A Diretoria Colegiada do Banco Central do Brasil, em sessão extraordinária realizada em 31 de outubro de 2013, com base nos arts. 9º, incisos IX e XIV, 14 e 15 da Lei nº 12.865, de 9 de outubro de 2013, e tendo em vista o art. 14 da Resolução nº 4.282, de 4 de novembro de 2013,

R E S O L V E :

CAPÍTULO I

DO OBJETO E DO ÂMBITO DE APLICAÇÃO

Art. 1º  Esta Circular dispõe sobre procedimentos a serem adotados pelas instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil para o gerenciamento de riscos, a governança, o cálculo de seus requerimentos mínimos de patrimônio, a salvaguarda dos recursos mantidos em contas de pagamento, bem como para o cumprimento de normas aplicáveis às instituições integrantes do Sistema Financeiro Nacional (SFN).

Parágrafo único.  O disposto nesta Circular sobre o cálculo de requerimentos mínimos de patrimônio não se aplica às instituições de pagamento integrantes de conglomerado prudencial de que trata a Resolução nº 4.195, de 1º de março de 2013.

CAPÍTULO II

DO GERENCIAMENTO DE RISCOS

Seção I

Das Definições

Art. 2º  Para os efeitos desta Circular, define-se:

I - risco operacional: possibilidade de ocorrência de perdas resultantes dos seguintes eventos:

a) falhas na proteção e na segurança de dados sensíveis relacionados tanto às credenciais dos usuários finais quanto a outras informações trocadas com o objetivo de efetuar transações de pagamento;

b) falhas na identificação e autenticação do usuário final;

c) falhas na autorização das transações de pagamento;

d) fraudes internas;

e) fraudes externas;

f) demandas trabalhistas e segurança deficiente do local de trabalho;

g) práticas inadequadas relativas a usuários finais, produtos e serviços de pagamento;

h) danos a ativos físicos próprios ou em uso pela instituição;

i) ocorrências que acarretem a interrupção das atividades da instituição de pagamento ou a descontinuidade dos serviços de pagamento prestados;

j) falhas em sistemas de tecnologia da informação; e

k) falhas na execução, cumprimento de prazos e gerenciamento das atividades envolvidas em arranjos de pagamento;

II - risco de liquidez: possibilidade de a instituição de pagamento:

a) não ser capaz de honrar eficientemente suas obrigações esperadas e inesperadas, correntes e futuras sem afetar suas operações diárias e sem incorrer em perdas significativas; e

b) não ser capaz de converter moeda eletrônica em moeda física ou escritural no momento da solicitação do usuário; e

III - risco de crédito: possibilidade de ocorrência de perdas associadas ao não cumprimento pela contraparte de suas respectivas obrigações financeiras nos termos pactuados, à redução de ganhos ou remunerações, às vantagens concedidas na renegociação e aos custos de recuperação, incluindo o inadimplemento:

a) do usuário final perante o emissor de instrumento de pagamento pós-pago;

b) do emissor perante o credenciador de instrumento de pagamento pós-pago; e

c) de instituição de pagamento devedora de outra instituição de pagamento em função de acordo de interoperabilidade entre diferentes arranjos.

Parágrafo único.  A definição mencionada no inciso I deste artigo inclui o risco legal associado à inadequação ou deficiência em contratos firmados pela instituição de pagamento, a sanções em razão de descumprimento de dispositivos legais e a indenizações por danos a terceiros decorrentes das atividades envolvidas em arranjo de pagamento.

Seção II

Da Estrutura de Gerenciamento de Riscos

Art. 3º  As instituições de pagamento devem implementar estrutura de gerenciamento dos riscos operacional, de liquidez e de crédito.

Parágrafo único.  A estrutura de gerenciamento de riscos mencionada no caput deve:

I - ser compatível com a natureza das atividades da instituição e a complexidade dos produtos e serviços oferecidos e proporcional à dimensão das exposições aos mencionados riscos;

II - ser segregada da unidade executora da atividade de auditoria interna, de que trata o art. 2º da Resolução nº 2.554, de 24 de setembro de 1998;

III - permitir a identificação, a mensuração, o monitoramento, o controle, a mitigação e um gerenciamento contínuo e integrado dos riscos operacional, de liquidez e de crédito;

IV - prever políticas e estratégias aprovadas e revisadas, no mínimo anualmente, pela diretoria e pelo conselho de administração, quando houver, a fim de determinar sua compatibilidade com os objetivos da instituição e com as condições de mercado; e

V - manter documentação acerca de suas políticas, estratégias de gerenciamento de riscos e governança à disposição do Banco Central do Brasil.

CAPÍTULO III

DO RISCO OPERACIONAL

Art. 4º  A estrutura de gerenciamento de riscos deve prever, no que tange ao risco operacional, no mínimo:

I - plano de contingência e outros mecanismos que garantam a continuidade dos serviços de pagamento prestados;

II - mecanismos de proteção e segurança dos dados armazenados, processados ou transmitidos;

III - mecanismos de proteção e segurança de redes, sítios eletrônicos, servidores e canais de comunicação com vistas a reduzir a vulnerabilidade a ataques;

IV - procedimentos para monitorar, rastrear e restringir acesso a dados sensíveis, redes, sistemas, bases de dados e módulos de segurança;

V - monitoramento das falhas na segurança dos dados e das reclamações dos usuários finais a esse respeito;

VI - revisão das medidas de segurança e de sigilo de dados, especialmente depois da ocorrência de falhas e previamente a alterações na infraestrutura ou nos procedimentos;

VII - elaboração de relatórios que indiquem procedimentos para correção de falhas identificadas;

VIII - realização de testes que assegurem a robustez e a efetividade das medidas de segurança de dados adotadas;

IX - segregação de funções nos ambientes de tecnologia da informação destinados ao desenvolvimento, teste e produção;

X - identificação adequada do usuário final;

XI - mecanismos de autenticação dos usuários finais e de autorização das transações de pagamento;

XII - processos para assegurar que todas as transações de pagamento possam ser adequadamente rastreadas;

XIII - mecanismos de monitoramento e de autorização das transações de pagamento, com o objetivo de prevenir fraudes, detectar e bloquear transações suspeitas de forma tempestiva;

XIV - avaliações e filtros específicos para identificar transações consideradas de alto risco;

XV - notificação ao usuário final acerca de eventual não execução de uma transação; e

XVI - mecanismos que permitam ao usuário final verificar se a transação foi executada corretamente.

Parágrafo único.  Caso as instituições de pagamento terceirizem funções relacionadas à segurança dos serviços oferecidos, o respectivo contrato de prestação de serviços deve estipular que o contratado deverá atender ao disposto neste artigo.

CAPÍTULO IV

DO RISCO DE LIQUIDEZ

Art. 5º  A estrutura de gerenciamento de risco deve prever, no que tange ao risco de liquidez, no mínimo:

I - processos para identificar, avaliar, monitorar e controlar a exposição ao risco de liquidez em diferentes horizontes de tempo, inclusive intradia; e

II - plano de contingência de liquidez que estabeleça responsabilidades e procedimentos para enfrentar situações de estresse de liquidez.

Art. 6º  As instituições de pagamento emissoras de moeda eletrônica devem evidenciar a estrutura de gerenciamento do risco de liquidez em relatório de acesso público, com periodicidade mínima anual.

§ 1º  O conselho de administração ou, na sua inexistência, a diretoria da instituição, deve fazer constar do relatório mencionado no caput sua responsabilidade pelas informações divulgadas.

§ 2º  As instituições devem divulgar, em conjunto com as demonstrações contábeis publicadas, resumo da descrição de sua estrutura de gerenciamento do risco de liquidez, indicando o endereço de acesso público ao relatório mencionado no caput.

CAPÍTULO V

DO RISCO DE CRÉDITO

Art. 7º  A estrutura de gerenciamento de riscos deve prever, no que tange ao risco de crédito, no mínimo:

I - limites para a realização de operações sujeitas ao risco de crédito;

II - procedimentos destinados a identificar, avaliar, monitorar e controlar a exposição ao risco de crédito; e

III - procedimentos para a recuperação de créditos.

CAPÍTULO VI

DA GOVERNANÇA

Art. 8º  As instituições de pagamento devem observar política de governança, aprovada pela diretoria executiva e pelo conselho de administração, quando houver, que aborde os aspectos relativos ao gerenciamento de riscos, gestão de patrimônio e, caso se aplique, à preservação do valor e da liquidez das moedas eletrônicas emitidas, com vistas ao cumprimento do disposto nesta Circular.

Parágrafo único.  A política de que trata o caput deve:

I - ser adequadamente documentada e submetida a revisões anuais, com a documentação mantida à disposição do Banco Central do Brasil;

II - definir atribuições e responsabilidades; e

III - garantir a independência das atividades de gerenciamento de riscos, inclusive mediante segregação entre a área operacional e a de gestão de risco.

CAPÍTULO VII

DOS REQUERIMENTOS MÍNIMOS DE PATRIMÔNIO

Art. 9º  As instituições emissoras ou credenciadoras de instrumento de pagamento pós-pago devem manter, permanentemente, patrimônio líquido ajustado pelas contas de resultado em valor correspondente a, no mínimo, 2% (dois por cento) do valor médio mensal das transações de pagamento executadas pela instituição nos últimos 12 (doze) meses.

Art. 10.  As instituições de pagamento emissoras de moeda eletrônica devem manter, permanentemente, patrimônio líquido ajustado pelas contas de resultado correspondente a, no mínimo, o maior valor entre 2% (dois por cento) da média mensal das transações de pagamento executadas pela instituição nos últimos 12 (doze) meses ou do saldo das moedas eletrônicas por elas emitidas, apurado diariamente.

Art. 11.  As instituições de pagamento devem utilizar as projeções apresentadas em seus respectivos planos de negócios enquanto não estiver disponível o valor das transações de pagamento ou do saldo das moedas eletrônicas por elas emitidas a que se referem os arts. 9º e 10.

CAPÍTULO VIII

DA APLICAÇÃO DOS RECURSOS MANTIDOS EM CONTAS DE PAGAMENTO

Art. 12.  As instituições emissoras de moeda eletrônica devem manter recursos líquidos correspondentes ao valor do saldo das moedas eletrônicas mantidas em conta de pagamento.

§ 1º  Até o encerramento do horário estabelecido para o funcionamento do Sistema de Transferência de Reservas (STR) do Banco Central do Brasil, os recursos apurados na forma do caput devem ser alocados exclusivamente em:

I - espécie, mediante transferência a crédito em conta específica no Banco Central do Brasil; ou

II - títulos públicos federais, registrados no Sistema Especial de Liquidação e de Custódia (Selic), inclusive por meio das operações compromissadas de que trata a Resolução nº 3.339, de 26 de janeiro de 2006, custodiados em conta específica naquele sistema.

§ 2º  A transferência a crédito da conta específica mencionada no § 1º, inciso I, deve ser comandada exclusivamente por instituição titular de conta Reservas Bancárias ou de Conta de Liquidação.

§ 3º  A instituição emissora de moeda eletrônica não titular de conta no STR poderá fazer transferência a débito da conta específica mencionada no § 1º, inciso I, exclusivamente a crédito de conta Reservas Bancárias de sua livre escolha, a cada movimentação.

§ 4º  A instituição emissora de moeda eletrônica titular de Conta de Liquidação poderá fazer transferência a débito da conta específica mencionada no § 1º, inciso I, somente a crédito de sua conta, a cada movimentação.

§ 5º  Nas operações compromissadas de que trata o § 1º, inciso II, uma das partes contratantes deve ser banco múltiplo, banco comercial ou caixas econômicas habilitados para a realização dessas operações.

§ 6º  Os títulos públicos federais a que se refere o § 1º, inciso II, devem:

I - ser denominados em reais e adquiridos no mercado secundário;

II - ter prazo máximo a decorrer de 540 (quinhentos e quarenta) dias até o vencimento; e

III - não estar referenciados em moeda estrangeira.

§ 7º  É vedada a realização de acordo de livre movimentação dos títulos objeto de compromisso de revenda nas operações compromissadas referidas no § 1º, inciso II.

§ 8º  Para fins do cumprimento do disposto neste artigo, as instituições emissoras de moeda eletrônica devem observar os procedimentos operacionais estabelecidos pelo Departamento de Regulação do Sistema Financeiro (Denor), pelo Departamento de Operações Bancárias e de Sistema de Pagamentos (Deban) e pelo Departamento de Operações do Mercado Aberto (Demab) do Banco Central do Brasil.

Art. 13.  É vedada a alocação do saldo de recursos em títulos públicos federais, conforme disposto no art. 12, § 1º, inciso II, quando a emissão de moeda eletrônica for efetuada por banco múltiplo com carteira comercial, banco comercial ou caixa econômica.

Parágrafo único.  O disposto no caput não se aplica no caso de emissão de moeda eletrônica para utilização exclusivamente em pagamento de serviços e produtos de um segmento específico, tais como alimentação, transportadores autônomos e cultura.

CAPÍTULO IX

DAS DISPOSIÇÕES FINAIS

Art. 14.  O Banco Central do Brasil poderá determinar a adoção de ações suplementares de gerenciamento de risco, bem como estabelecer requerimentos e limites adicionais de patrimônio e de liquidez, estabelecendo prazo para sua implementação, caso entenda inadequadas ou insuficientes as ações adotadas pelas instituições de pagamento para fins do cumprimento do disposto nesta Circular.

Art. 15.  As instituições de pagamento devem observar o conjunto de critérios, procedimentos e regras contábeis para identificação, mensuração e registro patrimonial, econômico e de controle, bem como para elaboração, remessa e publicação das demonstrações contábeis estabelecidos na regulamentação em vigor e consubstanciados no Plano Contábil das Instituições do Sistema Financeiro Nacional (Cosif).

Art. 16.  As instituições de pagamento e os instituidores de arranjos de pagamento devem observar o disposto na Resolução nº 2.554, de 1998, no tocante à implantação de sistemas de controles internos.

Parágrafo único.  As faculdades estabelecidas no art. 2º, § 3º, incisos II e III, da Resolução nº 2.554, de 1998, poderão ser exercidas por instituições de pagamento não integrantes de conglomerado prudencial de que trata a Resolução nº 4.195, de 2013.

Art. 17.  As instituições de pagamento emissoras de instrumento de pagamento pós-pago devem remeter ao Banco Central do Brasil, em conformidade com o disposto na Resolução nº 3.658, de 17 de dezembro de 2008, as informações relativas às suas operações passíveis de serem consideradas para fins de registro no Sistema de Informações de Crédito (SCR), de acordo com o art. 3º dessa Resolução.

Art. 18.  As instituições de pagamento devem ainda observar:

I - o art. 1º da Resolução nº 3.694, de 26 de março de 2009, e a Resolução nº 3.919, de 25 de novembro de 2010, na contratação e na prestação de serviços de pagamento aos usuários finais, inclusive para efeitos de cobrança de remuneração; e

II - a Resolução nº 3.849, de 25 de março de 2010, que dispõe sobre a instituição de componente organizacional de ouvidoria.

Art. 19.  As instituições de pagamento devem indicar diretor responsável pelo gerenciamento de riscos.

Parágrafo único.  Para fins da responsabilidade de que trata o caput, admite-se que o diretor indicado desempenhe outras funções na instituição, exceto as relativas à administração de recursos de terceiros e realização de operações sujeitas aos riscos de crédito.

Art. 20.  Esta Circular entra em vigor 180 (cento e oitenta) dias após a data de sua publicação.

                 Luiz  Edson Feltrim
                        Diretor de Regulação, substituto