Resolução CMN N° 5.076

Conteúdo do Documento

RESOLUÇÃO CMN Nº 5.076, DE 18 DE MAIO DE 2023 Altera a Resolução nº 4.557, de 23 de fevereiro de 2017, e a Resolução nº 4.606, de 19 de outubro de 2017. O Banco Central do Brasil, na forma do art. 9º da Lei nº 4.595, de 31 de dezembro de 1964, torna público que o Conselho Monetário Nacional, em sessão realizada em 18 de maio de 2023, com base no art. 4º, incisos VIII e XI, da refer...

<div class="ExternalClass18848320AFC94800B39EF236D8CF70BA">



<style style="font-family:calibri;font-size:17.3333px;">
</style>

<div class="WordSection1" style="text-align:justify;">

RESOLUÇÃO CMN Nº
5.076, DE 18 DE MAIO DE 2023

Altera
a Resolução nº 4.557, de 23 de fevereiro de 2017, e a Resolução nº 4.606, de 19
de outubro de 2017.

O Banco
Central do Brasil, na forma do art. 9º da Lei nº 4.595, de 31 de dezembro de
1964, torna público que o Conselho Monetário Nacional, em sessão realizada em 18
de maio de 2023, com base <a name="_Hlk119069476"></a><a name="_Hlk119069319">no
art. 4º, incisos VIII e XI, da referida Lei, no art. 20, § 1º, da Lei nº 4.864,
de 29 de novembro de 1965, nos arts. 7º e 23 da Lei nº 6.099, de 12 de setembro
de 1974, e nos arts. 1º, § 1º, e 12 da Lei Complementar nº 130, de 17 de abril
de 2009,</a>

R E S O
L V E U :

Art. 1º  A Resolução
nº 4.557, de 23 de fevereiro de 2017, passa a vigorar com as seguintes
alterações:

“Art.
21.  ..........................................................................................................

.........................................................................................................................

§
1º  .................................................................................................................

I
- contraparte:

a)
o tomador de recursos;

b)
o garantidor;

c)
o emissor de título ou valor mobiliário adquirido;

d)
o usuário final perante o emissor de instrumento de pagamento pós-pago;

e)
o emissor perante o credenciador de instrumento de pagamento; e

f)
a instituição devedora de outra instituição decorrente de acordo de
interoperabilidade entre diferentes arranjos de pagamento; e

................................................................................................................”
(NR)

“Art.
32.  ..........................................................................................................

.........................................................................................................................

§
2º  .................................................................................................................

.........................................................................................................................

IV
- práticas inadequadas relativas a usuários finais, clientes, produtos e
serviços;

.........................................................................................................................

VI
- situações que acarretem a interrupção das atividades da instituição ou a
descontinuidade dos serviços prestados, incluindo o de pagamentos;

.........................................................................................................................

VIII
- falhas na execução, no cumprimento de prazos ou no gerenciamento das
atividades da instituição, incluindo aquelas relacionadas aos arranjos de
pagamento.

§
3º  Para as atividades de pagamento, as falhas mencionadas no § 2º incluem:

I
- falhas na proteção e na segurança de dados sensíveis relacionados tanto às
credenciais dos usuários finais quanto a outras informações trocadas com o
objetivo de efetuar transações de pagamento;

II
- falhas na identificação e autenticação do usuário final em transação de
pagamento;

III
- falhas na autorização das transações de pagamento; e

IV
- falhas na iniciação de transação de pagamento.” (NR)

“Art.
33.  ..........................................................................................................

.........................................................................................................................

IV
-
...................................................................................................................

a)
assegurem integridade, segurança e disponibilidade dos dados armazenados,
processados ou transmitidos e dos sistemas de informação utilizados;

b)
contenham mecanismos de proteção e segurança de redes, sítios eletrônicos,
servidores e canais de comunicação com vistas a reduzir a vulnerabilidade a
ataques digitais;

c)
adotem procedimentos para monitorar, rastrear e restringir acesso a dados
sensíveis, redes, sistemas, bases de dados e módulos de segurança;

d)
monitorem as falhas na segurança dos dados e as reclamações dos usuários finais
a esse respeito; e

e)
sejam adequados às necessidades e às mudanças do modelo de negócio, tanto em
circunstâncias normais quanto em períodos de estresse;

.........................................................................................................................

VI
- realização periódica de análises de cenários com o objetivo de estimar a
exposição da instituição a eventos de risco operacional raros e de alta
severidade;

VII
- revisão das medidas de segurança e de sigilo de dados, especialmente depois
da ocorrência de falhas e previamente a alterações na infraestrutura ou nos
procedimentos;

VIII
- elaboração de relatórios que indiquem procedimentos para correção de falhas
identificadas;

IX
- realização de testes que assegurem a robustez e a efetividade das medidas de
segurança de dados adotadas;

X
- segregação de funções nos ambientes de tecnologia da informação destinados ao
desenvolvimento, teste e produção.

§
1º  No caso de terceirização de serviços de TI, incluindo os relacionados com a
segurança dos serviços de pagamento oferecidos, o respectivo contrato de
prestação de serviços deve estipular que:

I
- o contratado deverá atender ao disposto nos incisos IV, VII, VIII, IX e X do caput
e ao disposto no § 3º;

II
- a contratante terá acesso aos dados e às informações sobre os serviços
prestados;

III
- o Banco Central do Brasil terá acesso a:

a)
termos firmados;

b)
documentação e informações referentes aos serviços prestados; e

c)
dependências do contratado.

.........................................................................................................................

§
3º  Para as atividades de pagamentos, a estrutura de que trata o caput
deve prever adicionalmente:

I
- identificação adequada do usuário final;

II
- processos para assegurar que todas as transações de pagamento possam ser
adequadamente rastreadas;

III
- mecanismos de monitoramento e de autorização das transações de pagamento, com
o objetivo de prevenir fraudes, detectar e bloquear transações suspeitas de
forma tempestiva;

IV
- avaliações e filtros específicos para identificar transações consideradas de
alto risco;

V
- notificação ao usuário final acerca de eventual não execução de uma
transação;

VI
- mecanismos que permitam ao usuário final verificar se a transação foi
executada corretamente;

VII
- identificação, avaliação, gerenciamento, monitoramento e mitigação do risco
decorrente da participação de subcredenciador no processo de liquidação das
transações de pagamento, no caso de instituição credenciadora; e

VIII
- mecanismos de monitoramento e controle de falhas na iniciação de transações
de pagamento, segregando, no mínimo, os seguintes eventos:

a)
iniciação de transação de pagamento não autorizada;

b)
não execução de iniciação de transação de pagamento;

c)
execução incorreta de iniciação de transação de pagamento; e

d)
atraso na iniciação de transação de pagamento.” (NR)

“Art.
37.  ..........................................................................................................

.........................................................................................................................

Parágrafo
único.  A definição de que trata o inciso I do caput inclui a
possibilidade de a instituição emissora de moeda eletrônica não ser capaz de
convertê-la em moeda física ou escritural no momento da solicitação do
usuário.” (NR)

Art. 2º  A Resolução nº 4.606, de 19 de
outubro de 2017, passa a vigorar com as seguintes alterações:

“Art.
20.  ..........................................................................................................

.........................................................................................................................

Parágrafo
único.  A instituição optante pela metodologia simplificada de que trata esta
Resolução que realize atividades de pagamento ou que tenha subsidiária que
realize atividade de pagamentos deve implementar estrutura de gerenciamento do
risco de liquidez conforme o disposto na Seção II-A.” (NR)

“Art.
21. 
..........................................................................................................

.........................................................................................................................

VI
- plano para enfrentar situações de escassez de ativos líquidos, indicando as
responsabilidades, as estratégias, os procedimentos e as fontes alternativas de
recursos que assegurem a manutenção de estoque adequado de ativos líquidos que
possam ser prontamente convertidos em caixa sem perda relevante de valor;

................................................................................................................”
(NR)

“Art.
22.  ..........................................................................................................

.........................................................................................................................

§
2º  .................................................................................................................

.........................................................................................................................

IV
- práticas inadequadas relativas a usuários finais, clientes, produtos e
serviços;

.........................................................................................................................

VI
- situações que acarretem a interrupção das atividades das instituições ou a
descontinuidade dos serviços prestados, incluindo o de pagamento;

.........................................................................................................................

VIII
- falhas na execução, no cumprimento de prazos ou no gerenciamento das
atividades das instituições, incluindo aquelas relacionadas aos arranjos de
pagamento.

§
3º  Para as atividades de pagamento, as falhas mencionadas no § 2º incluem:

I
- falhas na proteção e na segurança de dados sensíveis relacionados tanto às
credenciais dos usuários finais quanto a outras informações trocadas com o
objetivo de efetuar transações de pagamento;

II
- falhas na identificação e autenticação do usuário final em transação de
pagamento;

III
- falhas na autorização das transações de pagamento; e

IV
- falhas na iniciação de transação de pagamento.” (NR)

“Art.
23.  ..........................................................................................................

.........................................................................................................................

§
1º  .................................................................................................................

.........................................................................................................................

II
- .....................................................................................................................

.........................................................................................................................

c)
dependências do contratado;

.........................................................................................................................

IV
- o contratado deverá atender ao disposto no inciso IV do caput; e

V
- no caso de terceirização de serviços de TI relacionados a serviços de
pagamento, o contratado também deverá atender ao disposto no § 3º.

.........................................................................................................................

§
3º  Para a instituição optante pela metodologia simplificada de que trata esta
Resolução que realize atividades de pagamento ou que tenha subsidiária que
realize atividade de pagamentos, a estrutura de que trata o caput deve
prever adicionalmente para as atividades de pagamento:

I
- mecanismos de proteção e segurança dos dados armazenados, processados ou
transmitidos;

II
- mecanismos de proteção e segurança de redes, sítios eletrônicos, servidores e
canais de comunicação com vistas a reduzir a vulnerabilidade a ataques;

III
- procedimentos para monitorar, rastrear e restringir acesso a dados sensíveis,
redes, sistemas, bases de dados e módulos de segurança;

IV
- monitoramento das falhas na segurança dos dados e das reclamações dos
usuários finais a esse respeito;

V
- revisão das medidas de segurança e de sigilo de dados, especialmente depois
da ocorrência de falhas e previamente a alterações na infraestrutura ou nos
procedimentos;

VI
- elaboração de relatórios que indiquem procedimentos para correção de falhas
identificadas;

VII
- realização de testes que assegurem a robustez e a efetividade das medidas de
segurança de dados adotadas;

VIII
- segregação de funções nos ambientes de tecnologia da informação destinados ao
desenvolvimento, teste e produção;

IX
- identificação adequada do usuário final;

X
- mecanismos de autenticação dos usuários finais e de autorização das
transações de pagamento;

XI
- processos para assegurar que todas as transações de pagamento possam ser
adequadamente rastreadas;

XII
- mecanismos de monitoramento e de autorização das transações de pagamento, com
o objetivo de prevenir fraudes, detectar e bloquear transações suspeitas de
forma tempestiva;

XIII
- avaliações e filtros específicos para identificar transações consideradas de
alto risco;

XIV
- notificação ao usuário final acerca de eventual não execução de uma
transação;

XV
- mecanismos que permitam ao usuário final verificar se a transação foi
executada corretamente;

XVI
- identificação, avaliação, gerenciamento, monitoramento e mitigação do risco
decorrente da participação de subcredenciador no processo de liquidação das
transações de pagamento, no caso de instituição credenciadora; e

XVII
- mecanismos de monitoramento e controle de falhas na iniciação de transações
de pagamento, segregando, no mínimo, os seguintes eventos:

a)
iniciação de transação de pagamento não autorizada;

b)
não execução de iniciação de transação de pagamento;

c)
execução incorreta de iniciação de transação de pagamento; e

d)
atraso na iniciação de transação de pagamento.” (NR)

“Seção II-A

Do Gerenciamento do Risco
de Liquidez

Art.
24-A.  Para fins desta Resolução, define-se o risco de liquidez como a
possibilidade de a instituição:

I
- não ser capaz de honrar eficientemente suas obrigações esperadas e
inesperadas, correntes e futuras sem afetar suas operações diárias e sem
incorrer em perdas significativas; ou

II
- não ser capaz de converter moeda eletrônica em moeda física ou escritural no
momento da solicitação do usuário.

Art.
24-B.  A estrutura simplificada de gerenciamento contínuo de riscos, de que
trata o art. 21, deve prever, adicionalmente, para o risco de liquidez
processos para identificar, avaliar, monitorar e controlar a exposição ao risco
de liquidez em diferentes horizontes de tempo, inclusive intradia.

Art.
24-C.  A instituição emissora de moeda eletrônica deve descrever as principais
caraterísticas de sua estrutura de gerenciamento do risco de liquidez em
relatório de acesso público, com periodicidade mínima anual.

Parágrafo
único.  A instituição deve divulgar, em conjunto com suas demonstrações
contábeis publicadas, o endereço do sítio da instituição na internet onde se
encontra o relatório mencionado no caput.” (NR)

“Art.
25.  ..........................................................................................................

.........................................................................................................................

III
- vantagens concedidas na reestruturação de instrumentos financeiros, conforme
definido no § 1º, inciso II;

.........................................................................................................................

§
1º  .................................................................................................................

I
- contraparte:

a)
o tomador de recursos;

b)
o garantidor;

c)
o emissor de título ou valor mobiliário adquirido;

d)
o usuário final perante o emissor de instrumento de pagamento pós-pago;

e)
o emissor perante o credenciador de instrumento de pagamento; e

f)
a instituição devedora de outra instituição decorrente de acordo de interoperabilidade
entre diferentes arranjos de pagamento; e

................................................................................................................”
(NR)

Art. 3º  Esta Resolução entra em vigor em 1º
de julho de 2023.

Roberto de Oliveira Campos Neto Presidente do Banco Central do Brasil

</div>

</div>

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.

Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.

Acesso Exclusivo para Assinantes

Cadastre-se ou faça login com sua conta do Radar Finsiders Brasil para visualizar esta regulação na íntegra, fazer download dos arquivos e ter acesso a relatórios exclusivos do mercado financeiro.

Entrar na Conta Conhecer Planos

Resolução CMN N° 5.076

Sumário Regulatório

Conteúdo do Documento

Acesso Exclusivo para Assinantes

Tags Relacionadas