Altera regras sobre implementação e participação obrigatória no Open Finance, incluindo transações de pagamento e consentimento do cliente.
A Resolução Conjunta nº 10/2024 altera pontos centrais do Open Finance.
📌 Revisa critérios de participação obrigatória e efeitos por conglomerado.
⚠️ Impacta jornada sem redirecionamento, consentimento, autenticação, confirmação e credenciais.
🧾 Exige evidências de enquadramento, controles tecnológicos, planos de implantação e revisão de modelos de ressarcimento.
A Resolução Conjunta nº 10/2024 é uma norma alteradora do regime de Open Finance. O documento não cria um regime autônomo completo; ele modifica a Resolução Conjunta nº 1/2020 em pontos selecionados, com foco em participação obrigatória, critérios de enquadramento, iniciação de transação de pagamento, jornada sem redirecionamento, consentimento, autenticação, confirmação, controles tecnológicos, contratação de serviços e governança regulatória.
A curadoria foi estruturada como retrato-fonte: os requisitos extraídos representam apenas comandos que nasceram da Resolução Conjunta nº 10/2024. O pacote não recria todos os requisitos da Resolução Conjunta nº 1/2020 e não consolida normas posteriores como se fossem parte do documento-fonte. Quando o dispositivo apenas altera a norma-alvo, o efeito foi registrado em alterações de requisitos; quando o dispositivo cria nova unidade operacional controlável, foi criado requisito próprio.
Os impactos mais relevantes para as instituições estão em quatro blocos. Primeiro, a revisão dos critérios de participação obrigatória no compartilhamento de dados e na iniciação de pagamento. Segundo, a disciplina da jornada sem redirecionamento, com reflexos em consentimento, autenticação, confirmação e proteção de credenciais. Terceiro, a atribuição de controles específicos à instituição iniciadora sobre ambientes eletrônicos e sistemas sob sua responsabilidade. Quarto, ajustes de ressarcimento, contratação de serviços de autenticação e governança do Open Finance.
O sujeito regulado efetivo depende do papel da instituição no Open Finance: participante de compartilhamento de dados, participante de iniciação de transação de pagamento, participante obrigatório no Pix, instituição detentora de conta, instituição iniciadora, instituição integrante de conglomerado ou instituição que decide participar voluntariamente. Como o dicionário de segmentação disponível não possui tags específicas para todos esses papéis, a maior parte dos requisitos usa segmentação financeira ampla, com explicação de aplicabilidade em texto. Essa opção evita falso negativo, mas exige triagem pela empresa a partir de seu enquadramento real.
Para compartilhamento de dados, a alteração passa a alcançar instituições dos segmentos S1 e S2 e instituições individuais ou conglomerados com mais de cinco milhões de clientes, de acordo com a base indicada pelo Banco Central. Para iniciação de pagamento, o foco passa por participantes obrigatórios do Pix, instituições detentoras de conta em conglomerados com participantes obrigatórios do Pix e instituições iniciadoras de transação de pagamento. O pacote também trata da participação voluntária: se uma instituição do conglomerado participar voluntariamente do compartilhamento de dados, a regra introduzida exige avaliação das demais instituições do conglomerado.
A norma tem regras de vigência diferenciadas. As alterações do art. 6º, I, alínea "a", e dos §§ 5º e 6º passaram a vigorar em 1º de janeiro de 2025. A regra do art. 6º, § 7º, passou a vigorar em 1º de julho de 2025. As demais alterações entraram em vigor na data de publicação. Como a data atual do pacote é posterior a esses marcos, os requisitos foram tratados como ativos, não como vigência futura.
O primeiro comando operacional é a reavaliação do enquadramento obrigatório no compartilhamento de dados. A empresa deve manter uma matriz de enquadramento que considere segmento prudencial, entidade individual, conglomerado e base de clientes. A instituição não deve depender apenas de memória institucional ou de classificação comercial; precisa manter evidência da fonte de dados, da decisão de enquadramento e do plano de adequação quando o critério for atendido.
O segundo comando é o monitoramento do limite de cinco milhões de clientes. A norma exige dois trimestres consecutivos acima do limite, conforme base indicada pelo Banco Central, e prevê prazo de seis meses para providências quando o gatilho for acionado. Isso transforma a regra em rotina de monitoramento, com calendário, histórico trimestral, validação por entidade e controle de prazo.
O terceiro comando é a adequação da participação no serviço de iniciação de pagamento. A instituição deve avaliar sua situação no Pix, seu papel como detentora de conta, sua participação em conglomerado e eventual atuação como iniciadora. Esse mapeamento afeta tecnologia, produtos, APIs, segurança, atendimento e governança do Open Finance.
O quarto comando é a disciplina da participação voluntária em nível de conglomerado. A decisão de aderir voluntariamente não deve ser tomada por uma entidade isolada sem análise de efeito sobre as demais instituições do grupo. O requisito exige parecer ou registro de impacto, inventário das entidades alcançadas e plano de implantação por entidade.
O quinto bloco trata da jornada sem redirecionamento. A norma admite essa modalidade de iniciação de pagamento, mas condiciona sua execução à regulamentação específica. O pacote, por isso, trata o requisito como acionado por oferta, integração ou alteração dessa jornada. A empresa deve ter parecer regulatório, especificação funcional, testes, trilhas de consentimento, autenticação e confirmação, além de evidências de controles tecnológicos.
A jornada sem redirecionamento recebe requisitos próprios de consentimento. A instituição iniciadora deve solicitar consentimento uma única vez enquanto válido, com informações sobre forma de pagamento, prazo de validade, valor máximo por transação e valor máximo diário. Esse comando exige parametrização sistêmica, bloqueio de uso fora dos limites, logs de aceite e evidências da informação apresentada ao cliente.
A norma também traz regra para alterações de condições do consentimento. Quando ocorrer alteração de determinadas condições relevantes, a instituição deve informar o cliente de forma específica e obter sua concordância. Isso exige integração entre gestão de mudanças, produto, jurídico, tecnologia e compliance. Toda mudança de jornada ou regra de negócio deve ser classificada para identificar se aciona esse dever de concordância.
Na autenticação, a alteração permite lógica de uma autenticação por consentimento ou autenticação a cada transação, conforme o fluxo aplicável. O requisito foi extraído como parametrização de autenticação, pois a empresa precisa demonstrar a regra de negócio, os testes e os logs que comprovem quando a autenticação ocorreu.
Na confirmação, o novo art. 20-A impõe à instituição iniciadora a solicitação de confirmação de compartilhamento ao cliente nos casos de transações sem redirecionamento. O fluxo deve demonstrar a ordem correta entre autenticação e confirmação, preservando trilha auditável. Esse ponto foi separado do consentimento porque representa etapa distinta da jornada e gera evidência própria.
A proteção de credenciais é um dos pontos mais críticos. O art. 40 foi alterado para exigir que os mecanismos de acompanhamento e controle assegurem que outras instituições envolvidas no compartilhamento não tenham acesso às credenciais usadas pelo cliente para identificação e autenticação. Isso demanda desenho de arquitetura, segregação de dados, testes de segurança, monitoramento de acessos e logs. Em fluxos sem redirecionamento, a aplicação deve observar regulamentação específica.
As áreas mais impactadas são Open Finance, pagamentos, tecnologia, riscos, compliance, jurídico regulatório, produtos e, em alguns temas, diretoria e financeiro. O pacote evita indicar todas essas áreas em todos os requisitos; cada item foi roteado para o público mais provável conforme a execução prática.
As evidências centrais de enquadramento incluem matriz de participação obrigatória, relatório da base de clientes, histórico trimestral, plano de adequação, inventário de entidades do conglomerado e aprovação de adesão voluntária. Para a jornada sem redirecionamento, as evidências incluem parecer regulatório, especificação funcional, telas, logs de consentimento, logs de autenticação, logs de confirmação, configuração de limites e relatórios de teste.
Para controles tecnológicos, as evidências esperadas incluem inventário de sistemas, arquitetura de autenticação, relatórios de segurança, logs de acesso a credenciais, indicadores de disponibilidade e relatórios de monitoramento. Para contratação de serviços de autenticação, a instituição deve guardar dossiê de diligência, contrato com cláusulas regulatórias, aprovação de risco e relatório de acompanhamento do prestador.
Para ressarcimento, a evidência esperada é financeira e contratual: matriz de cobrança de interfaces, conciliação de ressarcimentos, revisão de contratos e validação de que chamadas de interface relacionadas à iniciação de transação de pagamento não são objeto de ressarcimento vedado.
O principal ponto de atenção é não tratar a Resolução Conjunta nº 10/2024 como simples ajuste editorial. Embora seja uma norma alteradora, ela muda critérios de entrada e cria requisitos operacionais que afetam decisões de participação, tecnologia, segurança e experiência do cliente.
Outro ponto de atenção é o controle de conglomerado. Tanto o critério de cinco milhões de clientes quanto a participação voluntária podem depender de visão consolidada de grupo. Empresas com múltiplas entidades autorizadas pelo Banco Central devem evitar análises por CNPJ isolado quando o comando exigir avaliação de conglomerado.
Também merece atenção a dependência de regulamentação específica na jornada sem redirecionamento. O documento-fonte admite o modelo, mas não esgota todas as regras técnicas e operacionais. O pacote registra essa limitação sem incorporar normas posteriores como se fossem parte do documento-fonte. Na operação real, a empresa deve acoplar este requisito a atos complementares aplicáveis.
A criticidade foi calibrada para não classificar todos os itens como alta. Requisitos diretamente ligados à entrada obrigatória, consentimento, autenticação, confirmação, controles de segurança e credenciais receberam maior criticidade. Itens condicionados a evento, contratação ou modelo financeiro receberam criticidade média quando o impacto é relevante, mas dependente do contexto operacional.
A definição de transações de pagamento sucessivas foi mantida como documentoPonto e não virou requisito autônomo, porque define conceito usado por outros comandos. O art. 17, § 2º, foi tratado como ponto de apoio e absorvido nos requisitos de controles e autenticação, pois a norma fala em recomendações da convenção, não em obrigação empresarial direta isolada. O art. 46 foi mantido como ponto de governança de regulador, sem requisito empresarial próprio, porque o comando é dirigido ao Banco Central.
A revogação de dispositivos do art. 19 foi registrada em alterações de requisitos, sem recriar o conteúdo antigo. Isso preserva a lógica de norma alteradora: o pacote identifica o efeito operacional da revogação, mas não duplica requisitos da Resolução Conjunta nº 1/2020.
Este pacote é um acelerador regulatório, não uma curadoria certificada. A página oficial do ato final no ambiente do Banco Central foi identificada, mas a leitura estática exigiu apoio do voto oficial do CMN/BCB e da versão consolidada oficial da Resolução Conjunta nº 1/2020. Por isso, o manifest foi marcado como revisar, embora a identificação e os principais dispositivos tenham sido confirmados em fontes oficiais.
A segmentação também foi marcada com aviso, porque não há tags específicas para participantes obrigatórios do Pix, instituições iniciadoras de transação de pagamento, instituições com mais de cinco milhões de clientes ou participantes do Open Finance por modalidade. A empresa deve usar a segmentação como roteamento inicial e confirmar aplicabilidade com base em seu enquadramento regulatório, papel operacional, conglomerado e produtos oferecidos.
No uso prático, recomenda-se importar os requisitos, vincular cada item a owners internos, anexar evidências existentes, comparar com projetos de Open Finance já em andamento e complementar a análise com atos operacionais específicos que regulem a jornada sem redirecionamento, APIs, segurança e cronogramas aplicáveis.
Temas
Nenhum item vinculado a este artefato.
