Quais instituições não estão sujeitas ao disposto na Resolução Conjunta?

As administradoras de consórcio não estão sujeitas ao disposto na Resolução Conjunta.

Quais são as funcionalidades mínimas que o sistema eletrônico deve contemplar para o compartilhamento de dados e informações?

O sistema eletrônico deve contemplar, no mínimo, as seguintes funcionalidades: registro de dados e informações sobre indícios de fraudes, alteração e exclusão desses dados e informações, e consulta dos dados e informações registrados.

Por quanto tempo as instituições devem manter à disposição do Banco Central do Brasil os dados e informações compartilhados?

As instituições devem manter à disposição do Banco Central do Brasil os dados e informações compartilhados por dez anos e os dados, registros e informações relativas à aplicação dos mecanismos de acompanhamento e controle por cinco anos.

Quais informações devem ser registradas no sistema eletrônico sobre indícios de fraudes?

Devem ser registradas, no mínimo, as seguintes informações: identificação de quem teria executado ou tentado executar a fraude, descrição dos indícios da ocorrência ou tentativa de fraude, identificação da instituição responsável pelo registro, e identificação dos dados da conta destinatária e de seu titular em caso de transferência ou pagamento de recursos.

Quais responsabilidades permanecem com a instituição contratante ao contratar uma empresa para o serviço de compartilhamento de dados?

As responsabilidades que permanecem com a instituição contratante incluem o tratamento dos dados compartilhados, a confiabilidade, integridade, disponibilidade, segurança e sigilo dos dados, a implementação das funcionalidades do sistema, a observância aos requisitos técnicos e o cumprimento da legislação e regulamentação em vigor.

Quais mecanismos de acompanhamento e controle devem ser instituídos pelas instituições?

As instituições devem instituir mecanismos de acompanhamento e controle que incluam a definição de processos, testes e trilhas de auditoria, definição de métricas e indicadores adequados, e identificação e correção de eventuais deficiências.

Quais são os requisitos que o sistema eletrônico deve atender para ser implementado?

O sistema eletrônico deve permitir o acesso pleno das instituições às suas funcionalidades, adotar um padrão único e comum de comunicação, assegurar a confidencialidade, integridade, disponibilidade e recuperação dos dados, aderir a certificações de segurança, permitir a elaboração de relatórios por auditoria independente, prover informações e recursos de gestão adequados, identificar e segregar os dados registrados, e garantir ao titular dos dados o livre acesso às informações que lhe digam respeito.

As instituições podem contratar empresas para prestar o serviço de compartilhamento de dados e informações?

Sim, as instituições podem contratar empresas para prestar o serviço de compartilhamento de dados e informações, desde que observem o disposto na Resolução Conjunta, na legislação e na regulamentação em vigor.

O que as instituições devem obter dos clientes para registrar dados e informações sobre indícios de fraudes?

As instituições devem obter o consentimento prévio e geral dos clientes, possibilitando o registro dos dados e informações que digam respeito ao referido cliente.

Quais princípios devem ser observados pelas instituições ao conduzir suas atividades de compartilhamento de dados e informações?

As instituições devem observar os seguintes princípios: segurança e privacidade dos dados, qualidade dos dados, acesso pleno e não discriminatório às funcionalidades do sistema, eficiência no cumprimento dos requisitos do sistema, reciprocidade com outras instituições e interoperabilidade com outros sistemas eletrônicos.

Resolução Conjunta N° 6 | Banco Central

Q: Quando a Resolução Conjunta entra em vigor?

A Resolução Conjunta entra em vigor em 1º de novembro de 2023.

Q: Qual é a finalidade principal da Resolução Conjunta mencionada?

A Resolução Conjunta dispõe sobre requisitos para compartilhamento de dados e informações sobre indícios de fraudes a serem observados pelas instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

Resumo executivo

A Resolução Conjunta nº 6/2023 é uma norma autônoma do Banco Central do Brasil e do Conselho Monetário Nacional que cria um regime operacional de compartilhamento de dados e informações sobre indícios de fraudes entre instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central. O documento oficial é datado de 23 de maio de 2023, com publicação no Diário Oficial da União em 24 de maio de 2023, e entrou em vigor em 1º de novembro de 2023.

O eixo regulatório é simples, mas operacionalmente exigente: instituições alcançadas devem compartilhar informações sobre indícios de ocorrências ou tentativas de fraude por meio de sistema eletrônico, com funcionalidades mínimas de registro, alteração, exclusão e consulta. O objetivo declarado é subsidiar procedimentos e controles de prevenção de fraudes. A norma também estabelece conteúdo mínimo de registros, consentimento prévio e geral do cliente, requisitos de segurança e governança do sistema, responsabilidades institucionais, mecanismos de acompanhamento e prazos de retenção.

A curadoria tratou a resolução como retrato-fonte puro. Isso significa que os requisitos extraídos nascem apenas da Resolução Conjunta nº 6/2023. Atos posteriores e normas complementares oficiais foram incluídos apenas como referências operacionais para navegação e execução, sem criar requisitos adicionais neste pacote e sem alterar o status dos itens extraídos.

Escopo e sujeitos regulados

A norma alcança instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil. O próprio art. 1º exclui as administradoras de consórcio. Para fins da Resolução Conjunta, as instituições alcançadas são consideradas instituições financeiras para os efeitos da Lei Complementar nº 105/2001, o que reforça a relevância do dever de sigilo no tratamento das informações compartilhadas.

A segmentação do pacote usa uma expressão ampla do setor financeiro com exclusão expressa de administradoras de consórcio. Essa opção decorre da amplitude do texto normativo: a expressão “demais instituições autorizadas a funcionar pelo Banco Central do Brasil” cobre mais categorias do que as tags granulares disponíveis conseguem representar com perfeita precisão. Por isso, a aplicabilidade deve ser validada no workspace conforme o enquadramento regulatório real da empresa, sua autorização perante o Banco Central e a inexistência de exclusão específica.

O fato de uma empresa atuar em tecnologia, prevenção a fraudes, infraestrutura ou prestação de serviços ao setor financeiro não basta, sozinho, para torná-la destinatária direta dos requisitos. A aplicabilidade principal depende de a empresa ser instituição financeira, instituição de pagamento ou outra instituição autorizada a funcionar pelo Banco Central, sem se enquadrar na exclusão das administradoras de consórcio. Prestadores contratados podem ser relevantes para execução, mas a responsabilidade regulatória permanece com a instituição contratante.

Principais comandos operacionais

O primeiro bloco de comandos está no art. 2º. As instituições devem compartilhar dados e informações com as demais instituições alcançadas, com a finalidade de subsidiar procedimentos e controles de prevenção de fraudes. Esse compartilhamento deve ocorrer por sistema eletrônico que contemple, no mínimo, registro de dados e informações sobre indícios de ocorrências ou tentativas de fraude, alteração e exclusão desses dados e informações e consulta aos registros.

O segundo bloco trata do conteúdo mínimo do registro. A instituição deve registrar a identificação de quem, segundo os indícios disponíveis, teria executado ou tentado executar a fraude, quando aplicável; a descrição dos indícios da ocorrência ou tentativa; a identificação da instituição responsável pelo registro; e, em caso de transferência ou pagamento de recursos, os dados da conta destinatária e de seu titular. Esse bloco exige controles de qualidade de dados, campos obrigatórios, critérios de aplicabilidade e trilhas de alteração.

O terceiro bloco é o consentimento do cliente. A instituição deve obter consentimento prévio e geral do cliente com quem possua relacionamento para viabilizar o registro dos dados e informações sobre indícios de fraude que digam respeito a esse cliente. O consentimento deve ter finalidade específica de tratamento e compartilhamento de dados e informações no âmbito da Resolução Conjunta, e deve constar de contrato com cláusula em destaque ou de outro instrumento jurídico válido. A documentação deve permanecer à disposição do Banco Central.

O quarto bloco é a governança do tratamento de dados. O compartilhamento deve observar a legislação e regulamentação vigentes, o dever de sigilo, a proteção de dados pessoais e a livre concorrência. A norma também traz princípios de segurança e privacidade, qualidade dos dados, acesso pleno e não discriminatório, eficiência, reciprocidade e interoperabilidade. Há ainda uma exclusão importante: o registro no sistema não se aplica a dados e informações sigilosos, nos termos de legislação especial, relacionados a indícios de lavagem de dinheiro ou financiamento do terrorismo.

O quinto bloco é a documentação de critérios de identificação. As instituições devem estabelecer e documentar procedimentos e critérios para identificar o possível executor ou tentador da fraude, de forma detalhada e compatível com o perfil de risco da instituição, com a legislação e com a regulamentação vigente. Esses critérios devem incluir, no mínimo, conferência com dados constantes de sistemas, cadastros e outras bases disponíveis para consulta.

Sistema eletrônico, segurança e interoperabilidade

O art. 4º detalha requisitos relevantes para a implementação do sistema eletrônico. A instituição deve permitir acesso pleno às funcionalidades do sistema, com identificação de quem realizou o acesso; adotar padrão único e comum de comunicação; contemplar procedimentos e controles para cumprimento normativo, confidencialidade, integridade, disponibilidade e recuperação dos dados; assegurar aderência a certificações de segurança; obter relatórios de empresa de auditoria especializada independente sobre procedimentos e controles; prover informações e recursos de gestão para monitoramento; identificar e segregar dados por controles físicos ou lógicos; proteger a qualidade dos controles de acesso; garantir ao titular acesso às informações que lhe digam respeito e correção ou exclusão tempestiva em caso de erro, inconsistência ou demanda; e assegurar interoperabilidade com outros sistemas existentes.

A curadoria separou esses comandos em requisitos diferentes porque eles envolvem processos, evidências e donos distintos. Funcionalidades, acesso identificado, padrão de comunicação e interoperabilidade formam um requisito tecnológico e funcional. Segurança, disponibilidade, recuperação, auditoria independente, monitoramento, segregação e acesso formam requisito de controles técnicos e governança de sistema. Acesso, correção e exclusão pelo titular formam requisito próprio porque dependem de fluxo de atendimento, análise de demanda, decisão e atualização do sistema.

O atendimento aos requisitos do sistema deve ser documentado. Essa documentação é uma evidência regulatória crítica: deve demonstrar como o sistema foi desenhado, implementado, testado, monitorado e controlado. Ela também deve estar disponível ao Banco Central, juntamente com outros dados e registros exigidos no art. 8º.

Terceirização e responsabilidade institucional

O art. 5º permite a contratação de empresa para prestar o serviço de compartilhamento de dados e informações, mas mantém as responsabilidades com a instituição contratante. A norma afirma que o serviço é considerado relevante para fins da regulamentação vigente sobre contratação de serviços de processamento e armazenamento de dados e de computação em nuvem por instituições financeiras, instituições de pagamento e demais instituições autorizadas.

Esse ponto impacta compras, jurídico, tecnologia, segurança, riscos e governança de terceiros. A instituição contratante deve tratar o prestador como componente crítico da operação regulada. Isso envolve due diligence, avaliação de capacidade técnica, controles de segurança, continuidade, níveis de serviço, acesso a informações, auditoria, direitos de supervisão e mecanismos de correção. A contratação não transfere ao prestador a responsabilidade pelo tratamento dos dados compartilhados em nome da instituição.

O art. 10 reforça a importância da governança de terceiros ao permitir que o Banco Central vete ou imponha restrições à contratação quando constatar inobservância da Resolução Conjunta ou limitação à sua atuação, inclusive estabelecendo prazo para adequação de processos. Por isso, o contrato e o dossiê de governança devem ser capazes de demonstrar conformidade e permitir resposta rápida a eventuais exigências supervisoras.

Mecanismos de acompanhamento, controle e auditoria

O art. 7º exige mecanismos de acompanhamento e controle voltados à efetividade do cumprimento da norma. Esses mecanismos devem incluir processos, testes, trilhas de auditoria, métricas, indicadores e identificação e correção de deficiências. Quando aplicável, devem ser submetidos a testes periódicos pela auditoria interna, compatíveis com os controles internos da instituição.

Esse bloco tem impacto direto em compliance, riscos, controles internos, tecnologia, prevenção a fraudes e auditoria interna. A empresa precisa transformar a obrigação de compartilhamento em um processo mensurável: volume de registros, completude dos campos mínimos, tempo de tratamento de alterações e exclusões, falhas de integração, disponibilidade do sistema, acessos, demandas de titulares, deficiências abertas, planos de ação e correções concluídas. A trilha de auditoria deve permitir reconstruir quem registrou, alterou, excluiu, consultou ou aprovou informações relevantes.

A auditoria interna não foi incluída como público em massa no pacote. Ela aparece de forma material no requisito de mecanismos de acompanhamento e controle porque a própria norma menciona testes periódicos pela auditoria interna quando aplicável. Em instituições nas quais a auditoria interna não seja aplicável nos termos do dispositivo, o campo deve ser ajustado pelo cliente na implementação.

Retenção, disponibilidade ao Banco Central e evidências

O art. 8º cria obrigações expressas de disponibilidade e retenção. A instituição deve deixar à disposição do Banco Central a documentação sobre o sistema eletrônico, inclusive sobre os requisitos de implementação. Deve manter, por dez anos, os dados e informações compartilhados e a documentação com critérios e procedimentos de identificação. Também deve manter, por cinco anos, os dados, registros e informações relativos à aplicação dos mecanismos de acompanhamento e controle, contado esse prazo a partir de cada aplicação.

A curadoria separou os prazos de retenção em requisitos próprios. O prazo de dez anos tem foco em dados compartilhados e documentação de critérios de identificação; o prazo de cinco anos tem foco nas evidências de mecanismos de acompanhamento e controle. Essa separação evita confundir objetos de retenção, prazos e evidências. Também facilita parametrizar repositórios, políticas de retenção, testes de recuperação e descartes controlados.

As evidências mais importantes incluem registros de indícios de fraude, campos mínimos, contratos ou instrumentos de consentimento, procedimentos de identificação, logs de acesso, matriz de controles técnicos, relatório de auditoria independente, dossiê do sistema eletrônico, matriz de responsabilidades, indicadores de efetividade, trilhas de auditoria, planos de ação, repositórios de dados retidos e testes de recuperação.

Pontos de atenção para implementação

O primeiro ponto de atenção é a qualidade dos dados. A utilidade do compartilhamento depende de registros completos, consistentes e vinculados a critérios de identificação robustos. Campos mínimos incompletos, falta de justificativa para dados não aplicáveis ou descrições vagas de indícios reduzem a efetividade da norma e podem gerar questionamentos.

O segundo ponto é o consentimento do cliente. A instituição deve garantir que a cláusula ou instrumento jurídico válido seja capturado previamente, tenha finalidade adequada e seja recuperável. A ausência de evidência de consentimento pode comprometer registros associados a clientes e gerar risco jurídico, de privacidade e regulatório.

O terceiro ponto é a segregação de PLD/FT. A norma exclui do registro dados e informações sigilosos, nos termos de legislação especial, relacionados a indícios de lavagem de dinheiro ou financiamento do terrorismo. O processo de triagem deve separar o fluxo de prevenção a fraudes do fluxo de prevenção à lavagem de dinheiro e financiamento do terrorismo quando houver sigilo especial.

O quarto ponto é a terceirização. A contratação de prestador pode facilitar a execução, mas não reduz a responsabilidade da instituição. O serviço deve ser tratado como relevante, com contrato, due diligence, monitoramento, auditoria, níveis de serviço, segurança e acesso a informações suficientes para supervisão.

O quinto ponto é a retenção. Os prazos de dez e cinco anos têm objetos distintos. A instituição deve garantir que bases, documentos, relatórios e trilhas sejam preservados e recuperáveis, sem perder controles de sigilo, proteção de dados, segregação e acesso.

Decisões de cobertura e limitações

A norma foi classificada como autônoma, não como alteradora. Não foram criadas alterações de requisitos, porque o documento-fonte não altera diretamente outra norma nem revoga requisitos anteriores. O art. 9º foi tratado como ponto de escopo interno do regulador, pois autoriza o Banco Central a adotar medidas de execução e detalhamento, mas não impõe, por si só, uma ação empresarial autônoma além das obrigações já extraídas. O art. 13 foi tratado como ponto de vigência, usado para o status operacional dos requisitos.

O art. 2º, § 9º foi mantido como ponto de apoio, e não como requisito separado, porque exemplifica procedimentos e controles de prevenção de fraudes já previstos em regulamentação vigente, sem criar uma entrega autônoma nova neste documento. O art. 12, por outro lado, foi convertido em requisito porque possui efeito operacional: a instituição não deve tratar o compartilhamento como substituto de controles de prevenção de fraudes ou comunicações a autoridades competentes.

A principal limitação de produto é a segmentação. O dicionário de tags não possui uma tag única para “demais instituições autorizadas a funcionar pelo Banco Central do Brasil”. Por isso, foi usada segmentação setorial financeira ampla com exclusão expressa de administradoras de consórcio. Essa decisão reduz falso negativo, mas pode exigir refinamento pelo cliente para evitar falso positivo em casos limítrofes. A curadoria sinaliza essa limitação no manifest e nos resumos de aplicabilidade dos requisitos.

O pacote não consolida alterações, complementações ou regulamentações posteriores. A Resolução BCB nº 343/2023 foi incluída como referência operacional oficial porque trata da execução do compartilhamento previsto na Resolução Conjunta nº 6/2023, mas os requisitos aqui criados continuam restritos ao texto da Resolução Conjunta analisada.

RESOLUÇÃO CONJUNTA Nº 6, DE 23 DE MAIO DE 2023

Dispõe sobre requisitos para compartilhamento de dados e informações sobre indícios de fraudes a serem observados pelas instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

O Banco Central do Brasil, na forma do art. 9º da Lei nº 4.595, de 31 de dezembro de 1964, torna público que sua Diretoria Colegiada, em sessão realizada em 10 de maio de 2023, com base nos arts. 9º-A da Lei nº 4.728, de 14 de julho de 1965, 9º, caput e inciso II, da Lei nº 12.865, de 9 de outubro de 2013, e o Conselho Monetário Nacional, em sessão realizada em 18 de maio de 2023, com base nos arts. 4º, inciso VIII, da Lei nº 4.595, de 1964, 20, § 1º, da Lei nº 4.864, de 29 de novembro de 1965, 1º do Decreto-Lei nº 70, de 21 de novembro de 1966, 7º e 23, alínea "a", da Lei nº 6.099, de 12 de setembro de 1974, 1º, § 1º, inciso XIII, e § 3º, inciso I, da Lei Complementar nº 105, de 10 de janeiro de 2001, 1º, inciso II, da Lei nº 10.194, de 14 de fevereiro de 2001, e 1º, § 1º, da Lei Complementar nº 130, de 17 de abril de 2009,

R E S O L V E R A M :

Art. 1º Esta Resolução Conjunta dispõe sobre requisitos para compartilhamento de dados e informações sobre indícios de fraudes a serem observados pelas instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

§ 1º O disposto nesta Resolução Conjunta não se aplica às administradoras de consórcio.

§ 2º Para os fins desta Resolução Conjunta, as instituições de que trata o caput são consideradas instituições financeiras para os efeitos da Lei Complementar nº 105, de 10 de janeiro de 2001.

Art. 2º As instituições devem compartilhar dados e informações com as demais instituições referidas no art. 1º com a finalidade de subsidiar seus procedimentos e controles para prevenção de fraudes.

§ 1º O compartilhamento de que trata o caput deve ser realizado por meio de sistema eletrônico que contemple, no mínimo, as seguintes funcionalidades:

I - o registro de dados e de informações sobre indícios de ocorrências ou de tentativas de fraudes identificadas pelas instituições em suas atividades;

II - a alteração e a exclusão dos dados e das informações registrados nos termos do § 1º, inciso I, deste artigo, conforme o caso; e

III - a consulta dos dados e das informações registrados de que trata o § 1º, inciso I, deste artigo.

§ 2º O registro dos dados e das informações de que trata o § 1º, inciso I, deste artigo devem contemplar, no mínimo:

I - a identificação de quem, segundo os indícios disponíveis, teria executado ou tentado executar a fraude, quando aplicável;

II - a descrição dos indícios da ocorrência ou da tentativa de fraude;

III - a identificação da instituição responsável pelo registro dos dados e das informações; e

IV - a identificação dos dados da conta destinatária e de seu titular, em caso de transferência ou pagamento de recursos.

§ 3º As instituições de que trata o caput devem obter do cliente com quem possuam relacionamento o consentimento prévio e geral, possibilitando o registro dos dados e das informações de que trata o § 2º que digam respeito ao referido cliente.

§ 4º O consentimento de que trata o § 3º deve:

I - ter como finalidade o tratamento e o compartilhamento de dados e informações sobre indícios de fraudes no âmbito desta Resolução Conjunta; e

II - constar de contrato firmado entre o cliente e a instituição, mediante cláusula em destaque no corpo do instrumento contratual ou por outro instrumento jurídico válido.

§ 5º A documentação de que trata o inciso II do § 4º deve ficar à disposição do Banco Central do Brasil.

§ 6º Os dados e as informações a serem compartilhados, conforme o disposto no caput deste artigo, devem ser disponibilizados em conformidade com a legislação e a regulamentação em vigor, observado o dever de sigilo, a proteção dos dados pessoais e a livre concorrência.

§ 7º O registro de que trata o § 1º, inciso I, deste artigo não se aplica aos dados e às informações sigilosos, nos termos de legislação especial, relacionados a indícios da prática dos crimes de "lavagem” ou ocultação de bens, direitos e valores e de financiamento do terrorismo.

§ 8º As instituições devem estabelecer e documentar os procedimentos e critérios para identificação de que trata o inciso I do § 2º deste artigo, de forma detalhada e compatível com o perfil de risco da instituição, com a legislação e com a regulamentação em vigor, os quais incluirão, no mínimo, a conferência com dados constantes de sistemas, cadastros e demais bases de dados disponíveis para consulta.

§ 9º Os procedimentos e controles de que trata o caput incluem, por exemplo, aqueles previstos para fins de prestação de serviços de pagamento, bem como para a abertura e a manutenção de contas de depósitos e de pagamento, nos termos da regulamentação em vigor.

Art. 3º As instituições de que trata o art. 1º, para atingir a finalidade do compartilhamento de que trata o art. 2º, devem conduzir suas atividades em observância da legislação e da regulamentação em vigor, observados o dever de sigilo, a proteção de dados pessoais e a livre concorrência, bem como os seguintes princípios:

I - segurança e privacidade de dados e de informações compartilhados no âmbito desta Resolução Conjunta;

II - qualidade dos dados e informações compartilhados;

III - acesso pleno e não discriminatório das instituições às funcionalidades do sistema eletrônico de que trata o art. 2º, § 1º;

IV - eficiência no cumprimento dos requisitos do sistema eletrônico de que trata esta Resolução Conjunta, inclusive no padrão único e comum de comunicação de que trata o art. 4º, inciso II;

V - reciprocidade com outras instituições, no tocante aos dados e às informações compartilhados no âmbito desta Resolução Conjunta; e

VI - interoperabilidade com outros sistemas eletrônicos implementados em atendimento ao disposto nesta Resolução Conjunta, quando existentes, nos termos do art. 4º, inciso IV.

Art. 4º As instituições devem observar, para fins de implementação do sistema eletrônico de que trata o art. 2º, § 1º, os seguintes requisitos:

I - permitir o acesso pleno das instituições de que trata o art. 1º às funcionalidades do referido sistema com a respectiva identificação de quem realizou o acesso;

II - adotar um padrão único e comum de comunicação que permita a execução das suas funcionalidades;

III - contemplar procedimentos e controles para assegurar:

a) o cumprimento da legislação e da regulamentação em vigor;

b) a confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e das informações nele registrados;

c) a sua aderência a certificações de segurança;

d) a elaboração de relatórios por empresa de auditoria especializada independente relativos aos procedimentos e aos controles utilizados na execução das suas funcionalidades;

e) o provimento de informações e de recursos de gestão adequados ao monitoramento de suas funcionalidades;

f) a identificação e a segregação dos dados e das informações registrados por meio de controles físicos ou lógicos;

g) a qualidade dos controles de acesso voltados à proteção dos dados e das informações registrados por meio do referido sistema; e

h) ao titular dos dados, o livre acesso às informações que lhe digam respeito, bem como a exclusão ou a correção tempestiva dos dados e das informações registrados, em caso de eventuais erros, inconsistências ou outras demandas, em observância da legislação e da regulamentação vigentes; e

IV - assegurar a sua interoperabilidade com outros sistemas eletrônicos implementados em atendimento ao disposto nesta Resolução Conjunta, quando existentes.

Parágrafo único. O atendimento aos requisitos de que trata este artigo deve ser documentado.

Art. 5º É facultada a contratação de empresa para a prestação do serviço de compartilhamento de dados e informações de que trata o art. 2o, com observância do disposto nesta Resolução Conjunta, na legislação e na regulamentação em vigor, especialmente nas regulamentações dispondo sobre a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem por instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

§ 1º No caso da contratação de que trata o caput, permanecerão com a instituição contratante as responsabilidades para os fins desta Resolução Conjunta, inclusive referentes ao tratamento dos dados compartilhados, realizado em nome da instituição contratante.

§ 2º O serviço prestado de que trata o caput é considerado relevante para fins da aplicação da regulamentação vigente sobre a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem por instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

Art. 6º As instituições de que trata o art. 1º são responsáveis:

I - pela confiabilidade, integridade, disponibilidade, segurança e pelo sigilo em relação aos dados e informações por elas registrados nos termos do art. 2º, § 1º, inciso I;

II - pela implementação das funcionalidades do sistema de que trata o art. 2º, § 1º;

III - pela observância aos requisitos citados no art. 4º;

IV - pela utilização dos dados e das informações por elas obtidos em consulta ao sistema eletrônico de que trata o art. 2º, § 1º, e pela preservação do sigilo de tais dados; e

V - pelo cumprimento da legislação e da regulamentação em vigor.

Art. 7º As instituições de que trata o art. 1º devem instituir mecanismos de acompanhamento e de controle com vistas a assegurar a efetividade do cumprimento do disposto nesta Resolução Conjunta, incluindo:

I - a definição de processos, testes e trilhas de auditoria;

II - a definição de métricas e indicadores adequados; e

III - a identificação e a correção de eventuais deficiências.

Parágrafo único. Os mecanismos de que trata o caput devem ser submetidos a testes periódicos pela auditoria interna, quando aplicável, compatíveis com os controles internos da instituição.

Art. 8º As instituições devem deixar à disposição do Banco Central do Brasil:

I - a documentação sobre o sistema eletrônico de que trata o art. 2º, § 1º, inclusive a respeito dos requisitos de que trata o art. 4º, parágrafo único;

II - por dez anos, os dados e as informações compartilhados, nos termos do art. 2º, § 6º, inciso II, e a documentação com os critérios e procedimentos a que se refere o art. 2º, § 8º; e

III - por cinco anos, os dados, os registros e as informações relativas à aplicação dos mecanismos de acompanhamento e de controle de que trata o art. 7º, contado o prazo referido neste inciso a partir de cada aplicação dos citados mecanismos.

Art. 9º O Banco Central do Brasil poderá adotar, no âmbito de suas atribuições legais, as medidas necessárias à execução do disposto nesta Resolução Conjunta, o que inclui estabelecer, entre outros aspectos:

I - as funcionalidades do sistema eletrônico, observado o conteúdo mínimo do art. 2º, § 1º;

II - o escopo dos dados e das informações a serem registrados de que trata ao art. 2º, § 1º, inciso I, observado o conteúdo mínimo disposto no art. 2º, § 2º;

III - o detalhamento dos parâmetros sobre acordos de níveis de serviço na execução das funcionalidades do sistema de que trata o art. 2º, § 1º;

IV - os requisitos técnicos de segurança para funcionamento do sistema de que trata o art. 2º, § 1º, observado o disposto no art. 4º, conforme o caso;

V - a adequação dos mecanismos de que trata o art. 7º; e

VI - demais requisitos técnicos e procedimentos operacionais para o compartilhamento de dados e informações de que trata o art. 2º.

§ 1º Na regulamentação das medidas de que trata o caput, o Banco Central do Brasil deverá observar os princípios referidos no art. 3º.

§ 2º Na regulamentação de que trata o inciso II do caput, o Banco Central do Brasil deverá observar, também, as seguintes diretrizes gerais:

I - os dados e as informações sobre indícios de ocorrências ou de tentativas de fraudes a serem registrados deverão ser aqueles necessários e adequados para subsidiar os procedimentos e controles das instituições referidas no art. 1º para prevenção de fraudes; e

II - o conteúdo do registro deverá acompanhar as inovações tecnológicas e procedimentais, a fim de manter sua aptidão para o objetivo de prevenção a fraudes em cenários futuros.

Art. 10. O Banco Central do Brasil poderá vetar ou impor restrições à contratação de que trata o art. 5º, quando constatar, a qualquer tempo, a inobservância do disposto nesta Resolução Conjunta, bem como a limitação à atuação do Banco Central do Brasil, estabelecendo prazo para a adequação de processos.

Art. 11. O acesso aos dados e às informações compartilhados nos termos desta Resolução Conjunta será restrito às instituições referidas no art. 1º, ao Banco Central do Brasil e às demais autoridades competentes, nos termos da legislação em vigor.

Art. 12. O disposto nesta Resolução Conjunta não exime a instituição da responsabilidade de:

I - efetuar os procedimentos e os controles para prevenção de fraudes previstos na regulamentação em vigor; e

II - comunicar informações a respeito de fraudes às autoridades competentes, nos termos da legislação em vigor.

Art. 13. Esta Resolução Conjunta entra em vigor em 1º de novembro de 2023.

Roberto de Oliveira Campos Neto
Presidente do Banco Central do Brasil

Resolução Conjunta N° 6

Registros selecionados

Resumo

Resumo executivo

Escopo e sujeitos regulados

Principais comandos operacionais

Sistema eletrônico, segurança e interoperabilidade

Terceirização e responsabilidade institucional

Mecanismos de acompanhamento, controle e auditoria

Retenção, disponibilidade ao Banco Central e evidências

Pontos de atenção para implementação

Decisões de cobertura e limitações

Perguntas e respostas

Tags

Itens vinculados

Recomendações

Extrair pontos

Registrar aplicabilidade

Nenhum acompanhamento público.

Gere PDFs regulatórios com o Okai Pro

Você atingiu o limite de exportações

Marque itens como lidos

Desbloqueie este recurso com o Okai Pro

Continue pesquisando sem limites com o Okai Pro

Defina impacto regulatório

Gerencie pontos e requisitos

Organize achados e tratativas

Envie itens e acompanhe prazos

Crie e altere registros da sua operação

Crie requisitos rastreáveis

Crie controles operacionais

Crie riscos rastreáveis

Crie achados rastreáveis

Salve itens em coleções

Automatize fluxos de compliance com o Okai Business

Recentes

Resolução Conjunta N° 6 🔐 💳 ⚖️

Registros selecionados

Resumo

Resumo executivo

Escopo e sujeitos regulados

Principais comandos operacionais

Sistema eletrônico, segurança e interoperabilidade

Terceirização e responsabilidade institucional

Mecanismos de acompanhamento, controle e auditoria

Retenção, disponibilidade ao Banco Central e evidências

Pontos de atenção para implementação

Decisões de cobertura e limitações

Perguntas e respostas

Tags

Itens vinculados

Recomendações

Extrair pontos

Registrar aplicabilidade

Nenhum acompanhamento público.

Resolução Conjunta N° 6