento de incidentes que não causem indisponibilidade de serviços com tipo de incidente degradação de qualidade de serviço nos termos da IN BCB 359/2023;

II - Não enquadráveis nos termos do art. 4º, devem ser classificados na categoria mais adequada, mas terem sua meta de atendimento redefinida para um prazo máximo de 2 dias úteis; (Redação dada pela Instrução Normativa BCB nº 457, de 19/3/2024.)

III - Deverão ter as solicitações de reclassificação para tipos de incidente com meta de atendimento com prazo máximo superior ao estabelecido nesta Instrução Normativa negadas;

IV - Se a instituição que abriu o ticket identificar que a causa do erro está na implementação sob sua responsabilidade ou na eventualidade de decisão de implementação de solução de contorno na implementação sob sua responsabilidade, o ticket deve ser atualizado e encerrado no mesmo dia.

Art. 14.  Esta Instrução Normativa entra em vigor em 01 de fevereiro de 2024.

 

 

 

                        Harold Paquete Espínola Filho                                                      Belline Santana

                        Chefe do Departamento de Supervisão de                                 Chefe do Departamento de

                        Cooperativas e de Instituições Não Bancárias                            Supervisão Bancária



NOTA TÉCNICA

 

 

A presente Nota Técnica fundamenta proposta de edição de instrução normativa, que estabelece regras e calendário para pontos de controle do processo de alteração do perfil de segurança do Open Finance, conforme previsto nos artigos 46, inciso II e 51, incisos IX e XI, ambos da Resolução Conjunta nº 1, de 04 de Maio de 2020.

 

2.                    Em atendimento ao previsto no art. 5º da Lei nº 13.874, de 20 de setembro de 2019, o Decreto nº 10.411, de 30 de junho de 2020, determina que as propostas de atos normativos de interesse geral de agentes econômicos formuladas por órgãos e entidades da administração pública federal direta, autárquica e fundacional, bem como por colegiados por meio do órgão ou da entidade encarregada de lhe prestar apoio administrativo, sejam precedidas de Análise de Impacto Regulatório (AIR).

 

3.                    No entanto, vale destacar que a proposta de divulgação de regras e calendário para pontos de controle do processo de alteração do perfil de segurança do Open Finance não causa impactos significativos para o conjunto e instituições participantes do Open Finance por tratar-se da definição de regras e pontos de controle a calendário já estabelecido. Nesse sentido, de acordo com o art. 4º, inciso III, do referido Decreto, o ato normativo ora proposto fica dispensado de elaboração de AIR por ser considerado de baixo impacto.

 

À consideração de V.Sa.

 

 

 

Rodrigo Monteiro

Chefe Adjunto do Departamento de Supervisão de

Cooperativas e de Instituições Não Bancárias

 

Ricardo Seviere Zeni

Chefe Adjunto do Departamento de

Supervisão Bancária

 

De acordo.

 

 

 

Harold Paquete Espínola Filho

Chefe do Departamento de Supervisão de

Cooperativas e de Instituições Não Bancárias

 

 

Belline Santana

Chefe do Departamento de

Supervisão Bancária

 

Perguntas e respostas

Quais instituições devem respeitar os marcos de DCM estabelecidos na Instrução Normativa BCB Nº 443?
As instituições incluem Banco do Brasil, Bradesco, Itaú, Mercado Pago, Nu Pagamentos, PicPay, Santander e U4C.
Qual é a base normativa para a Instrução Normativa BCB Nº 443?
A base normativa inclui o artigo 23, inciso I, alínea 'a' do Regimento Interno do Banco Central do Brasil, anexo à Resolução BCB 340, de 21 de setembro de 2023, e os artigos 46, inciso II e 51, incisos IX e XI, ambos da Resolução Conjunta nº 1, de 04 de Maio de 2020.
Quais são as detentoras e/ou transmissoras que devem ser consideradas para fins do estabelecido no art. 4º da Instrução Normativa BCB Nº 443?
As detentoras e/ou transmissoras incluem Banco do Brasil, Bradesco, CAIXA, C6, Itaú, Mercado Pago, Nu Pagamentos, PicPay e Santander.
Quando entra em vigor a Instrução Normativa BCB Nº 443?
A Instrução Normativa entra em vigor em 1 de fevereiro de 2024.
Quais são os marcos de DCM a serem cumpridos pelos participantes relevantes?
Os marcos incluem:
  • 26/3/2024: Concluir com êxito 10% dos DCMs.
  • 1/4/2024: Concluir com êxito 30% dos DCMs.
  • 4/4/2024: Concluir com êxito 70% dos DCMs.
  • 9/4/2024: Concluir com êxito 95% dos DCMs.
  • 11/4/2024: Concluir com êxito 100% dos DCMs.
O que são DCMs no contexto do Open Finance?
DCMs (Dynamic Client Management) são processos bilaterais onde as instituições informam os padrões utilizados e reconhecidos por cada instituição, sendo críticos para a interoperabilidade do Open Finance.
Quais departamentos do Banco Central do Brasil estão envolvidos na Instrução Normativa BCB Nº 443?
Os departamentos envolvidos são o Departamento de Supervisão de Cooperativas e de Instituições Não Bancárias (Desuc) e o Departamento de Supervisão Bancária (Desup).
Quais são as metas de atendimento de tickets no período de 25/03/2024 a 14/04/2024?
Devem ser formalizados tickets relativos a:
  • Incidentes nos DCR/DCMs.
  • Incidentes com suspeita de desdobramentos dos DCR/DCMs, como erros generalizados de token inválido e escopo inválido.
O que estabelece a Instrução Normativa BCB 305, de 15 de setembro de 2022?
A Instrução Normativa BCB 305, de 15 de setembro de 2022, estabelece as diretrizes de segurança e interoperabilidade que devem ser aplicadas às APIs (Applications Programming Interface) do Open Finance.
Por que a proposta de divulgação de regras e calendário para pontos de controle do Open Finance está dispensada de AIR?
A proposta está dispensada de AIR por ser considerada de baixo impacto, conforme art. 4º, inciso III, do Decreto nº 10.411, de 30 de junho de 2020.
O que é a Análise de Impacto Regulatório (AIR) e quando é necessária?
A Análise de Impacto Regulatório (AIR) é exigida pelo Decreto nº 10.411, de 30 de junho de 2020, para propostas de atos normativos de interesse geral de agentes econômicos formuladas por órgãos e entidades da administração pública federal direta, autárquica e fundacional.
Qual é o prazo para a conclusão da etapa de DCMs mencionada na Instrução Normativa BCB Nº 443?
A etapa de DCMs deve ser concluída até 14 de abril de 2024.
O que é a Instrução Normativa BCB Nº 443?
A Instrução Normativa BCB Nº 443, de 20 de dezembro de 2023, divulga regras e calendário para pontos de controle do processo de alteração do perfil de segurança do Open Finance.