Pesquisar tag(s):
Pesquisar
Incluir norma na(s) tag(s):
Adicionar nova tag:
Normativo inserido em:
Voltar Marcar no calendário a norma atual pela data:
Selecione uma agência:
Descrição/resumo da norma:
Normas
Busca

CIRCULAR BACEN Nº 3.681, DE 04.11.2013

CONTEÚDO

CIRCULAR BACEN Nº 3.681, DE 04.11.2013

Dispõe sobre o gerenciamento de riscos, os requerimentos mínimos de patrimônio, a governança de instituições de pagamento, a preservação do valor e da liquidez dos saldos em contas de pagamento, e dá outras providências.

A Diretoria Colegiada do Banco Central do Brasil, em sessão extraordinária realizada em 31 de outubro de 2013, com base nos arts. 9º, incisos IX e XIV, 14 e 15 da Lei nº 12.865, de 9 de outubro de 2013, e tendo em vista o art. 14 da Resolução nº 4.282, de 4 de novembro de 2013,

RESOLVE:

CAPÍTULO I
DO OBJETO E DO ÂMBITO DE APLICAÇÃO

Art. 1º Esta Circular dispõe sobre procedimentos a serem adotados pelas instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil para o gerenciamento de riscos, a governança, o cálculo de seus requerimentos mínimos de patrimônio, a salvaguarda dos recursos mantidos em contas de pagamento, bem como para o cumprimento de normas aplicáveis às instituições integrantes do Sistema Financeiro Nacional (SFN).

Parágrafo único. (Nota: Revogado pela Resolução BCB nº 198, de 11.03.2022.)

§ 1º O disposto nesta Circular sobre o cálculo de requerimentos mínimos de patrimônio não se aplica às instituições de pagamento integrantes de conglomerado prudencial formado a partir do controle exercido por instituição financeira ou por outra instituição autorizada a funcionar pelo Banco Central do Brasil sujeita à Lei nº 4.595, de 31 de dezembro de 1964. (Nota: Incluído, a partir de 03.11.2020, pela Resolução BCB nº 25, de 22.10.2020.)

§ 2º As instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil sujeitas à Lei nº 4.595, de 1964, que prestem serviços de pagamento devem implementar, para suas atividades de pagamento, a estrutura de gerenciamento de riscos estabelecida nos arts. 2º a 7º desta Circular, de forma complementar:

I - à estrutura de gerenciamento de riscos de que trata a Resolução nº 4.557, de 23 de fevereiro de 2017, para as instituições enquadradas no Segmento 1 (S1), no Segmento 2 (S2), no Segmento 3 (S3) ou no Segmento 4 (S4), nos termos da Resolução nº 4.553, de 30 de janeiro de 2017; e

II - à estrutura simplificada de gerenciamento de riscos de que trata a Resolução nº 4.606, de 19 de outubro de 2017, para instituição enquadrada no Segmento 5 (S5), nos termos da Resolução nº 4.553, de 2017.

(Nota: Parágrafo 2º incluído, a partir de 03.11.2020, pela Resolução BCB nº 25, de 22.10.2020.)

CAPÍTULO II
DO GERENCIAMENTO DE RISCOS

Seção I
Das Definições

Art. 2º Para os efeitos desta Circular, define-se:

I - risco operacional: possibilidade de ocorrência de perdas resultantes dos seguintes eventos:

a) falhas na proteção e na segurança de dados sensíveis relacionados tanto às credenciais dos usuários finais quanto a outras informações trocadas com o objetivo de efetuar transações de pagamento;

b) falhas na identificação e autenticação do usuário final;

c) falhas na autorização das transações de pagamento;

d) fraudes internas;

e) fraudes externas;

f) demandas trabalhistas e segurança deficiente do local de trabalho;

g) práticas inadequadas relativas a usuários finais, produtos e serviços de pagamento;

h) danos a ativos físicos próprios ou em uso pela instituição;

i) ocorrências que acarretem a interrupção das atividades da instituição de pagamento ou a descontinuidade dos serviços de pagamento prestados;

j) falhas em sistemas, processos ou infraestrutura de tecnologia da informação; (Nota: Redação dada, a partir de 03.11.2020, pela Resolução BCB nº 25, de 22.10.2020.)

k) falhas na execução, cumprimento de prazos e gerenciamento das atividades envolvidas em arranjos de pagamento; e (Nota: Redação dada, a partir de 03.11.2020, pela Resolução BCB nº 25, de 22.10.2020.)

l) falhas na iniciação de transação de pagamento; (Nota: Incluída, a partir de 03.11.2020, pela Resolução BCB nº 25, de 22.10.2020.)

II - risco de liquidez: possibilidade de a instituição de pagamento:

a) não ser capaz de honrar eficientemente suas obrigações esperadas e inesperadas, correntes e futuras sem afetar suas operações diárias e sem incorrer em perdas significativas; e

b) não ser capaz de converter moeda eletrônica em moeda física ou escritural no momento da solicitação do usuário; e

III - risco de crédito: possibilidade de ocorrência de perdas associadas ao não cumprimento pela contraparte de suas respectivas obrigações financeiras nos termos pactuados, à redução de ganhos ou remunerações, às vantagens concedidas na renegociação e aos custos de recuperação, incluindo o inadimplemento:

a) do usuário final perante o emissor de instrumento de pagamento pós-pago;

b) do emissor perante o credenciador de instrumento de pagamento; e (Nota: Redação dada, a partir de 03.11.2020, pela Resolução BCB nº 25, de 22.10.2020.)

c) de instituição de pagamento devedora de outra instituição de pagamento em função de acordo de interoperabilidade entre diferentes arranjos.

Parágrafo único. A definição mencionada no inciso I deste artigo inclui o risco legal associado à inadequação ou deficiência em contratos firmados pela instituição de pagamento, a sanções em razão de descumprimento de dispositivos legais e a indenizações por danos a terceiros decorrentes das atividades envolvidas em arranjo de pagamento.

Seção II
Da Estrutura de Gerenciamento de Riscos

Art. 3º As instituições de pagamento devem implementar estrutura de gerenciamento dos riscos operacional, de liquidez e de crédito.

Parágrafo único. (Nota: Revogado, a partir de 01.09.2019, pela Circular nº 3.909, de 16.08.2018.)

§ 1º A estrutura de gerenciamento de riscos mencionada no caput deve:

I - ser compatível com a natureza das atividades da instituição e a complexidade dos produtos e serviços oferecidos e proporcional à dimensão das exposições aos mencionados riscos;

II - ser segregada da unidade executora da atividade de auditoria interna;

III - permitir a identificação, a mensuração, o monitoramento, o controle, a mitigação e o gerenciamento contínuo e integrado dos riscos operacional, de liquidez e de crédito;

IV - prever políticas e estratégias aprovadas e revisadas, no mínimo anualmente, pela diretoria e pelo conselho de administração, se houver, a fim de determinar sua compatibilidade com os objetivos da instituição e com as condições de mercado; e

V - manter documentação acerca de suas políticas, estratégias de gerenciamento de riscos e governança à disposição do Banco Central do Brasil.

(Nota: Parágrafo 1º incluído, a partir de 01.09.2019, pela Circular nº 3.909, de 16.08.2018.)

§ 2º As políticas e as estratégias previstas no inciso IV do § 1º devem contemplar os seguintes assuntos:

I - critérios de decisão quanto à terceirização de serviços e de seleção de seus prestadores, incluindo as condições contratuais mínimas necessárias para mitigar o risco operacional; e

II - continuidade dos serviços de pagamento prestados.

(Nota: Parágrafo 2º incluído, a partir de 01.09.2019, pela Circular nº 3.909, de 16.08.2018.)

§ 3º Para a instituição de pagamento que realize exclusivamente o serviço de iniciação de transação de pagamento, a estrutura de que trata o caput fica dispensada do gerenciamento do risco de crédito e do risco de liquidez. (Nota: Incluído, a partir de 03.11.2020, pela Resolução BCB nº 25, de 22.10.2020.)

CAPÍTULO III
DO RISCO OPERACIONAL

Art. 4º A estrutura de gerenciamento de riscos deve prever, no que tange ao risco operacional, no mínimo:

I - plano de contingência e outros mecanismos que garantam a continuidade dos serviços de pagamento prestados;

II - mecanismos de proteção e segurança dos dados armazenados, processados ou transmitidos;

III - mecanismos de proteção e segurança de redes, sítios eletrônicos, servidores e canais de comunicação com vistas a reduzir a vulnerabilidade a ataques;

IV - procedimentos para monitorar, rastrear e restringir acesso a dados sensíveis, redes, sistemas, bases de dados e módulos de segurança;

V - monitoramento das falhas na segurança dos dados e das reclamações dos usuários finais a esse respeito;

VI - revisão das medidas de segurança e de sigilo de dados, especialmente depois da ocorrência de falhas e previamente a alterações na infraestrutura ou nos procedimentos;

VII - elaboração de relatórios que indiquem procedimentos para correção de falhas identificadas;

VIII - realização de testes que assegurem a robustez e a efetividade das medidas de segurança de dados adotadas;

IX - segregação de funções nos ambientes de tecnologia da informação destinados ao desenvolvimento, teste e produção;

X - identificação adequada do usuário final;

XI - mecanismos de autenticação dos usuários finais e de autorização das transações de pagamento;

XII - processos para assegurar que todas as transações de pagamento possam ser adequadamente rastreadas;

XIII - mecanismos de monitoramento e de autorização das transações de pagamento, com o objetivo de prevenir fraudes, detectar e bloquear transações suspeitas de forma tempestiva;

XIV - avaliações e filtros específicos para identificar transações consideradas de alto risco;

XV - notificação ao usuário final acerca de eventual não execução de uma transação; (Nota: Redação dada, a partir de 01.09.2019, pela Circular nº 3.909, de 16.08.2018.)

XVI - mecanismos que permitam ao usuário final verificar se a transação foi executada corretamente; (Nota: Redação dada, a partir de 01.09.2019, pela Circular nº 3.909, de 16.08.2018.)

XVII - critérios de decisão quanto à terceirização de serviços e de seleção de seus prestadores; (Nota: Redação dada, a partir de 03.11.2020, pela Resolução BCB nº 25, de 22.10.2020.)

XVIII - avaliação, gerenciamento e monitoramento do risco operacional decorrente de serviços terceirizados relevantes para o funcionamento regular da instituição de pagamento, incluindo as atividades desempenhadas por subcredenciadoras envolvidas na liquidação das transações de pagamento de instituições credenciadoras; e (Nota: Redação dada, a partir de 03.11.2020, pela Resolução BCB nº 25, de 22.10.2020.)

XIX - mecanismos de monitoramento e controle de falhas na iniciação de transações de pagamento, segregando, no mínimo, os seguintes eventos:

a) iniciação de transação de pagamento não autorizada;

b) não execução de iniciação de transação de pagamento;

c) execução incorreta de iniciação de transação de pagamento; e

d) atraso na iniciação de transação de pagamento.

(Nota: Inciso XIX incluído, a partir de 03.11.2020, pela Resolução BCB nº 25, de 22.10.2020.)

Parágrafo único. Caso as instituições de pagamento terceirizem funções relacionadas com a segurança dos serviços oferecidos, o respectivo contrato de prestação de serviços deve estipular que o contratado deverá:

I - atender ao disposto neste artigo; e

II - permitir o acesso da instituição de pagamento aos dados e às informações sobre os serviços prestados.

(Nota: Parágrafo único com redação dada, a partir de 01.09.2019, pela Circular nº 3.909, de 16.08.2018.)

CAPÍTULO IV
DO RISCO DE LIQUIDEZ

Art. 5º A estrutura de gerenciamento de risco deve prever, no que tange ao risco de liquidez, no mínimo:

I - processos para identificar, avaliar, monitorar e controlar a exposição ao risco de liquidez em diferentes horizontes de tempo, inclusive intradia; e

II - plano de contingência de liquidez que estabeleça responsabilidades e procedimentos para enfrentar situações de estresse de liquidez.

Art. 6º As instituições de pagamento emissoras de moeda eletrônica devem evidenciar a estrutura de gerenciamento do risco de liquidez em relatório de acesso público, com periodicidade mínima anual.

§ 1º O conselho de administração ou, na sua inexistência, a diretoria da instituição, deve fazer constar do relatório mencionado no caput sua responsabilidade pelas informações divulgadas.

§ 2º As instituições devem divulgar, em conjunto com as demonstrações contábeis publicadas, resumo da descrição de sua estrutura de gerenciamento do risco de liquidez, indicando o endereço de acesso público ao relatório mencionado no caput.

CAPÍTULO V
DO RISCO DE CRÉDITO

Art. 7º A estrutura de gerenciamento de riscos deve prever, no que tange ao risco de crédito, no mínimo:

I - limites para a realização de operações sujeitas ao risco de crédito;

II - procedimentos destinados a identificar, avaliar, monitorar e controlar a exposição ao risco de crédito; (Nota: Redação dada, a partir de 03.11.2020, pela Resolução BCB nº 25, de 22.10.2020.)

III - procedimentos para a recuperação de créditos; e (Nota: Redação dada, a partir de 03.11.2020, pela Resolução BCB nº 25, de 22.10.2020.)

IV - critérios e procedimentos, claramente definidos e documentados, de análise do risco de crédito na emissão de instrumento de pagamento pós-pago. (Nota: Incluído, a partir de 03.11.2020, pela Resolução BCB nº 25, de 22.10.2020.)

CAPÍTULO VI
DA GOVERNANÇA

Art. 8º As instituições de pagamento devem observar política de governança, aprovada pela diretoria executiva e pelo conselho de administração, quando houver, que aborde os aspectos relativos ao gerenciamento de riscos, gestão de patrimônio e, caso se aplique, à Circular nº 3.681, de 4 de novembro de 2013 Página 7 de 8 preservação do valor e da liquidez das moedas eletrônicas emitidas, com vistas ao cumprimento do disposto nesta Circular.

Parágrafo único. A política de que trata o caput deve:

I - ser adequadamente documentada e submetida a revisões anuais, com a documentação mantida à disposição do Banco Central do Brasil;

II - definir atribuições e responsabilidades; e

III - garantir a independência das atividades de gerenciamento de riscos, inclusive mediante segregação entre a área operacional e a de gestão de risco.

CAPÍTULO VII
DOS REQUERIMENTOS MÍNIMOS DE PATRIMÔNIO

Art. 9º (Nota: Revogado pela Resolução BCB nº 198, de 11.03.2022.)

Art. 10. (Nota: Revogado pela Resolução BCB nº 198, de 11.03.2022.)

Art. 10-A. (Nota: Revogado pela Resolução BCB nº 198, de 11.03.2022.)

Art. 11. (Nota: Revogado pela Resolução BCB nº 198, de 11.03.2022.)

CAPÍTULO VIII
DA APLICAÇÃO DOS RECURSOS MANTIDOS EM CONTAS DE PAGAMENTO

Art. 12. (Nota: Revogado, a partir de 03.05.2021, pela Resolução BCB nº 80, de 25.03.2021.)

Art. 13. (Nota: Revogado, a partir de 03.05.2021, pela Resolução BCB nº 80, de 25.03.20211.)

CAPÍTULO IX
DAS DISPOSIÇÕES FINAIS

Art. 14. O Banco Central do Brasil poderá determinar a adoção de ações suplementares de gerenciamento de risco, bem como estabelecer requerimentos e limites adicionais de patrimônio e de liquidez, estabelecendo prazo para sua implementação, caso entenda inadequadas ou insuficientes as ações adotadas pelas instituições de pagamento para fins do cumprimento do disposto nesta Circular.

Art. 15. (Nota: Revogado pela Circular nº 3.833, de 17.05.2017.)

Art. 16. As instituições de pagamento e os instituidores de arranjos de pagamento devem observar o disposto na Resolução nº 2.554, de 1998, no tocante à implantação de sistemas de controles internos.

Parágrafo único. As faculdades estabelecidas no art. 2º, § 3º, incisos II e III, da Resolução nº 2.554, de 1998, poderão ser exercidas por instituições de pagamento não integrantes de conglomerado prudencial de que trata a Resolução nº 4.195, de 2013.

Art. 17 (Nota: Revogado, a partir de 01.01.2018, pela Circular nº 3.870, de 19.12.2017.)

Art. 18. (Nota: Revogado, a partir de 03.05.2021, pela Resolução BCB nº 80, de 25.03.2021.)

Art. 19. As instituições de pagamento devem indicar diretor responsável pelo gerenciamento de riscos.

Parágrafo único. Para fins da responsabilidade de que trata o caput, admite-se que o diretor indicado desempenhe outras funções na instituição, exceto as relativas à administração de recursos de terceiros e realização de operações sujeitas aos riscos de crédito.

Art. 20. Esta Circular entra em vigor 180 (cento e oitenta) dias após a data de sua publicação.

LUIZ EDSON FELTRIM
Diretor de Regulação, substituto 

(DOU de 06.11.2013 - pág. 17/18 - Seção 1)


Tags Legismap:
BACEN Normas (BCB/CMN)