Instrução Normativa BCB nº 443 DE 20/12/2023

Norma Federal - Publicado no DO em 20 dez 2023

Divulga regras e calendário para pontos de controle do processo de alteração do perfil de segurança do Open Finance.

Os Chefes do Departamento de Supervisão de Cooperativas e de Instituições Não Bancárias (Desuc) e do Departamento de Supervisão Bancária (Desup), no uso da atribuição que lhes confere o artigo 23, inciso I, alínea "a" do Regimento Interno do Banco Central do Brasil, anexo à Resolução BCB 340, de 21 de setembro de 2023, com base nos artigos 46, inciso II e 51, incisos IX e XI, ambos da Resolução Conjunta nº 1, de 04 de Maio de 2020.

RESOLVEM :

Art. 1º  Esta Instrução Normativa divulga regras e calendário para pontos de controle de uma etapa do processo de alteração do perfil de segurança do Open Finance, que, em atendimento à Instrução Normativa BCB 305, de 15 de setembro de 2022, estabelece as diretrizes de segurança e interoperabilidade que devem ser aplicadas às APIs (Applications Programming Interface) do Open Finance.

Art. 2º  Em uma das etapas do cronograma de implementação de criação do novo perfil de segurança, conforme estabelecido pela Estrutura de Governança do Open Finance, deverão ser realizados os DCMs (Dynamic Client Management), na qual, de forma bilateral, as Instituições informam os padrões utilizados e reconhecidos por cada Instituição. Esse passo é crítico para a adequada interoperabilidade do Open Finance e deverá obedecer às regras e pontos de controle estabelecidos nesta Instrução Normativa.

Art. 3º  A etapa mencionada no parágrafo anterior se encerra em 14/4/2024 e deve ser observada por todos os participantes ativos no Open Finance.

Marcos de DCM a serem cumpridos por participantes relevantes

Art. 4º  Em seus papéis de iniciadora/receptora, as instituições e os conglomerados relacionados nos arts. 8º e 9º devem respeitar os marcos estabelecidos no art. 5º para realização de DCM com as principais marcas das Instituições relacionadas no art. 10.

I - Todas as Instituições listadas no art. 10 devem ser objeto de DCM que integre as métricas do art. 5º. No entanto, cada iniciadora/receptora poderá usar critério próprio para identificar as principais marcas das Instituições detentoras/transmissoras. Contudo, marcas com DCR (Dynamic Client Registration), que representa o primeiro registro bilateral, ocorrido em 2024 devem ser incluídas no cronograma.

Art. 5º  O processo de DCM pelos participantes listados nos arts. 8º e 9º deverá seguir o seguinte cronograma:

Data

Descrição

26/3/2024

Concluir com êxito 10% dos DCMs previstos no art. 4º.

27/3/2024

Realizar testes comprovatórios dos DCMs considerados para atingir a meta de 26/3/2023.

1/04/2024

Concluir com êxito 30% dos DCMs previstos no art. 4º.

2/4/2024

Realizar testes comprovatórios dos DCMs considerados para atingir a meta de 1/4/2024

4/4/2024

Concluir com êxito 70% dos DCMs previstos no art. 4º.

5/4/2024

Realizar testes comprovatórios dos DCMs considerados para atingir a meta de 4/4/2024

9/4/2024

Concluir com êxito 95% dos DCMs previstos no art. 4º.

10/4/2024

Realizar testes comprovatórios dos DCMs considerados para atingir a meta de 9/4/2024

11/4/2024

Concluir com êxito 100% dos DCMs previstos no art. 4º.

12/4/2024

Realizar testes comprovatórios de 100% dos DCMs previstos no art. 4º.

Art. 6º  Para a realização de testes comprobatórios, após cada DCM realizado com sucesso:

I - Caso a iniciadora tenha condições técnicas, deverá validar se a jornada continua operacional e se é possível realizar uma iniciação de pagamento com sucesso;

II - Caso a receptora tenha condições técnicas, deverá validar se a jornada continua operacional;

III - A receptora deverá validar se é possível consumir dados de consentimentos ativos;

IV - Evidências desses testes devem ser mantidas à disposição do Banco Central do Brasil.

Art. 7º  Caso seja realizado um novo DCM com perfil antigo para marca já computada como sucesso nos marcos estabelecidos no art. 5º, a marca deve ser desconsiderada nos marcos seguintes, até que volte a ser realizado DCM com o novo perfil de segurança.

Art. 8º  As iniciadoras e/ou receptoras que devem respeitar os marcos estabelecidos no art. 5º são os conglomerados e instituições listadas abaixo:

I - Banco do Brasil;

II - Bradesco;

III - Itaú;

IV - Mercado Pago;

V - Nu Pagamentos;

VI - PicPay;

VII - Santander;

VIII - U4C.

Art. 9º  Se, ao final de fevereiro de 2024, houver outras Instituições relevantes (95% do estoque dos consentimentos ativos para compartilhamento de dados e/ou 95% das transações iniciadas) também estarão sujeitas a esse cronograma e serão individualmente contatadas pela Supervisão do Banco Central, até 11/03/2024.

Art. 10.  As detentoras e/ou transmissoras que devem ser consideradas para fins do estabelecido no art. 4º são:

I - Banco do Brasil;

II - Bradesco;

III - CAIXA;

IV - C6;

V - Itaú;

VI - Mercado Pago;

VII - Nu Pagamentos;

VIII - PicPay;

IX - Santander.

Art. 11.  A relação de detentoras/transmissoras não será complementada com outras instituições.

Metas de atendimento de tickets

Art. 12.  No período de 25/03/2024 a 14/04/2024, devem ser formalizados no service desk tickets relativos a:

I - Incidentes nos DCR/DCMs;

II - Incidentes com suspeita de que sejam desdobramentos dos DCR/DCMs. São exemplos de cenários possíveis de enquadramento nesse item erros generalizados de token inválido e escopo inválido que não ocorriam antes dos referidos DCR/DCMs;

Art. 13.  Os tickets relacionados no art. 12:

I - Referentes a DCR/DCMs referidos no art. 4º, devem ser classificados na categoria mais adequada, mas terem sua meta de atendimento redefinida para um prazo máximo de 1 dia útil; (Redação do inciso dada pela Instrução Normativa BCB Nº 457 DE 19/03/2024).

Nota: Redação Anterior:
I - Referentes a DCMs que integrem os marcos do art. 4º devem ser classificados na categoria mais adequada, mas reclassificados para indisponibilidade, com meta de atendimento de incidentes com indisponibilidade, nos termos da IN BCB 359, de 3 de março de 2023;

II - Não enquadráveis nos termos do art. 4º, devem ser classificados na categoria mais adequada, mas terem sua meta de atendimento redefinida para um prazo máximo de 2 dias úteis; (Redação do inciso dada pela Instrução Normativa BCB Nº 457 DE 19/03/2024).

Nota: Redação Anterior:
II - Não enquadráveis nos marcos do art. 4º devem ser classificados na categoria mais adequada, mas reclassificados para degradação de qualidade de serviço, com meta de atendimento de incidentes que não causem indisponibilidade de serviços com tipo de incidente degradação de qualidade de serviço nos termos da IN BCB 359/2023;

III - Deverão ter as solicitações de reclassificação para tipos de incidente com meta de atendimento com prazo máximo superior ao estabelecido nesta Instrução Normativa negadas;

IV - Se a instituição que abriu o ticket identificar que a causa do erro está na implementação sob sua responsabilidade ou na eventualidade de decisão de implementação de solução de contorno na implementação sob sua responsabilidade, o ticket deve ser atualizado e encerrado no mesmo dia.

Art. 14.  Esta Instrução Normativa entra em vigor em 1 de fevereiro de 2024.

Harold Paquete Espínola Filho                                     Belline Santana

Chefe do Departamento de Supervisão de               Chefe do Departamento de

Cooperativas e de Instituições Não Bancárias           Supervisão Bancária

NOTA TÉCNICA

Fundamenta proposta de divulgação de regras e calendário para pontos de controle do processo de alteração do perfil de segurança do Open Finance.

A presente Nota Técnica fundamenta proposta de edição de instrução normativa, que estabelece regras e calendário para pontos de controle do processo de alteração do perfil de segurança do Open Finance, conforme previsto nos artigos 46, inciso II e 51, incisos IX e XI, ambos da Resolução Conjunta nº 1, de 04 de Maio de 2020.

2. Em atendimento ao previsto no art. 5º da Lei nº 13.874, de 20 de setembro de 2019, o Decreto nº 10.411, de 30 de junho de 2020, determina que as propostas de atos normativos de interesse geral de agentes econômicos formuladas por órgãos e entidades da administração pública federal direta, autárquica e fundacional, bem como por colegiados por meio do órgão ou da entidade encarregada de lhe prestar apoio administrativo, sejam precedidas de Análise de Impacto Regulatório (AIR).

3. No entanto, vale destacar que a proposta de divulgação de regras e calendário para pontos de controle do processo de alteração do perfil de segurança do Open Finance não causa impactos significativos para o conjunto e instituições participantes do Open Finance por tratar-se da definição de regras e pontos de controle a calendário já estabelecido. Nesse sentido, de acordo com o art. 4º, inciso III, do referido Decreto, o ato normativo ora proposto fica dispensado de elaboração de AIR por ser considerado de baixo impacto.

À consideração de V.Sa.

Rodrigo Monteiro

Chefe Adjunto do Departamento de Supervisão de Cooperativas e de Instituições Não Bancárias

Ricardo Seviere Zeni

Chefe Adjunto do Departamento de Supervisão Bancária

De acordo.

Harold Paquete Espínola Filho

Chefe do Departamento de Supervisão de Cooperativas e de Instituições Não Bancárias

Belline Santana

Chefe do Departamento de Supervisão Bancária