Resumo executivo
A Resolução BCB nº 343/2023 é uma norma complementar e operacional do Banco Central do Brasil para viabilizar a execução do compartilhamento de dados e informações sobre indícios de fraudes previsto na Resolução Conjunta nº 6/2023. Seu foco não é criar um regime abstrato de prevenção a fraudes, mas detalhar elementos práticos do sistema eletrônico: quais atividades mínimas devem ser consideradas, quais dados precisam compor o registro, quais prazos devem ser respeitados, como tratar interoperabilidade, contratação do serviço, requisitos técnicos de segurança, níveis de serviço, governança de acompanhamento e retenção documental.
A norma deve ser lida como um conjunto de comandos de implementação e operação continuada. Ela exige que instituições alcançadas organizem processos, dados, sistemas, contratos, controles e evidências para registrar indícios de ocorrência ou tentativa de fraude e permitir que essas informações subsidiem procedimentos e controles de prevenção a fraudes no sistema financeiro. O pacote foi construído em modo retrato-fonte: os requisitos refletem apenas comandos nascidos da própria Resolução BCB nº 343/2023 e das referências diretamente citadas ou operacionalmente necessárias para sua execução.
Escopo e sujeitos regulados
O art. 1º direciona a norma às instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil, observando o regime da Resolução Conjunta nº 6/2023. O parágrafo único exclui expressamente as administradoras de consórcio. Como o dicionário de segmentação não possui uma tag única para “demais instituições autorizadas a funcionar pelo Banco Central do Brasil”, os requisitos foram segmentados com o setor financeiro e exclusão expressa de administradoras de consórcio. A aplicabilidade real, entretanto, deve ser conferida pelo enquadramento regulatório da instituição como autorizada pelo Banco Central e pela não incidência da exclusão.
Há comandos condicionais importantes. O art. 7º somente se aplica quando a instituição exercer a faculdade de contratar empresa para prestação do serviço de compartilhamento. Parte do art. 6º depende da existência de outros sistemas eletrônicos implementados para o mesmo compartilhamento. Alguns campos do art. 3º dependem da natureza da atividade relacionada ao indício, como prestação de serviço de pagamento, contratação de crédito ou transferência/pagamento de recursos. Esses condicionantes aparecem nos acionamentos e descrições dos requisitos.
Principais comandos operacionais
O primeiro bloco operacional está nos arts. 2º e 3º. A instituição deve considerar, no mínimo, indícios de fraudes ligados à abertura de conta de depósitos ou de pagamento, prestação de serviço de pagamento, manutenção dessas contas e contratação de operação de crédito. A prestação de serviço de pagamento é detalhada para incluir transferências internas, TED, cheques, Pix, DOC, boletos e saques em espécie. O registro deve conter identificação de quem teria executado ou tentado executar a fraude, descrição do indício, identificação da instituição registradora e, quando a atividade envolver transferência ou pagamento de recursos, dados da conta destinatária e de seu titular.
O segundo bloco é temporal. O art. 4º exige que os procedimentos operacionais contemplem registro em até 24 horas contadas da identificação do indício pela instituição. O mesmo prazo máximo vale para alteração e exclusão de dados e informações registrados, contado do momento em que a instituição identifica a necessidade de ajuste. Na prática, esse ponto exige trilhas temporais confiáveis: momento de identificação, decisão, envio, alteração, exclusão e eventual justificativa de exceção.
O terceiro bloco cria uma rotina mensal. O art. 5º exige que o sistema eletrônico permita declaração de conformidade até o dia 15 de cada mês, tanto para registros do mês anterior quanto para inexistência de indício no mês anterior. A declaração deve ser documentada e contempla também alterações e exclusões. Esse requisito recebeu recorrência mensal no pacote, porque a periodicidade e o dia-limite estão expressos na norma.
O quarto bloco trata de interoperabilidade. O art. 6º exige leiautes padronizados, regras, procedimentos, tecnologias e recursos para troca de informações entre sistemas, manutenção da unicidade do registro, troca de informações para identificar o sistema que armazena o registro único e acesso seguro aos dados e informações. A unicidade é particularmente relevante: a mesma instituição deve registrar dados sobre indícios de fraude exclusivamente em um sistema eletrônico.
O quinto bloco envolve contratação de serviço, segurança e níveis de serviço. O art. 7º determina conteúdo mínimo para contratos de prestação do serviço de compartilhamento. O art. 8º exige autenticação, criptografia quando aplicável, testes de intrusão no mínimo anuais, rastreabilidade de acessos, independência do executor do teste, documentação e tratamento tempestivo de vulnerabilidades, além de compatibilidade com a política de segurança cibernética da instituição. O art. 9º fixa parâmetros mínimos de acordos de níveis de serviço, incluindo disponibilidade anual mínima de 99,8% e tempo de recuperação objetivado de no máximo 2 horas.
Impactos para compliance, tecnologia e prevenção a fraudes
A norma impacta fortemente prevenção a fraudes, cadastro, pagamentos, crédito, tecnologia, segurança cibernética, riscos, controles, compliance e gestão de fornecedores. O processo não pode ficar restrito a uma área. A identificação do indício pode nascer em sistemas antifraude, canais digitais, atendimento, contestação, monitoramento transacional, onboarding, manutenção cadastral, crédito, operação de conta ou investigação interna. A partir disso, a instituição precisa decidir se o evento se enquadra no escopo mínimo, registrar os dados exigidos, respeitar o prazo de 24 horas e preservar evidências.
Para tecnologia e segurança, os comandos são materiais. A instituição precisa garantir arquitetura compatível com autenticação, criptografia aplicável, logs, rastreabilidade, testes de intrusão, tratamento de vulnerabilidades, interoperabilidade e medição de níveis de serviço. A compatibilidade com a política de segurança cibernética não deve ser tratada como frase formal: ela exige mapeamento entre a política, o sistema eletrônico, os controles de acesso, a gestão de vulnerabilidades e a documentação de segurança.
Para compliance e riscos, a norma cria calendário, controles e retenção. A declaração mensal até o dia 15 exige rotina recorrente, dono operacional, base de conciliação e documentação. Os mecanismos de acompanhamento e controle do art. 11 devem demonstrar efetividade do cumprimento dos requisitos, não apenas existência documental. A retenção do art. 12 demanda inventário de documentos, repositório controlado e marcos corretos de contagem de prazo.
Evidências e controles recomendados
Os requisitos do pacote sugerem evidências como matriz de atividades abrangidas, dicionário de dados do registro, amostras de registros completos, logs de identificação e registro, comprovantes da declaração mensal, bases de conciliação, especificações de interoperabilidade, relatórios de unicidade, contratos do serviço, arquitetura de segurança, logs de acesso, relatórios de testes de intrusão, planos de tratamento de vulnerabilidades, relatórios de disponibilidade, documentação de níveis de serviço, matriz de controles regulatórios e inventário de retenção documental.
Os controles sugeridos foram calibrados para o objeto de cada artigo. Para o art. 2º, o controle central é mapear atividades e fontes de alerta. Para o art. 3º, parametrizar campos obrigatórios e condicionais. Para o art. 4º, monitorar o prazo de 24 horas. Para o art. 5º, consolidar base mensal e formalizar a declaração. Para o art. 6º, manter documentação de interoperabilidade e controlar unicidade. Para o art. 8º, gerir autenticação, criptografia, rastreabilidade, teste anual de intrusão e remediação de vulnerabilidades. Para o art. 9º, medir disponibilidade, recuperação e tempos de resposta. Para o art. 12, controlar a retenção por tipo documental e marco de contagem.
Vigência, transições e itens históricos
A resolução entrou em vigor em 1º de novembro de 2023. O art. 13 fixou prazo de implementação dos arts. 5º e 9º até 1º de fevereiro de 2024. No pacote, as obrigações contínuas de declaração mensal e parâmetros de níveis de serviço permanecem ativas, mas o prazo de implantação foi registrado como requisito histórico encerrado, útil para auditoria de implantação e comprovação retrospectiva. Esse tratamento evita confundir o marco transitório já vencido com a obrigação operacional que segue existindo no retrato-fonte.
Decisões de cobertura
O art. 1º foi tratado como escopo e exceção, não como obrigação operacional autônoma. O art. 2º, § 1º, foi tratado como definição operacional dos serviços de pagamento e absorvido no requisito de registro de atividades mínimas. O art. 2º, § 2º, foi mantido como exceção operacional relevante, absorvida no controle de triagem de dados sigilosos de legislação especial relativos a lavagem de dinheiro e financiamento do terrorismo. O art. 14 foi tratado como vigência geral, sem requisito próprio de ação empresarial.
Os arts. 8º e 9º foram quebrados em requisitos específicos porque possuem processos e evidências distintas. Segurança geral do sistema, teste de intrusão independente e níveis de serviço demandam responsáveis, controles e evidências diferentes. O art. 12 foi convertido em requisito próprio de retenção, pois consolida obrigação documental transversal com prazo de cinco anos e marcos de contagem específicos.
Pontos de atenção
A instituição deve tomar cuidado com três armadilhas principais. A primeira é tratar o compartilhamento como simples envio de dados, sem governança sobre escopo, qualidade, prazo e completude. A segunda é terceirizar o serviço e perder a capacidade de demonstrar responsabilidade própria sobre segurança, nível de serviço, interoperabilidade, registros e evidências. A terceira é não controlar os marcos temporais: 24 horas para registro e ajuste, dia 15 para declaração mensal, prazo anual mínimo para teste de intrusão, parâmetros anuais de disponibilidade e cinco anos de retenção documental.
Também merece atenção a separação entre dados compartilháveis e dados sigilosos excluídos por legislação especial relativos a indícios de lavagem de dinheiro ou financiamento do terrorismo. A norma exige prevenção a fraudes, mas preserva limites específicos de sigilo. O processo deve ter critérios claros para evitar tanto subregistro quanto compartilhamento indevido.
Por fim, este pacote não consolida alterações posteriores nem recalcula o estado atual da norma com base em atos posteriores não fornecidos. Ele representa a Resolução BCB nº 343/2023 como documento-fonte analisado, preservando seus localizadores, prazos e comandos próprios para uso como acelerador regulatório na plataforma.
