Altera procedimentos para registro no Unicad de empresas contratadas para compartilhamento de dados sobre indícios de fraudes.
A IN BCB nº 590/2025 cria comandos pontuais, mas relevantes, para registro no Unicad do serviço de compartilhamento de dados e informações sobre indícios de fraudes.
📌 Inclui procedimento de registro da empresa contratada no módulo Vínculos, opção Inclusão.
⚠️ Exige atenção ao prazo de até dez dias e aos campos mínimos do registro.
🧾 Também exige registro quando a instituição optar pela não contratação, usando seu próprio CNPJ nos campos indicados.
A Instrução Normativa BCB nº 590/2025 é uma norma alteradora. Ela não cria um regime autônomo amplo, nem substitui integralmente a disciplina cadastral do Unicad. Seu efeito principal é inserir, na Instrução Normativa BCB nº 330/2022, uma seção específica sobre o registro de empresa contratada para a prestação do serviço de compartilhamento de dados e informações sobre indícios de fraudes.
A curadoria foi construída como retrato do documento-fonte. Por isso, o pacote não replica todos os procedimentos já existentes na IN BCB nº 330/2022 e não consolida alterações posteriores. O foco recai sobre os comandos novos introduzidos pela IN BCB nº 590/2025: registrar a contratação no Unicad, preencher campos mínimos, tratar a hipótese de não contratação e observar o prazo de até dez dias para o registro.
A norma tem impacto operacional concentrado, mas relevante. Ela liga o processo de contratação ou não contratação do serviço antifraude a uma obrigação cadastral perante o Banco Central. Isso exige que a instituição não trate o tema apenas como contratação de tecnologia, segurança, prevenção a fraude ou infraestrutura de dados. A partir do documento-fonte, o evento precisa chegar ao fluxo de cadastro regulatório no Unicad.
O documento altera a IN BCB nº 330/2022, que consolida procedimentos para o registro de informações cadastrais no Sistema de Informações sobre Entidades de Interesse do Banco Central. A IN BCB nº 590/2025 inclui a Seção VIII, intitulada como seção de registro de empresa contratada para a prestação do serviço de compartilhamento de dados e informações sobre indícios de fraudes, e acrescenta o Art. 10-C à norma alterada.
A técnica normativa usada é simples: a IN BCB nº 590/2025 introduz uma nova redação na norma-base e define sua própria vigência. Como norma alteradora, ela deve ser lida como fonte dos comandos que adiciona. Para fins de produto, isso significa que o pacote deve criar requisitos apenas para os comandos operacionais nascidos da alteração, e não para todo o regime de Unicad ou para toda a disciplina de compartilhamento de indícios de fraudes prevista em normas citadas.
A ementa, o preâmbulo e as referências às competências internas do Banco Central foram mantidos como contexto de identificação e referência normativa, mas não geraram requisitos empresariais próprios. A razão é que esses trechos não impõem, por si só, uma ação verificável às instituições. Eles ajudam a entender o fundamento da norma, mas o comando operacional aparece no Art. 10-C.
O comando do Art. 10-C trata da contratação de empresa para a prestação do serviço de compartilhamento de dados e informações sobre indícios de fraudes, prevista no art. 5º da Resolução Conjunta nº 6/2023. O texto do próprio dispositivo menciona o CNPJ da instituição financeira contratante como um dos campos do registro. Ao mesmo tempo, a norma remete a um regime de compartilhamento de indícios de fraudes e a normas de segurança cibernética que alcançam instituições financeiras e instituições de pagamento, conforme o enquadramento regulatório aplicável.
A segmentação adotada no pacote usa as categorias disponíveis para instituições financeiras e instituições de pagamento. Essa é uma aproximação operacional boa para roteamento inicial, mas há uma limitação relevante: o universo regulatório do Banco Central pode incluir outras instituições autorizadas que não estejam representadas por uma categoria única no dicionário de segmentação. Por isso, a análise de aplicabilidade deve ser validada quando a empresa for instituição autorizada pelo Banco Central, mas não se enquadrar claramente nas duas categorias principais usadas no roteamento.
Administradoras de consórcio e outras entidades do setor financeiro não devem receber automaticamente o requisito apenas por atuarem em vertical adjacente. A aplicabilidade deve nascer do enquadramento no regime de compartilhamento de indícios de fraudes e da contratação ou não contratação do serviço tratado pelo Art. 10-C.
O primeiro comando material é o registro da contratação de empresa no Unicad. A norma indica expressamente o módulo “Vínculos” e a opção “Inclusão”. Esse ponto é importante porque reduz a incerteza operacional sobre onde o registro deve ocorrer e sobre o tipo de artefato esperado. Não se trata apenas de guardar o contrato internamente; há uma ação cadastral em sistema regulatório.
O segundo comando material é o preenchimento dos campos mínimos. O registro deve conter o CNPJ da instituição contratante, o CNPJ da empresa contratada, a data de início da prestação do serviço, a data de fim quando houver e observações quando necessário. Esses campos foram absorvidos no requisito de registro da contratação, porque fazem parte do mesmo processo operacional e não exigem uma obrigação independente. A ausência ou incorreção desses dados, contudo, pode comprometer a evidência de cumprimento.
O terceiro comando material é a hipótese de não contratação. A norma não permite que a instituição simplesmente deixe de registrar algo quando não contratar empresa para o serviço. Caso opte pela não contratação, ela deve informar seu próprio CNPJ nos campos normalmente relacionados à instituição contratante e à empresa contratada. Essa hipótese foi tratada como requisito separado, porque muda o gatilho, o conteúdo do registro e a evidência esperada.
O quarto comando material é o prazo. O registro deve ser realizado até dez dias após a contratação dos serviços ou no caso de não contratação do serviço. O pacote tratou esse prazo como gatilho por evento, e não como recorrência. Não há periodicidade mensal, anual ou calendário fixo na IN BCB nº 590/2025; há um prazo vinculado ao evento de contratação ou à hipótese de não contratação.
O impacto mais direto recai sobre o fluxo de cadastro regulatório no Unicad. A instituição deve conseguir identificar o evento de contratação do serviço antifraude e convertê-lo em registro cadastral tempestivo. Isso exige integração entre áreas que, muitas vezes, operam com rotinas separadas: contratação de fornecedores, tecnologia, segurança da informação, prevenção a fraudes, compliance regulatório e equipes que efetivamente acessam o Unicad.
Para compliance, o ponto crítico é criar um gatilho claro. Sempre que houver contratação de empresa para esse serviço, ou opção documentada pela não contratação, o fluxo de registro deve ser acionado. Uma falha comum seria a contratação ser conhecida pela área de tecnologia ou segurança, mas não chegar à equipe responsável pelo cadastro regulatório. Outra falha possível seria a área entender que a não contratação dispensa qualquer ação, quando a norma exige registro com CNPJ próprio nos dois campos.
Para tecnologia e segurança da informação, a norma funciona como ponto de conexão entre o arranjo operacional de prevenção a fraudes e a evidência regulatória. O contrato, o início da prestação, eventual término e a identificação da empresa contratada devem estar coerentes com o registro no Unicad. Quando houver alterações contratuais relevantes, a instituição deve avaliar se o cadastro permanece aderente, ainda que a IN BCB nº 590/2025 trate expressamente do registro de inclusão.
Para controles internos, o requisito é adequado para workflow por evento. O controle pode partir de uma pergunta simples: houve contratação ou opção de não contratação de empresa para o serviço de compartilhamento de indícios de fraudes? Se sim, há comprovante do registro no Unicad? O registro contém os campos mínimos? O prazo de dez dias foi observado?
As evidências mais importantes para a hipótese de contratação são o contrato ou instrumento equivalente, o comprovante de inclusão no Unicad e um controle de prazo que compare a data de contratação com a data do registro. Também é útil guardar evidência de validação dos campos informados, especialmente CNPJ da contratante, CNPJ da contratada e datas de início e fim da prestação do serviço.
Para a hipótese de não contratação, as evidências mudam. O artefato principal é o registro interno da opção pela não contratação, acompanhado do comprovante do Unicad demonstrando que o CNPJ da própria instituição foi usado nos campos de contratante e contratada. Sem essa evidência, a empresa pode ter dificuldade de demonstrar que a ausência de prestador foi tratada como evento regulatório, e não como simples ausência de obrigação.
Os controles sugeridos no pacote se concentram em três objetivos: identificar o evento, validar o preenchimento e monitorar o prazo. Essa estrutura evita tanto a omissão do registro quanto registros incompletos ou intempestivos. Como o comando é por evento, não foi criada série de recorrência normativa. A frequência dos controles pode ser por evento ou sob demanda, mas isso é sugestão operacional, não periodicidade imposta pela norma.
O mapa de cobertura separa os dispositivos em blocos. A ementa e o preâmbulo foram considerados contexto normativo sem requisito próprio. A inclusão da Seção VIII foi registrada como ponto documental e alteração normativa, porque é importante para rastrear o bloco novo dentro da IN BCB nº 330/2022. O caput do Art. 10-C virou requisito de registro da contratação. Os incisos I a V foram absorvidos nesse requisito, pois são campos do mesmo registro.
O § 1º virou requisito próprio porque a hipótese de não contratação exige uma conduta distinta: informar o CNPJ da própria instituição nos campos de contratante e contratada. O § 2º foi absorvido em ambos os requisitos, porque o prazo de dez dias se aplica ao fluxo de contratação e ao fluxo de não contratação. O Art. 2º foi usado para vigência operacional, mas não foi convertido em requisito autônomo, porque a data de vigência não exige uma ação empresarial separada além de preparar e cumprir os requisitos a partir da vigência.
A curadoria também registrou alterações em requisitos da norma-alvo, pois a IN BCB nº 590/2025 altera a IN BCB nº 330/2022. Como não foram fornecidos requisitos existentes da plataforma para a IN BCB nº 330/2022, as alterações foram descritas por norma e localizador-alvo, sem tentar inativar ou reescrever registros previamente existentes.
O primeiro ponto de atenção é a distinção entre retrato-fonte e consolidação. A página oficial do Banco Central pode apresentar redação atualizada ou anotada por norma posterior. Este pacote, seguindo a filosofia de retrato-fonte, não incorpora a IN BCB nº 592/2025 como atualização dos requisitos da IN BCB nº 590/2025. Se a intenção for manter uma visão consolidada da obrigação vigente, a IN BCB nº 592/2025 deve ser processada em pacote próprio ou o usuário deve solicitar expressamente uma extração consolidada.
O segundo ponto de atenção é a segmentação. A obrigação deve ser avaliada por instituições reguladas pelo Banco Central que se enquadrem no regime de compartilhamento de dados e informações sobre indícios de fraudes e que contratem ou deixem de contratar empresa para esse serviço. A atuação genérica no setor financeiro não basta, por si só, para concluir aplicabilidade. O enquadramento regulatório e o evento operacional são determinantes.
O terceiro ponto de atenção é o prazo. A norma fala em até dez dias após a contratação dos serviços ou no caso de não contratação. Como não há recorrência expressa, o prazo deve ser controlado por evento. A empresa deve evitar transformar essa obrigação em revisão periódica genérica sem vínculo com contratação, não contratação ou validação do cadastro.
O quarto ponto de atenção é a evidência. Para supervisão e auditoria, o melhor conjunto de evidências combina documento de origem do evento, comprovante do Unicad, validação dos campos e trilha de prazo. Sem essa combinação, pode haver registro no sistema sem lastro contratual, contrato sem registro, ou registro fora do prazo sem justificativa clara.
Este artefato ainda não tem tags.
