O Banco Central (BC) e o Conselho Monetário Nacional (CMN) regulamentaram nesta sexta-feira (28) prestação de serviços no modelo conhecido como "Banking as a Service" (BaaS) — que permite que empresas de diversos segmentos econômicos (tomadoras de serviços) disponibilizem serviços financeiros.

Segundo o BC, a norma entra em vigor imediatamente, mas a adequação de contratos vigentes pode ser feita até o fim de 2026.

"O objetivo principal da regulamentação é mitigar potenciais riscos aos clientes e partes envolvidas, incorporando adequada segurança jurídica aos negócios. Adicionalmente, as regras visam a preservar a higidez do mercado financeiro e do sistema de pagamentos, promovendo ao mesmo tempo a eficiência, a competição e o acesso a produtos e serviços disponibilizados por meio desse modelo", informou o BC, por meio de nota.

Veja os vídeos que estão em alta no g1

De acordo com a institução, o regulamento define claramente quais as partes envolvidas no modelo de negócio e suas respectivas responsabilidades.

Além disso, explicou que a norma também engloba aspectos como governança corporativa, gerenciamento de riscos e controles internos, requisitos de segurança, conduta, contratação e responsabilização.

As normas também tratam da obrigação de as instituições autorizadas manterem à disposição do BC "diversos dados, informações e documentações pertinentes sobre os serviços prestados no âmbito do BaaS, além de conferir diversas competências à área de supervisão".

Segundo o Banco Central, o regulamento aprimora o nível de transparência dos serviços prestados no modelo de "BaaS" aos clientes.

"A norma exige que as instituições prestadoras de serviços assegurem que as informações necessárias à sua identificação como prestadoras dos serviços financeiros e de pagamento esteja acessível e visível ao cliente nos canais e interfaces disponibilizados, bem como em contratos, em outros documentos e em instrumentos de pagamento", acrescentou a instituição.

Nesta semana, o presidente do Banco Central, Gabriel Galípolo, afirmou que o caso envolvendo o Banco Master reforça a necessidade de aprimorar e modernizar o perímetro de supervisão do sistema financeiro. Ele também defendeu um aumento do orçamento para modernizar BC e melhorar supervisão.

Os ataques cibernéticos fazem parte das ameaças híbridas.

Getty Images via BBC

Ataques cibernéticos

O Banco Central tem buscado aprimorar a segurança do sistema financeiro após o registro de ataques cibernéticos nos últimos meses.

Nesta semana, a autoridade monetária avaliou que "merecem especial atenção a crescente dependência de serviços prestados por terceiros e o uso disseminado de APIs [conjunto de protocolos], em "muitos casos sem a devida avaliação periódica dos riscos e sem monitoramento operacional adequado, o que torna a gestão de riscos mais desafiadora".

A autoridade monetária observou, ainda, que alterações recentes nas regras contribuem para fortalecer a segurança e a resiliência do sistema financeiro, tais como:

limites para transferências via PIX e regras mais rígidas para autorização de novas instituições;

rejeição transferências que tenham como destinatárias contas com "fundada suspeita de envolvimento em fraude";

fim do uso irregular das chamadas "contas bolsão".

Ocorrências nos últimos meses

Em julho, o Banco Central informou que a C&M Software — empresa que presta serviços tecnológicos e conecta instituições financeiras ao BC — comunicou ter sido alvo de um ataque à sua infraestrutura.

Em setembro, a fintech Monbank informou que foi alvo de um ataque hacker que resultou no desvio de R$ 4,9 milhões. Segundo a instituição, nenhuma conta de clientes foi comprometida, e R$ 4,7 milhões já foram recuperados.

Também em setembro, a Sinqia, empresa responsável por conectar bancos ao sistema PIX, informou que um ataque hacker provocou o desvio de aproximadamente R$ 710 milhões em transações não autorizadas.

Megaoperação realizada em agosto desarticulou um esquema criminoso bilionário no setor de combustíveis identificou o uso de ao menos 40 fundos de investimento e diversas fintechs. O esquema era comandado por integrantes da facção criminosa Primeiro Comando da Capital (PCC). As instituições eram utilizadas para lavar dinheiro, mascarar transações e ocultar patrimônio.

Regra sobre nome de bancos

O BC e o Conselho Monetário Nacional também baixaram regras para a "nomenclatura e a forma de apresentação ao público" das instituições financeiras.

A nomenclatura abrange, por exemplo:

o nome empresarial,

o nome fantasia,

a marca e

o domínio de internet utilizados pelas instituições

"Será vedado às instituições utilizar termos que sugiram atividade ou modalidade de instituição, em português ou em língua estrangeira, para a qual não tenham autorização de funcionamento específica", informou o Banco Central.

Na apresentação ao público, acrescentou a autoridade monetária, as instituições "deverão utilizar termos que deixem claro aos clientes e usuários a modalidade da instituição que está prestando o serviço'.

"A instituição integrante de conglomerado prudencial poderá utilizar, em sua apresentação ao público, termo que sugira a atividade exercida, a modalidade autorizada ou a nomenclatura de uma das instituições autorizadas que integra tal conglomerado", explicou o BC.

As instituições autorizadas que estiverem em desacordo com as novas regras deverão elaborar plano de adequação, no prazo de 120 dias, contemplando, no mínimo, os procedimentos que serão adotados e o prazo para a adequação da instituição às novas regras, que deverá ser de, no máximo, um ano.