Principais regulamentações bancárias e exigências de conformidade de segurança [2022]

Michael Magrath, 24 de Janeiro de 2022

Em 2021, os criadores de políticas governamentais e reguladores estiveram bem ocupados, concentrados em melhorar a segurança cibernética, fortalecer as identidades digitais e a autenticação on-line e proteger os consumidores conforme a migração para o mundo digital de pagamentos e moedas digitais continua.
Abaixo, reunimos algumas das principais regulamentações, políticas e leis globais que afetarão as instituições financeiras, fintechs, sistemas de pagamentos, bancos comerciais, credores e mutuários, empresas de gestão de bens e a indústria bancária em geral.

Para uma lista mais completa, acesse o Relatório Global de Regulamentações Financeiras de 2022 da OneSpan, disponível on-line e para download.

Índice:

Segurança cibernética

ESTADOS UNIDOS DA AMÉRICA

Em novembro, o Conselho da Reserva Federal, a Corporação Federal de Seguros e Depósitos (FDIC) e a Controladoria da Moeda (OCC) publicaram uma regra final exigindo que "empresas bancárias" notificassem seu regulador federal principal dentro de 36 horas após a ocorrência de determinados tipos de incidentes relacionados à segurança de computadores. A regra exige separadamente que "provedores de serviços bancários" "notifiquem os clientes da empresa bancária assim que possível caso ocorra qualquer incidente que tenha afetado ou possa afetar materialmente os clientes por quatro horas ou mais". Provedores de serviços bancários incluem qualquer empresa de serviços bancários ou outra pessoa que forneça serviços sujeitos à Lei de empresas de serviços bancários. A regulamentação entra em vigor no dia 1º de abril de 2022, e as empresas bancárias e seus provedores de serviços bancários devem estar em conformidade com ela até o dia 1º de maio de 2022.

Em agosto, o Conselho Federal de Avaliação de Instituições Financeiras (FFIEC) atualizou suas Diretrizes de autenticação e acesso a serviços e sistemas de instituições financeiras pela primeira vez em uma década. As Diretrizes estimulam as IFs a identificar seus usuários e clientes que exigem autenticação e controles de gestão de acesso, além de usuários e clientes que talvez precisem de controles de autenticação mais robustos, como a autenticação multifatores (MFA). O FFIEC também observa que a autenticação de fator único, geralmente algo que alguém sabe, como um nome de usuário e uma senha estática, não é suficiente. Ele declara:

“Ataques contra sistemas e usuários protegidos por autenticação de fator único costumam levar ao acesso não autorizado, resultando em roubo ou destruição de dados, impactos negativos causados por ransomware, fraude de conta de clientes e roubo de identidade. Da mesma forma, o uso da autenticação de fator único como único mecanismo de controle se provou inadequado contra essas ameaças.”

O FFIEC também se concentra na verificação de identidade, que é um componente crucial das regulamentações de Conheça seu cliente (Know Your Customer, KYC). O FFIEC reforça que "métodos de verificação confiáveis geralmente não dependem exclusivamente de perguntas baseadas em conhecimento para verificar a identidade." Nós concordamos e recomendamos métodos de verificação de identidade digital como a verificação de documentos de identidade e comparação facial.

Em outubro de 2021, a Comissão Federal de Comércio publicou uma atualização da "Regra de Proteções" na Lei Gramm-Lach-Billey, que descreve como instituições não financeiras sob jurisdição da FTC devem proteger as informações financeiras dos clientes. Bancos, empresas de holding bancário e suas subsidiárias estão sujeitas a diretrizes e normas diferentes emitidas pelos reguladores bancários federais, incluindo a OOC, a Fed e a FDIC. A atualização se aplica a instituições "envolvidas em atividades financeiras", incluindo concessionárias de veículos, avaliadores imobiliários, preparadores de impostos, consultores de investimentos e faculdades e universidades que participam de programas federais de auxílio financeiro. Além das empresas sujeitas à regra existente, a Regra de Proteções atualizada também pode se aplicar aos provedores de internet, prestadores de serviços e marketplaces on-line.

A regra atualizada agora exige a autenticação multifatores (MFA) sempre que um indivíduo – funcionário, cliente ou qualquer outro – acessa um sistema de informações.

A FTC impôs penalidades significativas para a não conformidade, com multas de US$ 43.792 por violação, por dia.

Criptomoedas

FORÇA-TAREFA DE AÇÕES FINANCEIRAS

A FATF publicou em outubro novas diretrizes sobre bens virtuais e provedores de serviços de bens virtuais (VASPs), suplantando as emitidas anteriormente, em 2019. Trinta e nove jurisdições membros devem licenciar ou registrar os provedores e sujeitá-los à supervisão ou monitoramento por reguladores financeiros. As diretrizes se aplicam a criptomoedas estáveis e esclarece que diversas entidades envolvidas nos acordos de moedas estáveis podem ser consideradas VASPs de acordo com as normas da FATF. Em 2022, esperamos que muitas jurisdições revisem suas regulamentações para se manter em conformidade com a FATF.

ESTÔNIA

Em dezembro de 2021, o governo aprovou o projeto de lei para fortalecer as regulamentações para VASPs de acordo com as novas diretrizes da FATF.  Conforme o site do Ministério de Finanças:

“Ela torna a regulamentação de VASPs mais alinhada às instituições de dinheiro eletrônico e provedores de serviços de pagamentos, mas não afeta diretamente os clientes ou indivíduos que usam carteiras privadas por terem criptomoedas. Porém, os VASPs estonianos não podem fornecer serviços anônimos e devem identificar seus clientes... Informações identificáveis devem ser mantidas de forma que permita que sejam vinculadas à transação, como transferências bancárias.”

Espera-se que ela seja aprovada pelo Parlamento e promulgada durante o primeiro semestre de 2022.

UNIÃO EUROPEIA

A proposta da Regulamentação de Mercados de Criptoativos (MiCA) busca estabelecer uma estrutura regulatória de criptoativos abrangente e fortalecer a certeza jurídica e a harmonização em toda a UE. As principais prioridades incluem transparência, proteção dos consumidores, prevenção de abuso no mercado, autorização e supervisão. A definição de criptoativos é classificada em três categorias: tokens de dinheiro eletrônico, tokens com referência a ativos e um terceiro grupo que engloba todos os outros tipos, como tokens utilitários e moedas estáveis algoritimicas. Os emissores serão sujeitos a exigências regulatórias baseadas em quais criptoativos são vendidos, com todos os emissores de tokens de dinheiro eletrônico e tokens com referência a ativos sendo obrigados a ser autorizados e estabelecidos dentro da UE. Espera-se que o processo legislativo da MiCA seja concluído no início de 2022.  Os estados membros provavelmente deverão implementar as novas regulamentações em 2024.

JAPÃO

Em 2021, a Agência de Serviços Financeiros do Japão (FSA) anunciou sua intenção de implementar a "Regra de Viagem" da Força-Tarefa de Ações Financeiras (FATF) de acordo com suas diretrizes sobre ativos virtuais (AVs) e VASPs. A Regra de Viagem exige a troca de dados de identificação entre os remetentes (originadores) e destinatários (beneficiários) de transferências digitais de fundos. A regra, portanto, busca prevenir a lavagem de dinheiro e o terrorismo reduzindo a anonimidade em transações bancárias e de criptomoedas.

As informações exigidas estão bem alinhadas com as normas de informações de due diligence de clientes e inclui o nome, endereço, data de nascimento, local de nascimento, número da conta e número de identidade do originador. Além disso, o nome e número da conta ou da carteira virtual do beneficiário também são inclusos. A regra entrará em vigor em 2022.

PERU

Em dezembro de 2021, a “Estrutura de marketing de criptoativos” foi apresentada ao Congresso. 

Essa estrutura define as exigências que cada VASP deve seguir para atuar no mercado. A legislação inclui a criação de um registro público para VASPs que os peruanos podem acessar para determinar se transações ou plataformas estão registradas.

Ela também exigiria que os VASPs informassem usuários que o Peru não reconhece criptomoedas como dinheiro de curso legal e que a supervisão desses ativos pelo governo não constitui uma garantia contra os riscos que negociar com criptomoedas pode apresentar aos usuários. Esperamos que essa legislação seja promulgada em 2022.

TURQUIA

No fim de dezembro, o presidente Erdoğan confirmou a conclusão de um projeto de lei sobre criptomoedas que logo será compartilhado com o Parlamento para implementação no país.

A Turquia tem acelerado o desenvolvimento de regulamentações para criptomoedas após duas corretoras de criptomoedas, a Thodex e a Verbitcoin, caírem em abril de 2021, deixando investidores turcos de criptomoedas sem acesso às suas contas.

Espera-se que a lei inclua o estabelecimento de um banco central depositário para eliminar os riscos de terceiros. Esperamos que esta lei passe tranquilamente pelo Parlamento e seja promulgada em 2022.

ESTADOS UNIDOS

As criptomoedas estão, claramente, na mira dos reguladores federais. Em 23 de novembro de 2021, os reguladores bancários federais dos EUA emitiram uma Declaração conjunta sobre a iniciativa de aceleração de políticas sobre criptoativos e próximas etapas, um projeto interdisciplinar concentrado na participação regulamentada de bancos e empresas de holdings bancários em negócios relacionados a criptoativos. De acordo com a declaração conjunta:

“Durante 2022, as agências planejam fornecer uma maior clareza sobre se determinadas atividades relacionadas a criptoativos realizadas por organizações bancárias são legalmente permitidas, e as expectativas de segurança, proteção do consumidor e conformidade com as leis e regulamentações existentes relacionadas a:

  • Proteção de criptoativos e serviços de custódia tradicionais.
  •  Serviços de custódia auxiliares.
  •  Facilitação de compras e vendas de criptoativos pelos clientes.
  •  Empréstimos com criptoativos como garantia.
  •  Emissão e distribuição de stablecoins.
  •  Atividades envolvendo a manutenção de criptoativos no balancete
As agências também avaliarão a aplicação das normas de capital e liquidez do banco aos criptoativos para atividades que envolverem organizações bancárias dos EUA e continuarão a envolver o Comitê de Supervisão Bancária de Basileia em seu processo consultivo nesse aspecto.”

Separadamente, Michael Hsu, o Controlador da Moeda em atuação, solicitou regulamentações para ações bancárias com criptoativos e alertou que "provedores bancários sintéticos (SBPs), aqueles que atuam fora do alcance dos reguladores bancários e sem regras bancárias," são muito ativos no espaço das criptomoedas e reforçou a necessidade de que os SBPs sejam sujeitos às normas bancárias. Devido a essas atividades, prevemos que um alerta avançado de um projeto de lei abrangente sobre criptomoedas será emitido durante o segundo semestre de 2022.

Moedas digitais do banco central (CBDCs)

CHINA

Espera-se que o iuane digital da China, "e-CNY", seja lançado no primeiro trimestre de 2022.  Diferente de algumas CBDCs em desenvolvimento que complementam o dinheiro de papel, o e-CNY foi planejado para substituir o dinheiro de papel e as moedas já em circulação. No início de janeiro, o banco central lançou uma versão piloto de um aplicativo de carteira para o e-CNY nas lojas de aplicativos para expandir o uso em 10 regiões dentro da China.

NIGÉRIA

Em outubro de 2021, o Banco Central da Nigéria (CBN) lançou o "eNaira", uma moeda digital digitais do banco central (CBDC). A Nigéria pode atuar como uma "plataforma de testes" de CBDC no continente africano. No momento, Gana, África do Sul e Tunísia estão realizando projetos piloto de CBDC. Zimbábue, Namíbia, Madagascar, Ruanda, Ilhas Maurício, Marrocos e Quênia estão na fase de pesquisas.

SUÉCIA

O lançamento da fase piloto do e-krona foi estimulado, em parte, pela redução do uso de dinheiro de papel na Suécia e o desejo de se proteger contra futuros problemas no sistema monetário. Porém, alguns bancários suecos temem que uma CBDC possa ameaçar a estabilidade financeira, estimulando roubos a bancos. Espera-se que o Riksbank chegue a uma conclusão sobre o possível e-krona em novembro de 2022.

Inteligência artificial

UNIÃO EUROPEIA

Como parte da estratégia europeia de dados, a Comissão Europeia publicou uma proposta abrangente de 108 páginas regulamentando o uso da IA, a Lei de Inteligência Artificial, com um foco específico em sistemas e contextos de "alto risco". A regulamentação se aplicaria a todos os provedores e usuários localizados dentro da UE, bem como provedores externos cujos serviços são utilizados dentro da UE. A proposta ainda precisa passar pelo procedimento legislativo da UE. Isso provavelmente não afetará o ano de 2022, mas é importante prestar atenção ao processo, pois espera-se que ele seja a vanguarda das regulamentações globais de IA, da mesma forma que a GDPR foi na proteção de dados.

ESTADOS UNIDOS

O governo federal, incluindo reguladores financeiros, se concentrou muito na IA em 2021.

Em março de 2021, os Reguladores Financeiros dos EUA publicaram uma Solicitação de Informações sobre o uso da IA, inclusive do aprendizado de máquina, por IFs. O objetivo da solicitação era:

“entender a opinião dos participantes sobre o uso da IA por instituições financeiras na prestação de serviços a clientes e outras empresas ou para outros fins operacionais; a governança, gestão de riscos e controles adequados sobre a IA; e quaisquer desafios no desenvolvimento, adesão e gestão da IA.”

Também em março, a Comissão de Segurança Nacional de Inteligência Artificial publicou um Relatório Final descrevendo uma estratégia para "vencer a ampla concorrência tecnológica" na era da IA.

Em abril, a Comissão Federal de Comércio (FTC) fez uma publicação em seu blog sobre "buscar a verdade, justiça e igualdade no uso da IA pela sua empresa", fornecendo diretrizes para evitar resultados negativos, como o preconceito racial. 
Em julho, o NIST publicou uma Solicitação de Informações pedindo opiniões enquanto cria o projeto da Estrutura de Gestão de Riscos da Inteligência Artificial, um "documento de diretrizes para uso voluntário, com o objetivo de ajudar desenvolvedores, usuários e avaliadores de tecnologia a melhorar a confiança dos sistemas de IA".  
Em outubro, o Departamento de Políticas de Ciência e Tecnologia (OSTP) da Casa Branca publicou uma Solicitação de Informações concentrada no uso de tecnologias biométricas para os fins de verificação de identidade, identificação de indivíduos e inferência de atributos, inclusive estados mentais e emocionais individuais. De acordo com o OSTP, o objetivo da solicitação de informações é:

“entender a extensão e variedade das tecnologias biométricas no uso passado, atual ou planejado; os domínios em que essas tecnologias estão sendo usadas; as entidades que fazem uso delas; os princípios, práticas ou políticas que regem seu uso atualmente; e as partes envolvidas que são, ou podem ser, afetadas pelo seu uso ou regulamentação.”

Devido ao grande volume de atividades, prevemos atividades regulatórias referentes à IA em 2022.

Identidade digital

DINAMARCA

MitID, a esperada infraestrutura de identidade digital, substituirá a NemID. A MitID deverá ser mais flexível e segura do que sua antecessora. Como aplicativo, a MitID pode ser usada para aprovar logins e pagamentos. Depois de ser suficientemente testada, a MitID será lançada em toda a Dinamarca, com um período de transição de seis meses até que a NemID seja totalmente descontinuada. Devido a atrasos, a solução provavelmente estará pronta no segundo semestre de 2022.

CANADÁ

A esperada Estrutura de Confiança Pan-Canadense (PCTF), liderada pelo Conselho Canadense de Identidade Digital e Autenticação (DIACC), lançará seu programa de Selos de Confiança Verificados Voila em 2022.  Os Selos de Confiança serão emitidos para empresas que demonstrarem conformidade com os componentes da PCTF.

UNIÃO EUROPEIA

Embora a iniciativa de carteira digital muito divulgada da UE ainda esteja a alguns anos de distância, o ano de 2022 será concentrado na identificação de arquiteturas, normas e referências específicas, além de diretrizes e práticas recomendadas. Mais para o fim do ano, a Comissão Europeia publicará ferramentas para os estados membros e outras partes utilizarem.  

Em dezembro de 2021, a Autoridade Bancária Europeia (EBA) publicou as Diretrizes de Integração Remota de Clientes para comentários públicos. Vários estados membros já adotaram a integração remota utilizando a verificação biométrica de identidade e soluções de verificação de documentos. Não é surpresa alguma que os reguladores dos estados membros tenham adotado abordagens diferentes, como permitir selfies ou exigir vídeos em vez de fotos. Ainda não se sabe o que as diretrizes finais da EBA incluirão. O período de comentários fica aberto até 10 de março de 2022, com as diretrizes finais sendo publicadas, provavelmente, no segundo semestre de 2022.

SUÍÇA

O Conselho Federal do governo da Suíça anunciou planos de desenvolver uma infraestrutura de identidade eletrônica pública a ser construída de acordo com os princípios de identidade autossoberana (SSI). Embora seja de propriedade do governo, espera-se que o setor privado tenha um papel importante como provedores de identidade, agentes, terceiros ou provedores de carteiras de identidade. Espera-se que a legislação de identidade eletrônica suíça seja apresentada em 2022.

ESTADOS UNIDOS

No início de 2022, espera-se que o Instituto Nacional de Normas e Tecnologia publique o projeto de suas Diretrizes de Identidade Digital revisadas para comentários públicos. Esta será a primeira atualização desde 2017. Embora apenas agências e terceirizados do governo federal dos EUA tenham a obrigação de cumprir as diretrizes do NIST, diversas empresas do setor público e privado em todo o mundo, inclusive do setor financeiro, historicamente as adotam. Não se espera uma grande revisão, mas, devido ao foco da administração de Biden em conter ataques de phishing com autenticadores resistentes a phishing, estamos esperando uma diferenciação entre os autenticadores categorizados como Autenticador de Nível de Garantia 2 (AAL). 

Proteção de dados

JAPÃO

Em 2021, foram publicadas alterações das Regras de Execução da Lei de Proteção de Informações Pessoais (APPI) que entram em vigor no dia 1º de abril de 2022.

A APPI revisada fortalece os direitos dos titulares dos dados e impõe novas exigências às entidades que processam dados pessoais. Ela obriga as entidades a reportar vazamentos de dados à Comissão de Proteção de Informações Pessoais (PPC) e expande os poderes do PPC, que pode solicitar relatórios ou investigar empresas offshore, aumenta as penalidades em caso de não conformidade e apresenta o conceito de anonimização por pseudônimos.

A anonimização por pseudônimos é um procedimento de gestão de dados em que as informações pessoalmente identificáveis dos titulares dos dados são substituídas por um pseudônimo, protegendo, assim, seus direitos e permitindo que quem processa os dados possa usar essas informações mais prontamente. A APPI revisada também expande os direitos dos titulares dos dados à exclusão e interrupção do uso de dados pessoais, e permite que os titulares dos dados selecionem como receber seus dados (por escrito ou por e-mail), de acordo com o direito de acesso.

Como a Regulamentação Geral de Proteção de Dados (GDPR) da UE, a APPI tem um escopo externo, aplicando-se a todas as entidades que processam dados pessoais de cidadãos japoneses, independentemente da localização física da entidade. A APPI revisada permite que o PPC solicite que entidades estrangeiras sujeitas a ela reportem suas atividades de processamento, e o PPC poderá impor multas a elas em caso de não conformidade.

SUÍÇA

Aprovada em 2020, a Lei Suíça de Proteção de Dados revisada (revDPA) implementa muitas cláusulas da GDPR, mas também manteve diferenças significativas. A lei revisada entrará em vigor no segundo semestre de 2022.

De acordo com a lei, as empresas terão a obrigação de reportar imediatamente vazamentos graves ao Comissário Federal de Proteção de Dados e Informações (FDPIC); utilizar avaliações de impacto de proteção de dados antes de processamentos de dados possivelmente arriscados; buscar a aprovação antes de usar subprocessadores; e emitir um alerta de privacidade toda vez que dados forem coletados. Diferente da GDPR, os controladores têm a opção (mas não a obrigação) de designar um agente de proteção de dados. Caso ocorra uma violação intencional da revDPA, os indivíduos, e não a empresa, podem enfrentar sanções criminais.

TAILÂNDIA

Devido à pandemia da COVID-19, o Gabinete Tailandês adiou a entrada em vigor da Lei de Proteção de Dados Pessoais (PDPA) para o dia 1º de junho de 2022. A PDPA, que foi publicada em maio de 2019, usa como base a Regulamentação Geral de Proteção de Dados (GDPR) da UE e descreve as exigências para o processamento de dados pessoais e as responsabilidades dos controladores e processadores de dados. A lei tem um escopo externo, então, se aplica a qualquer entidade que utiliza os dados pessoais de cidadãos tailandeses, mesmo que a entidade não resida na Tailândia. Em caso de transferências internacionais de dados pessoais, o país receptor deve aderir a "normas adequadas de proteção de dados pessoais". A PDPA também estabelece uma agência nacional de proteção de dados para monitorar a conformidade, chamada de Comitê de Proteção de Dados Pessoais (PDPC).

Regulamentações financeiras antilavagem de dinheiro e contra o terrorismo

UNIÃO EUROPEIA

No último outono, a Autoridade Bancária Europeia publicou uma consulta pública sobre o projeto de Normas Técnicas Regulatórias (RTS) no estabelecimento de um banco de dados central sobre finanças antilavagem de dinheiro e contra o terrorismo. Após os comentários públicos, em dezembro,a  EBA publicou um relatório final. O objetivo do projeto de RTS descreve regras que protegem a eficácia e confidencialidade do banco de dados, o que ajudaria a coordenar e harmonizar a abordagem da UE a atividades antilavagem de dinheiro e contra o terrorismo. Isso é ainda mais importante porque as diretivas antilavagem de dinheiro da UE são discricionárias, permitindo que os estados membros a transponham para a lei nacional e as implementem de diferentes formas, o que não permitiu uma abordagem pan-europeia. Conforme os crimes cibernéticos se tornam mais sofisticados e internacionais em meio ao aumento da digitalização, um banco de dados central simplificará as medidas antilavagem de dinheiro e contra o terrorismo em toda a UE. As RTS garantirão ainda mais que o banco de dados esteja em conformidade com as leis de proteção de dados.

A EBA enviará esse rascunho de RTS à Comissão Europeia para aprovação. Depois de aprovadas, as RTS serão diretamente aplicáveis em todos os estados membros. Dependendo do progresso, elas podem ser aprovadas pela Comissão em 2022.

ESTADOS UNIDOS

Em dezembro, a Rede de Execução contra Crimes Financeiros (FinCen) do Departamento do Tesouro publicou um Aviso de Proposta de Regulamentação (NPRM) para as Exigências de relatório de informações de propriedade efetiva. .  As regulamentações propostas implementarão a Seção 6403 da Lei de Transparência Corporativa, sendo promulgada como lei como parte da Lei Nacional de Autorização de Defesa para o ano fiscal de 2021. Quando finalizada, ela exigirá que as entidades enviem informações de propriedade efetiva e do requerente da empresa ao FinCEN com o objetivo de ajudar a prevenir e combater a lavagem de dinheiro, financiamento de terrorismos, fraudes fiscais e outras atividades ilícitas. De acordo com o anúncio,

“As regulamentações propostas abordam: (1) quem deve registrar; (2) quando devem registrar; e (3) que informações devem ser fornecidas. Coletar essas informações e fornecer o acesso às autoridades, à comunidade de inteligência e às outras partes envolvidas reduzirá a capacidade de criminosos de ofuscar suas atividades por meio do uso de empresas anônimas de fachada.”

O período de comentários públicos se encerra no dia 7 de fevereiro e esperamos que o FinCen publique uma Regra Final em algum momento de 2022.

Também em dezembro, o FinCen publicou uma solicitação de informações sobre a Modernização do regime regulatório antilavagem de dinheiro e contra o terrorismo. O FinCEN está interessado em formas de modernizar as regulamentações e diretrizes antilavagem de dinheiro e contra o terrorismo com base em riscos, emitidas de acordo com a Lei de Sigilo Bancário (BSA). A revisão formal também permitirá que o FinCEN identifique regulamentações e diretrizes desatualizadas, redundantes ou que por outro motivo não promovam um regime de conformidade antilavagem de dinheiro e contra o terrorismo baseado em riscos para instituições financeiras, ou que não estejam em conformidade com os compromissos dos EUA de cumprir as normas internacionais antilavagem de dinheiro e contra o terrorismo. O período de comentários públicos se encerra no dia 14 de fevereiro de 2022 e pode haver um Aviso de Proposta de Regulamentação (NPRM) publicado no fim de 2022.

Caixas eletrônicos com biometria

ARGENTINA

Em janeiro de 2021, o banco central emitiu uma circular descrevendo regras sobre o acesso a caixas eletrônicos com o uso de leitores de impressão digital. De acordo com as novas regras, os usuários devem acessar os caixas eletrônicos por meio de "algo que você sabe" (uma senha ou carteira de identidade) junto da impressão digital. As regras serão implementadas por fases. Até o dia 31 de dezembro de 2021, 35% dos caixas eletrônicos deveriam incluir um leitor biométrico. Esse número aumenta para 60% até 20 de junho de 2022 e, até 31 de dezembro de 2022, todos os caixas eletrônicos deverão incluir um leitor biométrico.

Assinatura eletrônica

JAPÃO

Uma atitude do Primeiro-ministro Suga em outubro de 2020 permitirá que os bancos e outras instituições financeiras utilizem a tecnologia de assinaturas eletrônicas e digitalizem seus formulários até o fim de 2022. Tradicionalmente, as empresas preenchem documentos físicos com a Agência de Serviços Financeiros, o que reduziu a eficiência e aumentou os custos.

EMIRADOS ÁRABES UNIDOS

Em setembro de 2021, o Decreto de Lei Federal Nº 46/2021 sobre Transações Eletrônicas e Serviços de Confiança foi promulgado, revogando a Lei Federal Nº 1/2006 de 15 anos atrás, sobre Transações e Comércio Eletrônico. Para auxiliar os esforços de transformação digital no país, a nova lei estimula e facilita todos os tipos de transações eletrônicas, ao mesmo tempo em que protege os direitos dos clientes que realizam transações eletrônicas. 

De acordo com a lei, os serviços de confiança incluem criar assinaturas eletrônicas, emitir certificados de autenticação para assinaturas eletrônicas qualificadas, criar selos eletrônicos, emitir certificados de autenticação para selos eletrônicos qualificados e emitir certificados de autenticação para sites.

A nova lei entrou em vigor no dia 2 de janeiro de 2022. A lei fornece um período de carência de um ano para que as empresas entrem em conformidade.

ESTADOS UNIDOS

A adesão ao Reconhecimento de Firma Remoto On-line (RON) continua aumentando. Até o momento, 39 estados aprovaram legislações sobre o RON, com o governador de Nova York sendo o último a assinar uma lei promulgando as medidas permanentes de RON no dia 22 de dezembro de 2021.  A lei de Nova York entra em vigor no dia 20 de junho de 2022.

Nova York se junta ao Alasca, Arizona, Arkansas, Colorado, Flórida, Hawaii, Idaho, Illinois, Indiana, Iowa, Kansas, Kentucky, Louisiana, Maryland, Michigan, Minnesota, Missouri, Montana, Nebraska, Nevada, New Hampshire, New Mexico, New Jersey, North Dakota, Ohio, Oklahoma, Oregon, Pennsylvania, Tennessee, Texas, Utah, Vermont, Virginia, Washington, West Virginia, Wisconsin e Wyoming.

Os estados começaram a adotar as medidas de RON quando a pandemia da COVID-19 gerou regras de distanciamento social e forçou as empresas a levarem suas operações para o mundo virtual. As medidas de cada estado incluem os mesmos elementos básicos, incluindo o uso de métodos de comunicação audiovisual, gravação das comunicações audiovisuais e autenticação pelo tabelião do signatário.

Open banking

BRASIL

A quarta e última fase da implementação brasileira do open banking começou no meio de dezembro.  Isso foi importante, porque marcou a migração do open banking para open finance, com a adição de produtos de investimento, seguros e câmbio estrangeiro entre as informações que serão compartilhadas com APIs de terceiros confiáveis com a autorização do consumidor. Isso complementa o que já estava incluso, como hipotecas, poupanças, previdências e cartões de crédito.

Um componente essencial da quarta fase é a exigência de que APIs relacionadas a produtos financeiros sejam compartilhadas para que passem por um processo de certificação. Isso garantirá a conformidade com as exigências de tecnologia do Banco Central.  

Prazos para a certificação:

  • 4 de março de 2022: seguros, previdência complementar aberta e capitalização
  • 11 de março de 2022: serviços de credenciamento em acordos de pagamento
  • 18 de março de 2022: operações de câmbio
  • 25 de março de 2022: contas de depósito prazo fixo e outros produtos de investimento

No dia 31 de maio de 2022, a segunda etapa da Fase 4 começará e os consumidores poderão autorizar o compartilhamento de dados a partir de 31 de maio de 2022. Nesse momento, o open finance será visível aos consumidores, pois será possível autorizar o compartilhamento de dados entre os serviços que as instituições participantes disponibilizaram por meio desse modelo. Espera-se que a implementação do open finance seja concluída até 30 de setembro de 2022.

CANADÁ

Em agosto de 2021, o comitê consultor do governo federal sobre open banking publicou um relatório. De acordo com o relatório, a fase inicial deve ser iniciada até janeiro de 2023, com o governo e a indústria colaborando no planejamento. O ano de 2022 será de preparação para o lançamento em 2023.

COLÔMBIA

A legislatura está trabalhando em um projeto de legislação para desenvolver um modelo de open banking. Espera-se que a lei seja apresentada em 2022. Por isso, ainda não há um cronograma definitivo. 

HONG KONG

A implementação em etapas da Estrutura de API Aberta da Autoridade Monetária de Hong Kong (HKMA) para o setor bancário envolve 28 bancos participantes. Os bancos começaram as Fases III e IV no fim de 2021, com um foco inicial nas informações de contas de depósito e pagamentos de comércios on-line.

De acordo com o site da HKMA, na Fase III, 25 bancos planejam lançar as funções de API para clientes individuais até o dia 30 de junho de 2022. Vinte e três bancos lançarão as funções de API para clientes corporativos e pequenas e médias empresas até o dia 30 de junho de 2022.

Na Fase IV, 27 dos 28 bancos participantes lançarão uma funcionalidade de pagamentos de aplicativo para aplicativo até o dia 30 de junho de 2022. O banco restante planeja implementar essa mesma funcionalidade até o dia 30 de setembro de 2022.

ARÁBIA SAUDITA

O banco central emitiu uma breve Política de Open Banking, que busca promover a concorrência, inovação, inclusão financeira e eficiência no sistema bancário. No momento, o banco central está avaliando os possíveis impactos do open banking e como adotá-lo melhor no país. O lançamento do open banking acontecerá em três fases: planejamento, implementação e lançamento.

Segundo o documento da política do banco central, "a fase de implementação cobrirá o desenvolvimento das estruturas definidas, a base da tecnologia e atividades de implementação, incluindo testes com participantes do mercado financeiro e uma melhoria da consciência dos consumidores." O banco central planeja lançar no primeiro semestre de 2022.

REINO UNIDO

Em maio de 2021, a Autoridade de Condução Financeira (FCA) emitiu uma declaração ampliando o prazo para a implementação das exigências de autenticação segura do cliente (SCA) em transações de comércio eletrônico até o dia 14 de março de 2022. A extensão de seis meses busca "garantir uma perturbação mínima aos comerciantes e consumidores, e reconhece os desafios atuais enfrentados pelo setor para estarem prontos até o prazo anterior, de 14 de setembro de 2021".

ESTADOS UNIDOS

Até o momento, o open banking nos EUA tem sido estimulado pelo mercado, mas isso pode estar prestes a mudar. Em julho de 2021, o Presidente Biden emitiu uma Ordem Executiva, Promovendo a Concorrência na Economia Estadunidense, englobando 72 iniciativas de mais de uma dezena de agências federais para abordar os problemas de concorrência mais urgentes da economia. Uma das 72 tarefas que o Diretor da Agência de Proteção Financeira do Consumidor deve pensar em iniciar ou continuar é uma regulamentação sob a seção 1033 da Lei Dodd-Frank para permitir a portabilidade de dados de transações financeiras de consumidores. Isso permitiria que os consumidores mudassem mais facilmente de instituições financeiras e utilizassem produtos financeiros novos e inovadores. Além disso, pode agir como um catalisador para o open banking nos EUA.

Previsões para 2022

Tendo em vista esta grande coleção de mudanças regulatórias, considere algumas dessas previsões ousadas para este ano:

  1. Espere que os EUA emitam um Aviso Avançado de Proposta de Regulamentação para a Regulamentação de Criptoativos.
  2. Os reguladores financeiros dos EUA, a Controladoria da Moeda (OCC), o Conselho da Reserva Federal (FRB), a Corporação Federal de Seguros e Depósitos (FDIC) e a Comissão de Câmbio de Títulos (SEC) anunciarão um Aviso de Proposta de Regulamentação para regulamentações abrangentes semelhantes à Regra de Proteções revisada da Comissão Federal do Comércio.
  3. A Agência de Proteção Financeira do Consumidor dos EUA anunciará políticas para estimular o open banking nos EUA. 
  4. Os bancos centrais também adicionarão exigências rigorosas de segurança, incluindo a autenticação multifatores utilizando a biometria facial e das impressões digitais e a proteção de aplicativos móveis, para carteiras digitais que armazenam e realizam transações com moedas digitais do banco central (CBDCs). A segurança é de primordial importância para os bancos centrais, e essas exigências se tornarão a norma conforme as CBDCs forem lançadas em todo o mundo.
  5. A reguladora de privacidade de dados da França, Commission nationale de l'informatique et des libertés (CNIL), anunciará que senhas não serão mais permitidas para dar acesso a dados pessoais confidenciais. Sistemas e bancos de dados acessados por meio de autenticação de fator único (nome de usuário e senha) não atenderão mais à GDPR.

Regulamentações bancárias e oportunidades

O ano de 2022 marca um período de muitas mudanças regulatórias em todo o mundo para bancos comunitários, bancos nacionais, empresas de holdings bancários, uniões de créditos e para o sistema financeiro.

Por isso, é essencial se manter atualizado sobre as mudanças regulatórias e legislações bancárias atuais, e também sobre novas propostas sendo discutidas nas jurisdições em que você atua. Elas podem ter um impacto crucial nas suas iniciativas de transformação digital.

Saiba mais sobre as soluções de segurança e conformidade regulatória acessando nossa página que descreve o desafio da conformidade..

Relatório de regulamentos financeiros globais OneSpan
Relatório

Relatório de regulamentos financeiros globais OneSpan

Baixe este relatório de 2022 para se manter atualizado sobre as últimas mudanças regulatórias e legislativas em todo o mundo - em relação à assinatura eletrônica, identidade digital, segurança cibernética e muito mais.

Baixar Agora

Michael Magrath é responsável por alinhar o roteiro de solução da OneSpan com padrões e requisitos regulatórios em todo o mundo. Ele é copresidente do Grupo de Trabalho de Implantação do Governo da FIDO Alliance e faz parte do Conselho de Diretores da Associação de Assinatura Eletrônica e Registros (ESRA).

Conformidade Regulatória

Saiba por que os maiores bancos mundiais confiam na OneSpan para cumprir exigências complexas de conformidade.

Saiba Mais