Resumo
Em 25.4.2023, o Banco Central do Brasil (BCB) divulgou duas novas instruções normativas, a IN BCB 372/2023 e a IN BCB 373/2023, ambas entraram em vigor na última terça-feira, 2.5.2023.
Essas e outras mudanças destacadas abaixo aperfeiçoam as funcionalidades do Pix para fins de segurança, buscando reforçar o compromisso do BCB com a melhoria e confiança do sistema de pagamento.
IN BCB 372/2023
Em linhas gerais, a IN BCB 372/2023 altera a Instrução Normativa BCB 290/2022 sobre os procedimentos necessários aos testes formais de homologação no DICT, validação de QR Codes e de prestação de serviços de iniciação de transação de pagamentos, entre outros. O objetivo da IN BCB 372/2023 foi alterar a regra para geração de QR Codes – a partir de 2.5.2023, a oferta de QR Codes dinâmicos e de forma automatizada, para pessoas jurídicas, deverá a ser exclusivamente realizada por meio da API PIX. Para refletir essa nova regra, os Anexos I e II da IN BCB 290/2022 foram atualizados e integralmente substituídos pelos modelos dispostos na IN BCB 372/2023.
IN BCB 373/2023
A IN BCB 373/2023, por sua vez, alterou a redação da IN BCB 291/2022, a qual dispõe sobre os procedimentos necessários para adesão ao PIX. A principal novidade da IN BCB 373/2023 é a inclusão do questionário de autoavaliação em segurança como documento adicional a ser apresentado pelas instituições em processo de adesão ao PIX, o qual deverá ser devidamente assinado pelo diretor responsável pela política de segurança cibernética. O BCB incluiu à redação original da IN BCB 291/2022 os Anexos VI a XI com diferentes modelos de questionários de autoavaliação em segurança com aplicações a diferentes instituições, a depender do tipo de instituição (provedoras de conta transacional, liquidantes especiais, sem autorização para funcionamento, iniciadores de transação de pagamento) e forma de acesso (direta ou indiretamente) pretendida pelas aderentes ao DICT e ao SPI. Ainda, os Anexos I a IV foram alterados e substituídos para refletirem o novo texto da Resolução.
Outro ponto incluído pela nova regulamentação é a obrigação dos participantes do PIX de armazenar evidências do cumprimento do questionário de autoavaliação de segurança apresentado ao BCB por, no mínimo, 5 anos. Além disso, se solicitado pelo BCB, as instituições deverão fornecer essas informações no prazo e na forma indicados pelo BCB.
Dentre os pontos disciplinados pela IN BCB 373/2023, destacamos, também que:
- as instituições com processo de adesão já em andamento deverão cadastrar no UNICAD, além do diretor responsável pelo PIX, um diretor responsável pela sua política segurança cibernética;
- o prazo de 5 meses para conclusão da etapa homologatória, prorrogável por 2 meses – conforme já válido antes das novas disposições do BCB, poderá ser automaticamente prorrogado para instituições em processo de adesão como participantes diretos do SPI, se houver prorrogação do prazo dos testes de adesão;
- novas hipóteses de reprovação na etapa homologatória foram incluídas, em especial, referentes à participação indireta dos aderentes e descumprimento de critérios de indicação de participantes diretos não autorizados/não aprovados nos testes de homologação;
- instituições em regime de transição não estão sujeitas ao prazo de homologação de 5 meses, desde que manifestem sua elegibilidade ao regime de transição no preenchimento do formulário de adesão ao PIX;
- instituições com pedidos de adesão ao PIX submetidos até 30.4.2023, em etapa cadastral ou homologatória, deverão enviar ao DECEM, por meio do Protocolo Digital, o questionário de autoavaliação em segurança, o qual ficará sujeito à aprovação do DECEM para conclusão da etapa aplicável; e
- instituições cuja etapa homologatória fora concluída antes de 30.4.2023, estão dispensadas do envio do questionaria de autoavaliação em segurança.
Newsletter
Assine nossas newsletters para acompanhar as notícias, artigos e informes publicados pelo Lobo de Rizzo