Artigos

[Resolução n° 4.658] Instituições financeiras terão que implantar política de segurança cibernética

By 11 de outubro de 2019 No Comments
Resolução n° 4.658

[Atualizado 11.10.2019] – RESOLUÇÃO 4.658 – ALTERAÇÃO NO PRAZO DE COMUNICAÇÃO AO BC

Recentemente, mais precisamente em 26 de Setembro de 2019, o Banco Central (BC) publicou uma nova resolução de Nº 4.752, a qual altera o prazo em que as instituições (empresas) devem comunicar o BC em relação a contratação de fornecedores (serviços) de processamento, armazenamento de dados e de computação em nuvem.

De modo objetivo a nova resolução dispõe que:

  • A comunicação deve ser realizada até dez dias após a contratação dos serviços;
  • As alterações contratuais que impliquem modificação das informações devem ser comunicadas ao Banco Central do Brasil até dez dias após a alteração contratual.

Anteriormente, o prazo estipulado era de 60 (sessenta) dias antes da contratação dos serviços.

Vale ressaltar que para os casos de serviços contratados onde não há convênio (acordos de cooperação), a instituição contratante deverá solicitar autorização do BC, antes da contratação do serviço, no prazo mínimo de 60 (sessenta) dias. Prazo semelhante, se aplica as alterações contratuais que impliquem modificação das informações (alteração contratual) quando envolver serviços contratados em localidades onde não há convênio.

Dentre os motivadores para tais mudanças, pode se citar o elevado número de comunicações realizadas junto ao BC pelas instituições, sem nem sequer terem sido de fato contratadas por estas, devido a necessidade anterior de aviso prévio com 60 (sessenta) dias de antecedência.

Importante entendermos como a Resolução Nº 4.658, DE 26 DE ABRIL DE 2018 que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem influenciarão as instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

Entre as exigências a organização deverá ter um plano de política cibernética, o tratamento de incidentes e uma definição de como a instituição deve se comportar diante desses eventuais incidentes. A instituição também deve definir um diretor responsável por isso.

No que diz respeito à contratação de terceirizadas para operar estes serviços de segurança, as instituições devem informar ao Banco Central com antecedência mínima de 60 dias a empresa e os serviços que serão contratados.

Baixe aqui a resolução em sua íntegra.


Também merece leitura o artigo abaixo que analisa a Resolução n° 4.658 como um importante marco infralegal com parâmetros claros para a implementação da política de segurança cibernética.

Por @brunofeigelson

O dia 26 de abril de 2018 certamente entrará no calendário de datas relevantes para a história do Direito Exponencial. Com a publicação de 3 resoluções, o CMN regulamentou as fintechs de crédito (Resoluções nº 4.656 e nº 4.657) e a política de segurança cibernética (Resolução nº 4.658). Tais medidas demonstram o protagonismo que o Banco Central vem assumindo em relação ao tema da inovação no Brasil.

Certamente as repercussões das mencionadas normas são muitas, cabendo aqui uma análise preliminar dos fatos que suscitaram tais medidas, seus respectivos efeitos e os indicativos do que está por vir. Desta forma, assumo os riscos de comentar os fatos com poucas horas de sua publicação com o intuito de contribuir com momento tão relevante para o ecossistema de inovação.

As normas estão sempre atrasadas!

Não é nova a observação de que a função de legislar tende a não acompanhar a velocidade das transformações sociais e econômicas. No entanto, em plena 4º revolução industrial, – em que as dinâmicas disruptivas avançam aceleradamente –, o gap entre tais mudanças e a resposta normativa acabam por expor o ordenamento jurídico e o próprio Direito.

Da mesma forma que longos anos separam a data em que expressiva parte da população começou a usar aplicativos de transporte privado e a edição da Lei nº 13.640/2018, – que regulamentou o tema –, no âmbito da regulação do mercado financeiro, chama atenção o tempo que separa o período em que os primeiros usuários obtiveram empréstimos de empresas já multimilionárias, – forjadas sob a insegurança jurídica –, e a edição das Resoluções nº 4.656 e nº 4.657.

Apenas agora, após rodadas de investimento envolvendo centenas de milhões de reais, empresas como Creditas e Guia Bolso, dentre tantas outras, poderão respirar aliviadas. A segurança jurídica, ou melhor, a falta dela, ameaçou fortemente o desenvolvimento de empresas inovadoras que estão revolucionando o empréstimo no Brasil.

Além disso, a Resolução nº 4.656 avançou muito ao regular a SEP, sociedade de empréstimo entre pessoas, viabilizando desta forma a realização de empréstimos entre pessoas (peer-to-peer). Da mesma forma que o Napster abriu espaço para o Spotify, o caso da brasileira Fairplace ensejou, quase uma década depois, um marco legal próprio para este tipo de operação.

E os outros modelos?

Apesar das legítimas comemorações em relação ao novo marco regulatório das fintechs de crédito, dúvidas persistem em relação aos demais modelos que envolvem tal categoria. Segundo a ABFintechs, 10 são as principais verticais das fintechs brasileiras. Assim, além de empréstimo, observam-se empresas no ecossistema nacional que atuam com pagamentos, gerenciamento financeiro, investimentos, seguros, funding, negociação de dívidas, crypto, câmbito e multiserviços

Ou seja, parte da questão regulatória envolvendo as fintechs foi resolvida com a edição das Resoluções nº 4.656 e nº 4.657. Contudo, outra fração substancial do tema se mantém sem solução. Fato é que o tema das fintechs está em larga expansão no Brasil e vai seguir desta forma por longo período. Em três anos, o número de empresas subiu de 54 para 485, da mesma forma que o número de verticais se expandiu. De tal modo, novas dinâmicas sempre surgirão, desafiando o arcabouço normativo posto e implicando na elaboração de novas resoluções.

Em âmbito internacional, a necessidade de constantemente adequar a regulação do mercado financeiro vem sendo compatibilizada através do uso da figura do Sandbox. O tema vem ganhando espaço no Brasil e possivelmente será utilizado futuramente no âmbito do Banco Central e da CVM. Em que pese não se tratar do tema objeto do presente artigo, cabe mencionar que o Sandbox, – utilizado pela primeira vez no Reino Unido no ano de 2015 –, tem por premissas o desejo de reduzir o tempo e custo para um produto ir ao mercado, oportunizar mais acesso ao capital, – a partir da redução de risco –, o trabalho conjunto entre regulador e empreendedores em prol do desenvolvimento de novos modelos de negócios e regulatórios, a busca pela inovação genuína e o maior benefício para os clientes destinatários das fintechs.

Regulação Data Driven 

Se atrasos foram percebidos em relação ao estabelecimento de modelo de fintechs de crédito, no âmbito da proteção de dados a regulamentação do CMN certamente oportunizará que o Banco Central assuma o protagonismo em tal área. A Resolução nº 4.658 ocupou espaço no vácuo normativo em que se encontrava a questão de dados no Brasil.

Apesar de recentemente os PLs envolvendo o tema voltarem ao debate, especialmente em decorrência dos escândalos envolvendo o Facebook, a verdade é que não são grandes as expectativas para que enfim uma lei tratando da matéria saia do Congresso Nacional. Até a edição da Resolução nº 4.658, o que se observava eram muitas empresas brasileiras preocupadas com os efeitos do GDPR a partir do dia 25 de maio. Os impactos da norma europeia em solo nacional se justificam no fato de que a abrangência do GDPR compreende todas as organizações que ofereçam produtos e serviços, ou monitorem comportamentos, de dados pessoais de cidadãos europeus.

Assim, a partir da edição da Resolução nº 4.658, que estabelece a política de segurança cibernética, o Brasil passa a ter um importante marco infralegal com parâmetros claros para a implementação de tal política. Apesar do escopo da norma ser naturalmente direcionado para instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central, o que se supõe é que alguns parâmetros nela estabelecidos, – como o plano de ação e de respostas a incidentes –, podem se espalhar para outros setores. Além disso, a regulação da contratação de serviços de processamento e armazenamento de dados e de computação em nuvem ensejam novo nível de atenção para as instituições financeiros, e consequentemente também para as empresas de tecnologia relacionadas com tal setor.

*Bruno Feigelson – Doutorando e mestre em Direito pela UERJ. Sócio do Lima ≡ Feigelson Advogados. Presidente da AB2L (Associação Brasileira de Lawtechs e Legaltechs). Head de Futurismo da Future Law. É professor universitário, palestrante e autor de diversos livros e artigos especializados na temática Direito, Inovação e Tecnologia.

Sobre a [SAFEWAY]

A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.

Hoje através de mais de 17 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.

Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!

Leave a Reply