O crescente uso de meios de pagamento eletrônicos permitiu o acesso a transações financeiras com métodos democráticos e inclusivos. Por outro lado, essa tendência gerou um aumento notável de ocorrência de fraudes e crimes cibernéticos. Nesse contexto desafiador, a importância de conhecer não apenas o cliente (Know Your Customer – KYC), mas também as próprias transações (Know Your Transaction – KYT), desempenha um papel vital na segurança, conformidade e integridade das operações financeiras.
Em um cenário de significativos desafios impostos pela inovação e desenvolvimento tecnológico, emerge a necessidade imperativa de uma abordagem preventiva abrangente, com a colaboração entre os participantes dos arranjos de pagamento, usuários finais dos serviços e entidades reguladoras para proteger não apenas os usuários finais, mas também a estabilidade e a segurança do próprio Sistema Financeiro Nacional.
Tenha acesso ao JOTA PRO Poder, uma plataforma de monitoramento político com informações de bastidores que oferece mais transparência e previsibilidade para empresas. Conheça!
Essa postura preventiva de combate a ilícitos, se traduz em mecanismos fundamentais de “Conheça o Seu Cliente” (KYC), complementados pelos mecanismos de “Conheça a Sua Transação” (KYT). Isso porque, embora os mecanismos do Know Your Customer (KYC) sejam importantes[1], eles não são capazes de prevenir 100% de todos os ilícitos de cibersegurança. Tornando necessária também uma atuação conjunta dos atores em uma esfera posterior ao onboarding de novos clientes, isto é, no monitoramento transacional.
Nesse sentido, atento aos riscos sistêmicos da atividade financeira, o Banco Central do Brasil (Bacen) instituiu um arcabouço regulatório específico para abordar essa fase subsequente e independente, dedicado à detecção de possíveis fraudes, com ênfase na análise de transações de pagamento, através de mecanismos de controle, em especial, os de KYT.
Aplicáveis não somente à prevenção de crimes financeiros, os mecanismos de KYT ajudam as instituições a detectarem atividades suspeitas ou incomuns, que fogem do padrão comportamental esperado de determinado cliente. Com base em dados gerados por essas análises, as instituições podem tomar medidas apropriadas para identificar atividades anormais, bloquear transações e comunicar às autoridades competentes.
Isso se tornou viável graças à criação de normas que não apenas definem procedimentos internos em face das instituições, mas também obrigam o compartilhamento de informações entre as instituições sobre situações potencialmente fraudulentas ou comprovadamente ilícitas. Esse compartilhamento possibilita a formação de estratégias setoriais no combate a fraudes, incluindo a formação de um banco de dados de comum acesso que facilita a identificação de quadrilhas de fraudadores e padrões de ilicitudes.
Significativo avanço veio com a Resolução BCB nº 142/2021, aplicável diretamente às instituições autorizadas a funcionar pelo Bacen e às integrantes do Sistema de Pagamentos Brasileiro (SPB), dispondo sobre procedimentos e controles para prevenção de fraudes na prestação de serviços de pagamento, que vão desde a fixação de limites de horário das transações até a elaboração de relatórios mensais sobre fraudes efetivamente ocorridas.
Inscreva-se no canal de notícias do JOTA no WhatsApp e fique por dentro das principais discussões do país!
Conforme o art. 4º do diploma supracitado, as instituições mencionadas devem manter registros diários detalhando as tentativas ou fraudes na prestação de serviços de pagamento, com ênfase nas transações de pagamento efetuadas, discriminando inclusive as medidas corretivas adotadas. Esses registros devem fazer parte dos relatórios mensais e estar disponíveis para o regulador pelo prazo mínimo de 5 (cinco) anos.
Outra evolução notável foi a transcendência dessas obrigações, que deixaram de ter meros fins de controles internos e comunicação às autoridades competentes e passaram a incorporar todos os participantes de forma conjunta e setorial, nos termos da Resolução Conjunta nº 06/2023.
A partir de 1º de novembro de 2023, as instituições autorizadas pelo Bacen, com exceção das administradoras de consórcio, passaram a ser obrigadas a realizar os procedimentos e os controles para prevenção de fraudes previstos na referida norma, além de comunicar informações pertinentes às autoridades. Ademais, as instituições são obrigadas a compartilhar dados e informações entre si para subsidiar procedimentos e controles para prevenção de fraudes.
Esse compartilhamento realizado por meio de sistema eletrônico deve contemplar, no mínimo, três funcionalidades: (i) registro de dados e de informações sobre indícios de ocorrências ou de tentativas de fraudes identificadas pelas instituições; (ii) alteração e exclusão dos dados e das informações registradas; e (iii) consulta dos dados e das informações registradas pelas instituições.
Tal registro de dados deverá ser composto por até quatro tipos de informações diferentes, quais sejam:
Identificação de quem, segundo indícios, executou ou tentou executar a fraude;
Descrição dos indícios da fraude;
Identificação da instituição responsável pelo registro dos dados e informações; e
Identificação dos dados da conta destinatária e de seu titular, no caso de transferência ou pagamento de recursos.
Ainda, a instituição deve obter do seu cliente o consentimento prévio e geral de modo a possibilitar o registro dos dados e das suas informações. De acordo com o art. 2º, §3º da norma, esse consentimento específico deve: (a) ter como finalidade o tratamento e o compartilhamento de dados e informações sobre indícios de fraudes no âmbito desta Resolução Conjunta; e (b) constar de contrato firmado entre o cliente e a instituição, mediante cláusula destacada no instrumento contratual ou outro instrumento jurídico válido, colocado à disposição do Bacen.
Cabe um breve parêntesis para esclarecer que, no caso da Resolução, o “consentimento”, difere-se do conceito de base legal previsto na LGPD, sendo adotado em sentido amplo significando a anuência manifestada por pessoa natural acerca de determinado ato ou fato jurídico. No entanto, por envolver inevitavelmente o tratamento de dados pessoais de clientes, o regulador incorporou o parágrafo 6º no artigo 2º da Resolução 06/2023, a observância da proteção de dados pessoais, ressaltando a importância de um diálogo harmonizado entre a regulação bancária e a LGPD.
Vale destacar a especialidade do diploma pois, além de não aplicável aos dados sigilosos, nos termos da Lei Complementar nº 105/2001 (Lei do Sigilo Bancário) e da Resolução CMN nº 4.282/2013, também não é oponível ao registro de dados e informações referentes às situações de suspeita de lavagem de dinheiro e financiamento ao terrorismo, que seguem arcabouço normativo próprio dada a importância do tema, previsto principalmente na Circular BCB nº 3.978/2020.
Ressalta-se novamente que a inobservância desses cuidados pode orientar a atividade de supervisão do Bacen fundamentada na Lei nº 13.506/2017 e na Resolução BCB nº 131/2021, cujo processo administrativo sancionador pode resultar na imposição de penas à pessoa jurídica e às pessoas naturais responsáveis pela conformidade da instituição.
Esse cuidado ganha ainda mais importância porque, em 4 de outubro de 2023, foi publicada a Resolução BCB nº 343/2023, versando sobre as medidas necessárias à execução do compartilhamento de dados e informações sobre indícios de fraudes, complementando a Resolução Conjunta nº 06/2023.
Foi definido um arcabouço mínimo ensejador da necessidade de registro de dados e informações sobre indícios de fraudes, a depender das atividades executadas pelas instituições. Assim, deverão ser registrados no sistema de compartilhamento entre as instituições, dados e informações caso haja indícios em: (i) abertura de contas de depósito ou de pagamento, (ii) prestação de serviço de pagamento, (iii) manutenção de conta de depósito ou de pagamento e (iv) contratação de operação de crédito.
Em adição, a prestação de serviço de pagamento, foco dos mecanismos de KYT, contempla os principais meios de pagamento hodiernamente em execução no país: (i) transferências entre contas na própria instituição;
Transferência Eletrônica Disponível (TED);
Transações de pagamento com emprego de cheque;
Transações de pagamento instantâneo (Pix);
Transferências por meio de Documento de Crédito (DOC);
Boletos de pagamento; e
Saques de recursos em espécie.
Necessário observar que a Resolução BCB nº 343/2023, nos termos de seu art. 2º, §2º, não se aplica ao registro de situações suspeitas de lavagem de dinheiro e financiamento ao terrorismo, as quais devem seguir rito de monitoramento próprio, conforme já mencionado.
Outra obrigação importante diz respeito ao prazo para registro no sistema de compartilhamento de dados e informações sobre situações potencialmente fraudulentas, que não poderá ser maior do que 24 horas contadas do momento da identificação pelas instituições do indício de ocorrência ou de tentativa de fraude em suas atividades.
Ainda se menciona a necessidade de interoperabilidade entre os sistemas de compartilhamento adotados por cada instituição, com leiautes padronizados e informações centralizadas, sem mencionar a necessidade de atendimento a requisitos técnicos de segurança e parâmetros sobre acordo de nível de serviço, entre outras obrigações.
À medida que o cenário financeiro evolui, as ameaças cibernéticas do mesmo modo tornam-se mais aprimoradas, tornando essencial o compromisso contínuo das instituições financeiras e das autoridades reguladoras em manter e fortalecer medidas proativas de segurança. O recente arcabouço regulatório implementado pelo Bacen representa um importante avanço na prevenção de diversos tipos de ilícitos, especialmente ao reconhecer a importância de etapas que transcendem o simples cadastro do cliente.
[1] Os desafios das empresas com as regras KYC: LGPD e Normas do Bacen. Disponível em: https://www.conjur.com.br/2023-out-28/opiniao-desafios-empresas-regras-kyc.