resolucao_bcb_368_04

RESOLUÇÃO BCB N° 28/20
ALTERAÇÃO

RESOLUÇÃO BCB N° 368, de 25.01.2024
(DOU de 26.01.2024)

Altera as Resoluções BCB ns. 28, de 23 de outubro de 2020; 65, de 26 de janeiro de 2021; 85, de 8 de abril de 2021; 93, de 6 de maio de 2021; 155, de 14 de outubro de 2021; e 260, de 22 de novembro de 2022, para incluir em seus escopos de aplicação as sociedades corretoras de títulos e valores mobiliários, as sociedades distribuidoras de títulos e valores mobiliários e as sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil.

A DIRETORIA COLEGIADA DO BANCO CENTRAL DO BRASIL, em sessão realizada em 23 de janeiro de 2024, com base no art. 9°-A, incisos I e II, da Lei n° 4.728, de 14 de julho de 1965, 6° e 7°, inciso III, da Lei n° 11.795, de 8 de outubro de 2008, 9°, incisos II e IX, alínea "b", e 15 da Lei n° 12.865, de 9 de outubro de 2013,

RESOLVE:

Art. 1° A ementa da Resolução BCB n° 28, de 23 de outubro de 2020, passa a vigorar com a seguinte alteração: "Dispõe sobre a constituição e o funcionamento de componente organizacional de ouvidoria pelas instituições de pagamento, pelas administradoras de consórcio, pelas sociedades corretoras de títulos e valores mobiliários, pelas sociedades distribuidoras de títulos e valores mobiliários e pelas sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil." (NR)

Art. 2° A Resolução BCB n° 28, de 2020, passa a vigorar com as seguintes alterações:

"Art. 2° O componente organizacional de ouvidoria deve ser constituído pelas seguintes instituições:

I - instituições de pagamento, sociedades corretoras de títulos e valores mobiliários, sociedades distribuidoras de títulos e valores mobiliários e sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil que tenham clientes pessoas naturais, inclusive empresários individuais, ou pessoas jurídicas classificadas como microempresas e empresas de pequeno porte, nos termos da Lei Complementar n° 123, de 14 de dezembro de 2006; e

........................................................................................................................." (NR)

"Art. 3° Para fins desta Resolução, também considera-se cliente:

........................................................................................................................." (NR)

"Art. 4° ....................................................................................................................

..................................................................................................................................

II - atuar como canal de comunicação entre a instituição mencionada no art. 2° e os seus clientes, inclusive na mediação de conflitos.

........................................................................................................................." (NR)

"Art. 5° ...................................................................................................................

I - no caso de instituição mencionada no inciso I do caput do art. 2°, com a natureza e a complexidade dos produtos, serviços, atividades, processos e sistemas de cada instituição; e

........................................................................................................................" (NR)

"Art. 6° É admitido o compartilhamento de ouvidoria pelas instituições mencionadas no art. 2°, observadas as seguintes situações e regras:

.................................................................................................................................

II - a instituição não enquadrada no disposto no inciso I pode compartilhar a ouvidoria constituída:

..................................................................................................................................

§ 2° O disposto no inciso II, alínea "b", do caput, somente se aplica a associação de classe que possuir código de ética ou de autorregulação efetivamente implantado, ao qual a instituição tenha aderido." (NR)

"Art. 8° As instituições mencionadas no art. 2° devem:

........................................................................................................................" (NR)

"Art. 9° ....................................................................................................................

..................................................................................................................................

§ 2° As alterações estatutárias ou contratuais exigidas por esta Resolução relativas às instituições mencionadas no art. 2° que optarem pela faculdade prevista no art. 6°, inciso I, podem ser promovidas somente pela instituição que constituir a ouvidoria.

§ 3° A instituição que não constituir ouvidoria própria em decorrência da faculdade prevista no art. 6°, inciso II, deve ratificar a decisão na primeira assembleia geral ou na primeira reunião de diretoria realizada após tal decisão." (NR)

"Art. 10. As instituições mencionadas no art. 2° devem designar, perante o Banco Central do Brasil, os nomes do ouvidor e do diretor ou administrador responsável pela ouvidoria, observadas as seguintes condições:

I - o diretor ou administrador responsável pela ouvidoria pode desempenhar outras funções, inclusive a de ouvidor, exceto a de diretor de administração de recursos de terceiros;

II - no caso das instituições de pagamento e administradoras de consórcio, o ouvidor não poderá desempenhar outra função, exceto a de diretor ou administrador responsável pela ouvidoria;

III - nas situações em que o ouvidor desempenhe outra atividade na instituição, essa atividade não pode configurar conflito de interesses ou de atribuições; e

IV - na hipótese de a designação de diretor ou administrador responsável pela ouvidoria e de ouvidor nas instituições de pagamento e administradoras de consórcio recaírem sobre a mesma pessoa, esta não poderá desempenhar outra função." (NR)

"Art. 12. Para cumprimento do disposto no caput do art. 10, nas hipóteses previstas no art. 6°, inciso II, as instituições mencionadas no art. 2° devem:

........................................................................................................................." (NR)

"Art. 14. As instituições mencionadas no art. 2° devem divulgarsemestralmente, nos respectivos sítios eletrônicos na internet, informações relativas às atividades desenvolvidas pela ouvidoria." (NR)

"Art. 16. As instituições mencionadas no art. 2° devem adotar providências para que os integrantes da ouvidoria que realizem as atividades mencionadas no art. 7° sejam considerados aptos em exame de certificação organizado por entidade de reconhecida capacidade técnica.

..................................................................................................................................
§ 3° As instituições mencionadas no art. 2° devem assegurar a capacitação permanente dos integrantes das respectivas ouvidorias em relação aos temas mencionados no § 1°.

........................................................................................................................." (NR)

"Art. 18. ...................................................................................................................

Parágrafo único. O disposto no caput deve ser observado, inclusive, pela instituição mencionada no art. 2° que não constituir componente de ouvidoria próprio em decorrência da faculdade prevista no art. 6°." (NR)

Art. 3° A ementa da Resolução BCB n° 65, de 26 de janeiro de 2021, passa a vigorar com a seguinte alteração:

"Dispõe sobre a política de conformidade (compliance) das administradoras deconsórcio, das instituições de pagamento, das sociedades corretoras de títulos e valores mobiliários, das sociedades distribuidoras de títulos e valores mobiliários e das sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil." (NR)

Art. 4° A Resolução BCB n° 65, de 2021, passa a vigorar com as seguintes alterações:

"Art. 1° Esta Resolução regulamenta a política de conformidade (compliance) aplicável às seguintes instituições autorizadas a funcionar pelo Banco Central do Brasil:

I - administradoras de consórcio;

II - instituições de pagamento;

III - sociedades corretoras de títulos e valores mobiliários;

IV - sociedades distribuidoras de títulos e valores mobiliários; e

V - sociedades corretoras de câmbio." (NR) "Art. 2° As instituições mencionadas no art. 1° devem implementar e manter política de conformidade compatível com a natureza, o porte, a complexidade, a estrutura, o perfil de risco e o modelo de negócio, de forma a assegurar o efetivo gerenciamento do seu risco de conformidade.

§ 1° Para fins desta Resolução, considera-se risco de conformidade a possibilidade de a instituição sofrer sanções legais ou administrativas, perdas financeiras, danos de reputação e outros danos, decorrentes de descumprimento ou falhas na observância do arcabouço legal, da regulamentação infralegal, das recomendações dos órgãos reguladores e dos códigos de autorregulação aplicáveis.

§ 2° O risco de conformidade deve ser gerenciado pelas sociedades corretoras de títulos e valores mobiliários, pelas sociedades distribuidoras de títulos e valores mobiliários e pelas sociedades corretoras de câmbio, de forma integrada com os demais riscos incorridos pela instituição, nos termos da regulamentação específica." (NR)

"Art. 7° ....................................................................................................................

I - testar e avaliar a aderência da instituição mencionada no art. 1° ao arcabouço legal, à regulamentação infralegal, às recomendações dos órgãos de supervisão e, quando aplicáveis, aos códigos de ética, de conduta e outros regulamentos que estejam obrigadas a observar;

..................................................................................................................................

V - elaborar relatório, com periodicidade mínima anual, contendo o sumário dos resultados das atividades relacionadas com a função de conformidade, suas principais conclusões, recomendações e providências tomadas pela administração da instituição mencionada no art. 1°; e

..................................................................................................................................

Parágrafo único. As instituições mencionadas no art. 1° poderão contratar especialistas para a execução de atividades relacionadas com a política de conformidade, mantidas integralmente as atribuições e responsabilidades do conselho de administração." (NR)

"Art. 9° ....................................................................................................................

I - ..............................................................................................................................

..................................................................................................................................

d) a disseminação de padrões de integridade e conduta ética como parte da cultura da instituição;

........................................................................................................................." (NR)

"Art. 10. Para as instituições mencionadas no art. 1° que não possuam conselho de administração, as atribuições e responsabilidades previstas nesta Resolução devem ser imputadas à sua diretoria ou aos seus administradores." (NR)

"Art. 11. As instituições mencionadas no art. 1° devem manter à disposição do Banco Central do Brasil:

........................................................................................................................." (NR)

Art. 5° A ementa da Resolução BCB n° 85, de 8 de abril de 2021, passa a vigorar com a seguinte alteração:

"Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento, pelas sociedades corretoras de títulos e valores mobiliários, pelas sociedades distribuidoras de títulos e valores mobiliários e pelas sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil." (NR)

Art. 6° A Resolução BCB n° 85, de 2021, passa a vigorar com as seguintes alterações:

"Art. 1° Esta Resolução dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento, pelas sociedades corretoras de títulos e valores mobiliários, pelas sociedades distribuidoras de títulos e valores mobiliários e pelas sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil." (NR)

"Art. 2° As instituições mencionadas no art. 1° devem implementar e manter política de segurança cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.

..................................................................................................................................

§ 2° As instituições integrantes de conglomerado prudencial podem adotar política de segurança cibernética única do conglomerado prudencial, nos termos da regulamentação em vigor, desde que compatível com o disposto neste Capítulo.

§ 3° As instituições que não constituírem política de segurança cibernética própria em decorrência do disposto no § 2° devem formalizar a opção por essa faculdade em reunião do conselho de administração ou, na sua inexistência, da diretoria da instituição." (NR)

"Art. 3° ....................................................................................................................

I - os objetivos de segurança cibernética da instituição;

II - os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética;

..................................................................................................................................

IV - o registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da instituição;

V - .............................................................................................................................

a) a elaboração de cenários de incidentes considerados nos testes de continuidade de negócios;

b) a definição de procedimentos e de controles voltados à prevenção e ao tratamento dos incidentes a serem adotados por empresas prestadoras de serviços a terceiros que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição;

..................................................................................................................................

VI - os mecanismos para disseminação da cultura de segurança cibernética na instituição, incluindo:

..................................................................................................................................

b) a prestação de informações a clientes e a usuários finais sobre precauções na utilização de produtos e serviços oferecidos; e

..................................................................................................................................

VII - as iniciativas para compartilhamento de informações sobre os incidentes relevantes, mencionados no inciso IV, com as instituições mencionadas no art. 1° e com as demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

§ 1° Na definição dos objetivos de segurança cibernética referidos no inciso I do caput, deve ser contemplada a capacidade de a instituição prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético.

..................................................................................................................................

§ 3° Os procedimentos e os controles citados no inciso II do caput devem ser aplicados, inclusive, no desenvolvimento de sistemas de informação seguros e na adoção de novas tecnologias empregadas nas atividades da instituição.

..................................................................................................................................

§ 5° As diretrizes de que trata a alínea "b" do inciso V do caput devem contemplar procedimentos e controles em níveis de complexidade, abrangência e precisão compatíveis com os utilizados pela própria instituição." (NR)

"Art. 4° A política de segurança cibernética deve ser divulgada aos funcionários da instituição mencionada no art. 1° e às empresas prestadoras de serviços a terceiros, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações." (NR)

"Art. 5° As instituições mencionadas no art. 1° devem divulgar ao público resumo contendo as linhas gerais da política de segurança cibernética." (NR)

"Art. 6° As instituições mencionadas no art. 1° devem estabelecer plano de ação e de resposta a incidentes visando à implementação da política de segurança cibernética.

........................................................................................................................." (NR)

"Art. 7° As instituições mencionadas no art. 1° devem designar diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes.

........................................................................................................................." (NR)

"Art. 8° As instituições mencionadas no art. 1° devem elaborar relatório anual sobre a implementação do plano de ação e de resposta a incidentes, mencionado no art. 6°, com data-base de 31 de dezembro.

§ 1° ..........................................................................................................................

..................................................................................................................................

IV - os resultados dos testes de continuidade de negócios, considerando cenários de indisponibilidade ocasionada por incidentes.

§ 2° O relatório mencionado no caput deve ser:

I - submetido ao comitê de risco, quando existente; e

II - apresentado ao conselho de administração ou, na sua inexistência, à diretoria da instituição até 31 de março do ano seguinte ao da data-base." (NR)

"Art. 9° A política de segurança cibernética referida no art. 2° e o plano de ação e de resposta a incidentes mencionado no art. 6° devem ser aprovados pelo conselho de administração ou, na sua inexistência, pela diretoria da instituição mencionada no art. 1°." (NR)

"Art. 11. As instituições mencionadas no art. 1° devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no país ou no exterior." (NR)

"Art. 12. As instituições mencionadas no art. 1°, previamente à contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, devem adotar procedimentos que contemplem:

..................................................................................................................................

II - .............................................................................................................................

..................................................................................................................................

g) a identificação e a segregação dos dados dos clientes e dos usuários finais da instituição por meio de controles físicos ou lógicos; e

h) a qualidade dos controles de acesso voltados à proteção dos dados e das informações dos clientes e dos usuários finais da instituição.

........................................................................................................................." (NR)

"Art. 13. Para os fins do disposto nesta Resolução, os serviços de computação em nuvem abrangem a disponibilidade à instituição contratante, sob demanda e de maneira virtual, de ao menos um dos seguintes serviços:

........................................................................................................................." (NR)

"Art. 14. A instituição contratante dos serviços mencionados no art. 12 é responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor." (NR)

"Art. 15. A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem deve ser comunicada pelas instituições mencionadas no art. 1° ao Banco Central do Brasil.

........................................................................................................................." (NR)

"Art. 16. ...................................................................................................................

..................................................................................................................................

II - a instituição contratante deve assegurar que a prestação dos serviços referidos no caput não cause prejuízos ao seu regular funcionamento nem embaraço à atuação do Banco Central do Brasil;

III - a instituição contratante deve definir, previamente à contratação, os países e as regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados; e

IV - a instituição contratante deve prever alternativas para a continuidade dos negócios, no caso de impossibilidade de manutenção ou extinção do contrato de prestação de serviços.
§ 1° No caso de inexistência de convênio nos termos do inciso I do caput, ainstituição contratante deverá solicitar autorização do Banco Central do Brasil para:

..................................................................................................................................

§ 2° Para atendimento aos incisos II e III do caput, as instituições deverão assegurar que a legislação e a regulamentação nos países e nas regiões em cada país onde os serviços poderão ser prestados não restringem nem impedem o acesso das instituições contratantes e do Banco Central do Brasil aos dados e às informações.

........................................................................................................................." (NR)

"Art. 17. ...................................................................................................................

..................................................................................................................................

III - a manutenção, enquanto o contrato estiver vigente, da segregação dos dados e dos controles de acesso para proteção das informações dos clientes e dos usuários finais;

IV - ............................................................................................................................

a) transferência dos dados citados no inciso I ao novo prestador de serviços ou à instituição contratante; e

..................................................................................................................................

V - o acesso da instituição contratante a:

..................................................................................................................................

VI - a obrigação de a empresa contratada notificar a instituição contratante sobre a subcontratação de serviços relevantes para a instituição;

..................................................................................................................................

VIII - a adoção de medidas pela instituição contratante, em decorrência de determinação do Banco Central do Brasil; e

IX - a obrigação de a empresa contratada manter a instituição contratante permanentemente informada sobre eventuais limitações que possam afetar a prestação dos serviços ou o cumprimento da legislação e da regulamentação em vigor.

Parágrafo único. Os contratos mencionados no caput devem prever, para o caso da decretação de regime de resolução da instituição contratante pelo Banco Central do Brasil:

..................................................................................................................................

II - .............................................................................................................................

..................................................................................................................................

b) a notificação prévia deverá ocorrer também na situação em que a interrupção for motivada por inadimplência da instituição contratante." (NR)

"Art. 19. As instituições mencionadas no art. 1° devem assegurar que suas políticas previstas na estrutura de gerenciamento de riscos, nos termos da regulamentação em vigor, disponham, no tocante à continuidade dos negócios, sobre:

..................................................................................................................................

III - os cenários de incidentes considerados nos testes de continuidade de negócios de que trata o art. 3°, inciso V, alínea "a"." (NR)

"Art. 20. Os procedimentos adotados pelas instituições mencionadas no art. 1° para gerenciamento de riscos previstos na regulamentação em vigor devem especificar, no tocante à continuidade dos negócios:

..................................................................................................................................

III - a comunicação tempestiva ao Banco Central do Brasil das ocorrências de incidentes relevantes e das interrupções dos serviços relevantes, citados no inciso I, que configurem situação de crise pela instituição mencionada no art. 1°, bem como das providências para o reinício das suas atividades.

Parágrafo único. As instituições mencionadas no art. 1° devem estabelecer e documentar os critérios que configurem a situação de crise de que trata o inciso III do caput." (NR)

"Art. 21. As instituições mencionadas no art. 1° devem instituir mecanismos de acompanhamento e de controle com vistas a assegurar a implementação e a efetividade da política de segurança cibernética, do plano de ação e de resposta a incidentes e dos requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, incluindo:

........................................................................................................................." (NR)

"Art. 22. Sem prejuízo do dever de sigilo e da livre concorrência, as instituições mencionadas no art. 1° devem desenvolver iniciativas para o compartilhamento de informações sobre os incidentes relevantes de que trata o art. 3°, inciso IV.

........................................................................................................................." (NR)

Art. 7° A ementa da Resolução BCB n° 93, de 6 de maio de 2021, passa a vigorar com a seguinte alteração:

"Dispõe sobre a atividade de auditoria interna nas administradoras de consórcio, nas instituições de pagamento, nas sociedades corretoras de títulos e valores mobiliários, nas sociedades distribuidoras de títulos e valores mobiliários e nas sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil." (NR)

Art. 8° A Resolução BCB n° 93, de 2021, passa a vigorar com as seguintes alterações:

"Art. 1° Esta Resolução regulamenta a atividade de auditoria interna nas seguintes instituições autorizadas a funcionar pelo Banco Central do Brasil:

I - administradoras de consórcio;

II - instituições de pagamento;

III - sociedades corretoras de títulos e valores mobiliários;

IV - sociedades distribuidoras de títulos e valores mobiliários; e

V - sociedades corretoras de câmbio." (NR)

"Art. 2° As instituições mencionadas no art. 1° devem implementar e manter atividade de auditoria interna compatível com a natureza, o porte, a complexidade, a estrutura, o perfil de risco e o modelo de negócio da instituição.

........................................................................................................................." (NR)

"Art. 3° A atividade de auditoria interna deve ser realizada por unidade específica da instituição mencionada no art. 1° ou de outra instituição autorizada a funcionar pelo Banco Central do Brasil integrante do mesmo conglomerado prudencial, diretamente subordinada ao conselho de administração.

§ 1° ..........................................................................................................................

I - por auditor independente devidamente habilitado, na forma da regulamentação vigente, para prestar serviços de auditoria independente para instituições autorizadas a funcionar pelo Banco Central do Brasil, desde que este não seja responsável pela auditoria das demonstrações financeiras da instituição mencionada no art. 1° ou por qualquer outra atividade com potencial conflito de interesses;

II - pela auditoria da entidade de classe a que a instituição mencionada no art. 1° seja filiada; ou

III - por auditoria de entidade de classe de outras instituições autorizadas a funcionar pelo Banco Central do Brasil, mediante convênio, previamente aprovado por essa autarquia, celebrado entre a entidade a que a instituição mencionada no art. 1° seja filiada e a entidade prestadora do serviço.

§ 2° O disposto no § 1° não se aplica às instituições mencionadas no art. 1° que, na forma da regulamentação vigente, estão obrigadas a constituir comitê de auditoria." (NR)

"Art. 7° As instituições mencionadas no art. 1° devem garantir aos membros da equipe de auditoria, no desempenho de suas atividades:

........................................................................................................................." (NR)

"Art. 10. O escopo da atividade de auditoria interna deve considerar todas as funções da instituição mencionada no art. 1°, incluindo as terceirizadas.

........................................................................................................................." (NR)

"Art. 13. As instituições mencionadas no art. 1° devem elaborar e manterregulamento específico para a atividade de auditoria interna, aprovado pelo conselho de administração e pelo comitê de auditoria, quando constituído." (NR)

"Art. 17. Os responsáveis pela atividade de auditoria interna das instituições mencionadas no art. 1° devem elaborar os seguintes documentos:

........................................................................................................................." (NR)

"Art. 19. O conselho de administração é o órgão responsável pela observância, por parte da instituição mencionada no art. 1°, das normas e procedimentos aplicáveis à atividade de auditoria interna." (NR)

"Art. 21. Para as instituições mencionadas no art. 1° que não possuam conselho de administração, as atribuições, competências e requisitos previstos nesta Resolução devem ser imputados à sua diretoria ou aos seus administradores." (NR)

"Art. 23. As instituições mencionadas no art. 1° devem manter à disposição do Banco Central do Brasil:

........................................................................................................................." (NR)

Art. 9° A ementa da Resolução BCB n° 155, de 14 de outubro de 2021, passa a vigorar com a seguinte alteração: "Dispõe sobre princípios e procedimentos a serem adotados no relacionamento com clientes e usuários de produtos e de serviços pelas administradoras de consórcio, pelas instituições de pagamento, pelas sociedades corretoras de títulos e valores mobiliários, pelas sociedades distribuidoras de títulos e valores mobiliários e pelas sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil." (NR)

Art. 10. A Resolução BCB n° 155, de 2021, passa a vigorar com as seguintes alterações:

"Art. 1° Esta Resolução dispõe sobre princípios e procedimentos a serem adotados no relacionamento com clientes e usuários de produtos e de serviços pelas seguintes instituições autorizadas a funcionar pelo Banco Central do Brasil:

I - administradoras de consórcio;

II - instituições de pagamento;

III - sociedades corretoras de títulos e valores mobiliários;

IV - sociedades distribuidoras de títulos e valores mobiliários; e

V - sociedades corretoras de câmbio.

........................................................................................................................." (NR)

"Art. 2° As instituições mencionadas no art. 1°, no relacionamento com clientes e usuários de produtos e de serviços, devem conduzir suas atividades com observância de princípios de ética, responsabilidade, transparência e diligência, propiciando a convergência de interesses e a consolidação de imagem institucional de credibilidade, segurança e competência." (NR)

"Art. 4° As instituições mencionadas no art. 1°, na contratação de operações e na prestação de serviços, devem assegurar:

..................................................................................................................................

V - identificação dos usuários finais beneficiários de pagamento ou transferência em demonstrativos e extratos de contas de registro e de pagamento, inclusive nas situações em que o serviço de pagamento envolver instituições participantes de diferentes arranjos de pagamento; e

........................................................................................................................." (NR)

"Art. 6° As instituições mencionadas no art. 1° devem elaborar e implementar política institucional de relacionamento com clientes e usuários que consolide diretrizes, objetivos estratégicos e valores organizacionais, de forma a nortear a condução de suas atividades em conformidade com o disposto no art. 2°.

..................................................................................................................................

§ 3° As instituições mencionadas no art. 1° que não constituírem política própria em decorrência da faculdade prevista no § 2° devem formalizar a decisão em reunião do conselho de administração ou da diretoria.

........................................................................................................................." (NR)

"Art. 7° As instituições mencionadas no art. 1° devem assegurar a consistência de rotinas e de procedimentos operacionais afetos ao relacionamento com clientes e usuários, bem como sua adequação à política institucional de relacionamento de que trata o art. 6°, inclusive quanto aos seguintes aspectos:

..................................................................................................................................

§ 1° Com relação ao disposto nos incisos II e III do caput, e em observância ao disposto no art. 4°, inciso I, as instituições mencionadas no art. 1° devem estabelecer o perfil dos clientes que compõem o público-alvo para os produtos e serviços disponibilizados, considerando suas características e complexidade.

..................................................................................................................................

§ 3° Para fins do disposto no caput, as instituições mencionadas no art. 1° devem, adicionalmente:

........................................................................................................................." (NR)

"Art. 8° Em relação à política institucional de relacionamento com clientes e usuários, as instituições mencionadas no art. 1° devem instituir mecanismos de acompanhamento, de controle e de mitigação de riscos com vistas a assegurar:

........................................................................................................................." (NR)

"Art. 9° As instituições mencionadas no art. 1° devem indicar ao Banco Central do Brasil diretor responsável pelo cumprimento das obrigações previstas nesta Resolução." (NR)

Art. 11. A ementa da Resolução BCB n° 260, de 22 de novembro de 2022, passa a vigorar com a seguinte alteração:

"Dispõe sobre os sistemas de controles internos das administradoras de consórcio, das instituições de pagamento, das sociedades corretoras de títulos e valores mobiliários, das sociedades distribuidoras de títulos e valores mobiliários e das sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil." (NR)

Art. 12. A Resolução BCB n° 260, de 2022, passa a vigorar com as seguintes alterações:

"Art. 1° Esta Resolução dispõe sobre os sistemas de controles internos das seguintes instituições autorizadas a funcionar pelo Banco Central do Brasil:

I - administradoras de consórcio;

II - instituições de pagamento;

III- sociedades corretoras de títulos e valores mobiliários;

IV - sociedades distribuidoras de títulos e valores mobiliários; e

V - sociedades corretoras de câmbio." (NR)

"Art. 2° As instituições mencionadas no art. 1° devem implementar e manter sistemas de controles internos compatíveis com a sua natureza, o seu porte, a sua complexidade, a sua estrutura, o seu perfil de risco e o seu modelo de negócio." (NR)

"Art. 4° ....................................................................................................................

I - ser contínuos e efetivos, abrangendo as atividades de controle para todos os níveis de negócios e para todos os riscos aos quais a instituição está exposta;

II - integrar as atividades rotineiras das áreas relevantes da instituição; e

........................................................................................................................." (NR)

"Art. 5° ....................................................................................................................

I - ..............................................................................................................................

..................................................................................................................................

b) .............................................................................................................................

..................................................................................................................................

2. situações de não conformidade com os padrões de conduta definidos pela instituição mencionada no art. 1°; e 3. violações das políticas da instituição mencionada no art. 1° ou de disposições legais e regulamentares;

..................................................................................................................................

II - ....................................................................................

a) meios para identificar e avaliar continuamente os fatores internos e externos que possam afetar adversamente a realização dos objetivos da instituição mencionada no art. 1° e, quando aplicável, do grupo econômico que integre;

..................................................................................................................................

III - ...........................................................................................................................

...................................................................................................................................

g) segregação apropriada das funções atribuídas aos integrantes da instituição mencionada no art. 1°, de forma a evitar situações de conflito de interesses;

.........................................................................................

i) controles que visem a evitar o envolvimento da instituição mencionada no art. 1° em atividades indevidas ou ilícitas, em especial as relacionadas aos riscos sociais, ambientais e climáticos;

..................................................................................................................................

IV - ...........................................................................................................................

..................................................................................................................................

c) metodologias para o registro e a manutenção de informações internas à instituição mencionada no art. 1°, como dados financeiros, operacionais e de conformidade;

.........................................................................................

h) planos de retomada e contingência de negócios para situações de interrupção da prestação de serviços da instituição mencionada no art. 1° em decorrência de eventos fora do seu controle, com previsão de utilização de instalações físicas remotas, inclusive de serviços prestados por terceiros; e

V - ............................................................................................................................

a) monitoramento contínuo da eficácia dos sistemas de controles internos e dos principais riscos associados às atividades da instituição mencionada no art. 1°;

b) avaliações periódicas, inclusive por parte da auditoria interna, acerca da eficácia dos sistemas de controles internos e dos principais riscos associados às atividades da instituição mencionada no art. 1°;

c) ...............................................................................................................................

1. os objetivos da instituição mencionada no art. 1° estão sendo alcançados;

........................................................................................................................." (NR)

"Art. 6° ....................................................................................................................

Parágrafo único. ......................................................................................................

I - ser submetido ao conselho de administração ou, se inexistente, à diretoria, bem como às auditorias interna e externa da instituição mencionada no art. 1°; e

........................................................................................................................." (NR)

"Art. 8° ....................................................................................................................

I - a diretoria da instituição mencionada no art. 1° tome as medidas necessárias para identificar, medir, monitorar e controlar os riscos de acordo com os níveis de riscos definidos;

..................................................................................................................................

III - a diretoria da instituição mencionada no art. 1° monitore a adequação e a eficácia dos sistemas de controles internos; e

..................................................................................................................................

Parágrafo único. Para as instituições mencionadas no art. 1° que não possuam conselho de administração, as responsabilidades previstas no caput devem ser imputadas à diretoria da instituição." (NR)

"Art. 9° A diretoria da instituição mencionada no art. 1° é responsável por:

........................................................................................................................." (NR)

"Art. 10. As instituições mencionadas no art. 1° devem designar perante o Banco Central do Brasil diretor responsável pelo cumprimento do previsto nesta Resolução.

Parágrafo único. O diretor mencionado no caput pode desempenhar outras funções na instituição, desde que não haja conflito de interesses." (NR)

"Art. 11. ...................................................................................................................

I - determinar a adoção de controles adicionais nos casos em que constatada inadequação nos controles implementados pelas instituições mencionadas no art. 1°; e

II - imputar limites operacionais mais restritivos às instituições mencionadas no art. 1° que deixem de observar determinação nos termos do inciso I no prazo para tanto estabelecido."
(NR)

Art. 13. Ficam revogados:

I - o parágrafo único do art. 2° da Resolução BCB n° 65, de 2021; e II - o art. 24 da Resolução BCB n° 85, de 2021.

Art. 14. Esta Resolução entra em vigor em 1° de março de 2024.

Otávio Ribeiro Damaso
Diretor de Regulação