Principais regulamentações bancárias e exigências de conformidade de segurança [2021]

Michael Magrath, 31 de Março de 2021

Em 2020, a pandemia do coronavírus fez com que reguladores e legisladores em todo o mundo promulgassem rapidamente novas leis, polícias e regulamentações ou modificassem as já existentes para permitir que o comércio continuasse atuando de forma segura mesmo com as medidas de distanciamento social. Embora a pandemia tenha afetado muito o panorama regulatório e muitas das novas regulamentações deste ano tenham surgido por isso, legislações não relacionadas à pandemia também foram promulgadas.

Abaixo, reunimos algumas das principais regulamentações, leis e normas globais que afetarão as instituições financeiras.

Índice:

Principais regulamentações de segurança de 2021 para a indústria financeira

Regulamentações de segurança cibernética

Colômbia

Em dezembro de 2019, a reguladora financeira, Superintendencia Financiera de Colombia (SFC), emitiu um comunicado para fortalecer o uso de canais digitais para o fornecimento de serviços financeiros e promover a utilização de tecnologias para melhorar o fornecimento de serviços financeiros aos clientes. Essas tecnologias incluem a autenticação biométrica, blockchain, inteligência artificial, realidade aumentada, entre outras. A SFC forneceu um período de carência de 18 meses para a conformidade e as instituições financeiras têm até junho de 2021 para cumprir totalmente as novas normas de segurança.

A SFC exige o uso de autenticações seguras para transações e pagamentos remotos e não presenciais.

Dois ou mais fatores de autenticação serão necessários ao usar senha de uso único, biometria, certificados digitais e pagamentos com cartões EMV.

As instituições financeiras precisam utilizar mecanismos seguros de autenticação com base em uma análise de riscos de cada cliente, que pode gerar uma maior exposição ao risco de fraudes ou roubo de identidade. A análise deve ser documentada e levar em consideração determinados aspectos da conta, como o perfil de transações do cliente, o número de transações, o valor em pesos, o tipo de produto, canal, etc.

Além disso, autenticações seguras serão necessárias:

  • Para atualizar dados de clientes para a notificação de operações monetárias ou geração de alertas por e-mail ou celular
  • Quando transações de crédito e débito forem realizadas fora da Colômbia

O comunicado também aborda:

  • O tipo de serviços em nuvem disponíveis, o tipo de informação coletada para o processamento e os controles de segurança para proteção de dados em "ambientes virtualizados" ou aplicativos em nuvem.
  • Portabilidade de dados: normas para a troca de informações durante a realização de operações monetárias, como transações eletrônicas.

Índia

No dia 18 de fevereiro, o Banco de Reservas da Índia (RBI) publicou um comunicado, Controles de segurança de pagamentos digitais, exigindo que as entidades reguladas (ERs) estabelecessem uma estrutura de administração para produtos e serviços de pagamentos digitais e implementassem pelo menos normas de segurança de TI mínimas. As entidades regulamentadas incluem:

  1. Bancos comerciais programados (exceto bancos regionais rurais)
  2. Pequenos bancos financeiros
  3. Bancos de pagamentos
  4. Empresas financeiras que emitem cartões de crédito

As exigências incluem a administração e gerenciamento de riscos de segurança, controles de segurança, autenticação, gerenciamento de riscos de fraude, proteção ao cliente, internet banking, controles de segurança de aplicativos móveis de pagamentos e normas de segurança e reconciliação para pagamentos por cartão.

Uma seção importante é a da Estrutura de autenticação. O RBI observa que: "Tendo em vista a proliferação de ataques cibernéticos e suas possíveis consequências, as ERs devem implementar, exceto quando explicitamente permitido/liberado, a autenticação multifatores (MFA) para pagamentos e transferências realizadas por meios eletrônicos, incluindo saques em caixas eletrônicos e correspondentes comerciais, por meio de aplicativos de pagamentos digitais. Pelo menos uma das metodologias de autenticação deve ser geralmente dinâmica ou não replicável, por exemplo, senhas de uso único, dispositivos móveis (vinculado ao dispositivo e ao SIM), biometria, ICP, tokens de hardware e cartões EMV com chip (para transações com o cartão presente) com verificação no servidor podem ser denominadas em metodologias dinâmicas ou não replicáveis."

Dependendo do perfil de risco e do comportamento do usuário, as ERs também podem implementar a autenticação adaptável após a realização de uma avaliação de riscos.

As exigências de controle de segurança entrarão em vigor em agosto.

Peru

A reguladora financeira do Peru, Superintendencia de Banca, Seguros y AFP (SBS Perú) publicou a Resolución SBS504-2021 em fevereiro, definindo as regras de segurança cibernética para o setor de serviços financeiros.

As instituições financeiras devem implementar um programa de segurança cibernética, que inclui procedimentos e operações. Também há um grande foco no fortalecimento da autenticação em canais digitais, incluindo os que "envolvem pagamentos ou transferência de fundos a terceiros, cadastro de um beneficiário confiável, modificações a produtos de seguro de poupança/investimento contratados, contratação de produtos ou serviços, modificação de limites e condições".

De forma semelhante a outras jurisdições, a SBS também está solicitando que as instituições financeiras estendam as práticas de segurança a prestadores de serviços terceirizados. As cláusulas entrarão em vigor no dia 1º de julho de 2021, exceto pelas exigências de autenticação, que têm um período de carência até 1º de julho de 2022. As empresas devem apresentar um plano de adaptação em até 60 dias corridos após o dia 19 de abril de 2021.

Estados Unidos

No dia 12 de janeiro de 2021, a Agência da Controladoria da Moeda (OCC), o Conselho de Governadores do Sistema da Reserva Federal (Conselho) e a Corporação Federal de Seguro de Depósitos (FDIC) publicaram uma Notificação de Proposta de Legislação. A notificação é intitulada Exigências de notificação de incidentes de segurança informática para organizações bancárias e seus prestadores de serviços bancários.

A regra proposta na notificação estipula que os bancos devem notificar a OCC assim que possível e em no máximo 36 horas após o momento em que o banco acredita, de boa-fé, que um "incidente de notificação" cibernético ocorreu.

Os bancos podem notificar a OCC por qualquer meio, seja oral ou escrito, inclusive por meios tecnológicos, informando um contato designado na OCC.
Após o banco passar por um incidente de segurança que possa, de boa-fé, atrapalhar, degradar ou prejudicar os serviços por quatro horas ou mais, essa alteração exige que um prestador de serviços bancários terceirizado notifique no mínimo dois indivíduos de cada banco afetado. Esta regra ainda está sujeita à Lei de Empresas de Serviços Bancários.

No momento em que este texto foi escrito, a regra proposta estava aberta para comentários públicos. O prazo para envio de comentários é dia 12 de abril de 2021.

Regulamentações financeiras antilavagem de dinheiro e contra o terrorismo

Com o valor da Bitcoin ultrapassando o limite de US$ 60.000 mundialmente, as reguladoras têm limitado o panorama do criptoativo. Na reunião plenária de fevereiro de 2021, a Força-tarefa de Ação Financeira (FATF) anunciou que vaipublicar uma atualização das diretrizes da FATF para ativos virtuais e prestadores de serviços de ativos virtuais (VASPs) para consulta pública.

A FATF define um VASP como uma empresa que realiza uma ou mais das seguintes ações em nome de seus clientes:

  • câmbio entre ativos virtuais e moedas fiduciárias;
  • câmbio entre uma ou mais formas de ativos virtuais;
  • transferência de ativos virtuais;
  • armazenamento e/ou administração de ativos virtuais ou instrumentos que habilitam o controle de ativos virtuais; e
  • participação e fornecimento de serviços financeiros relacionados a à oferta de um emissor e/ou venda de um ativo virtual.

Exemplos de VASPs incluem câmbio de criptomoedas, curadores de carteiras, fundos de cobertura e operadores de caixas eletrônicos aplicáveis.

A FATF publicou suas diretrizes iniciais em 2019, recomendando que os VASPs implementassem as mesmas exigências financeiras antilavagem de dinheiro e contra o terrorismo (AML/CTF) que instituições financeiras tradicionais, pois são regulamentadas, licenciadas, registradas e sujeitas a sistemas eficazes de monitoramento e supervisão.

Segundo a FATF, ela "publicará o rascunho para consulta pública em março. A FATF espera aprovar as diretrizes em junho de 2021 e o feedback da consulta ajudará na formulação das diretrizes finais aprovadas. O rascunho também incluirá uma seção sobre como aplicar as diretrizes da FATF a stablecoins, abordando os riscos de transações com intermediários e a implementação de exigências de compartilhamento de dados, conhecida como a 'Regra de Viagem'."
Após a publicação das diretrizes finais, podemos esperar que vários reguladores pelo mundo revisem suas regulamentações de acordo com a FATF até o fim de 2021.

Sexta diretiva antilavagem de dinheiro da União Europeia (6AMLD)

A sexta diretiva e suas antecessoras têm o objetivo de combater a lavagem de dinheiro e o financiamento terrorista, criando um ambiente regulatório em toda a UE.

O Parlamento Europeu publicou a 6AMLD em outubro de 2018, com um prazo até o dia 3 de dezembro de 2020 para que os estados membros da UE transformassem a diretiva em lei nacional. Os estados membros da UE devem implementar as novas regulamentações até o dia 3 de junho de 2021.

A 6AMLD inclui várias cláusulas, como desenvolver uma definição harmonizada de 22 crimes de lavagem de dinheiro a ser usada em todo o bloco. Ela também estende a responsabilidade criminal além dos indivíduos que cometem os crimes, para aqueles que tentam e incitam a lavagem de dinheiro e/ou auxiliam na lavagem de dinheiro. Ela também estende a responsabilidade criminal para pessoas jurídicas, incluindo não só indivíduos, mas também parcerias e corporações.

Embora as punições ainda sejam consideradas leves demais, a 6AMLD amplia a pena máxima de um para quatro anos de prisão..

Rússia

Uma lei sobre "ativos financeiros digitais" foi promulgada no dia 30 de julho de 2020 e entrou em vigor no dia 1º de janeiro de 2021. Ela apresenta uma definição legal para moedas digitais, que abrange criptomoedas e define procedimentos para a emissão, circulação e registro de suas transferências. Essas alterações dos ativos digitais seguem as alterações da lei "sobre o sistema nacional de pagamentos". Os russos agora devem fornecer uma identificação ou identificação simplificada, que inclui o nome completo do indivíduo, para depositar fundos com um operador monetário eletrônico, e só pode fazer o depósito utilizando uma conta bancária.

Estados Unidos

A Lei de Autorização da Defesa Nacional dos EUA (NDAA) do ano fiscal de 2021 foi promulgada no dia 1º de janeiro de 2021. Embora o objetivo principal da NDAA seja autorizar um aumento de pagamento para membros do serviço e fornecer patrocínio à infraestrutura militar, a Lei Antilavagem de Dinheiro de 2020 e a Lei de Transparência Corporativa (CTA) estão escondidas nessa lei. Essas duas regulamentações impõem alterações significativas às leis federais antilavagem de dinheiro (AML).

A CTA tem o objetivo de combater o uso de empresas de fachadas criadas para atividades ilegais, muitas vezes incluindo lavagem de dinheiro, sonegação de impostos ou evasão fiscal, permitindo que os verdadeiros proprietários permaneçam anônimos.

Instituições financeiras com sede nos EUA devem coletar informações do legítimo proprietário de pessoas jurídicas, geralmente clientes da empresa. A lei adiciona novas exigências de balanços de propriedade para instituições financeiras em diversas classes de empresas, como corporações e sociedades limitadas. Um legítimo proprietário é definido como um indivíduo que detém a posse ou controla 25% ou mais de uma empresa ou exerce controle razoável sobre uma empresa. O controle razoável deve ser definido nas próximas regulamentações.

A lei também adiciona novas ferramentas e recursos para sua execução, e requer que a FinCEN publique regulamentações sobre a divulgação de legítimos proprietários em até um ano após sua promulgação.

A FinCEN também deve criar um registro não público para monitorar os legítimos proprietários de empresas sujeitas à publicação de balanços. O registro também pode ser compartilhado com as autoridades legais e instituições financeiras que realizam a due diligence sob determinadas circunstâncias.

Sistemas de pagamentos

Os países estão modernizando seus sistemas de pagamentos instantâneos. No Brasil, o PIX foi lançado em outubro de 2020, e os EUA pretendem lançar seu serviço FedNow em 2023.

Canadá

Em seu relatório anual de 2019, publicado no dia 28 de maio de 2020, o Banco do Canadá anunciou os planos de substituir seus dois sistemas de pagamentos instantâneos, o Large Value Transfer System (LVTS) e o Automated Clearing and Settlement System (ACSS). O LVTS será substituído no segundo trimestre de 2021 por um novo sistema de pagamentos de alto valor chamado Lynx, e um novo sistema de pagamentos instantâneos será lançado em 2022, chamado Real-Time Real (RTR).

A Payments Canada, operadora de pagamentos instantâneos no Canadá, apresentou planos detalhados para os três sistemas em seu Plano Corporativo para 2020-2024. O ACSS serás substituído por uma nova infraestrutura de pagamentos instantâneos para pagamentos de varejo entre indivíduos e empresas, mas o planejamento e desenvolvimento do sistema só começará neste ano.

United Kingdom

As exigências de autenticação segura do cliente (SCA) na segunda Diretiva de Serviços de Pagamentos (PSD2), que originalmente entraria em vigor em setembro de 2019, receberam uma extensão do período de carência pela Autoridade de Conduta Financeira (FCA) para que os comerciantes tenham mais tempo para se preparar. A FCA começará a cobrar as exigências da SCA no dia 14 de setembro de 2021.

Regulamentações de assinaturas eletrônicas

Austrália

Em maio de 2020, o governo australiano permitiu o uso de documentos e assinaturas eletrônicas para executar contratos corporativos. Essa decisão foi estendida até o dia 21 de março de 2021. Além disso, a Austrália anunciou planos de alterar a Lei de Corporações de 2001, além de outras legislações e regulamentações relacionadas, para expandir os usos aceitáveis de assinaturas eletrônicas. As alterações permitiriam o uso de assinaturas eletrônicas ao executar documentos legais e também o testemunho de documentos oficiais por meio de videoconferências ou outros meios tecnológicos seguros.

Estados Unidos

Um benefício para todas as indústrias, não só para os serviços financeiros, em dezembro de 2020, a Comissão de Câmbio e Títulos dos EUA (SEC) alterou a Regulamentação S-T e o Manual de Arquivamento do Sistema Eletrônico de Coleta, Análise e Recuperação de Dados (EDGAR). A alteração permite que assinaturas eletrônicas sejam usadas para arquivamentos no EDGAR que precisem ser assinados, e também faz alterações relacionadas a diversas regras e formulários sob a Lei de Segurança de 1933, a Lei de Câmbio de Títulos de 1934 e a Lei de Empresas de Investimento de 1940.

Antes da alteração, a Cláusula 17, seção 232.302(b) (Regra 302(b)) exigia que cada signatário de um arquivamento eletrônico assinasse manualmente em uma página de assinatura ou outro documento antes ou no momento do arquivamento eletrônico para autenticar, reconhecer ou adotar a assinatura que aparece digitada no arquivamento eletrônico.

De acordo com a mudança, o processo de assinatura deve incorporar um procedimento de segurança que exija a autenticação da identidade individual do signatário por meio de uma credencial física, lógica ou digital, e o processo de assinatura deve garantir razoavelmente o não repúdio da assinatura eletrônica.

Acesse o Guia de legalidade de assinaturas eletrônicas da OneSpan para visões gerais detalhadas das leis, regulamentações e exceções para vários países.

Regulamentações de privacidade e proteção de dados

Canadá

O projeto de lei chamado Lei de Implementação de Escritura Digital (Lei C-11) foi apresentado em 2020. A lei tem o objetivo de modernizar as leis de privacidade de dados do Canadá. Essa lei abrangente inclui duas partes:

  • A Parte 1 altera a Lei de Documentos Eletrônicos e Proteção de Informações Pessoais (PIPEDA) e mudará seu nome para Lei de Proteção da Privacidade do Consumidor.
  • A Parte 2 estabelece um tribunal especializado de proteção de dados e privacidade por meio da Lei do Tribunal de Proteção de Dados e Informações Pessoais. O tribunal ouviria recomendações e recursos de decisões do Comissário de Privacidade do Canadá.

Embora o governo tenha votado essa lei no dia 17 de novembro de 2020, vale a pena ficar de olho nela. Se aprovada, a probabilidade de qualquer uma das cláusulas entrar em vigor em 2021 é mínima. Porém, todas as empresas no Canadá devem se preparar para cumpri-la.

Nova Zelândia

Alterações à Lei de Privacidade de 1993 foram aprovadas em junho de 2020 e entraram em vigor no dia 1º de dezembro de 2020. Diferentemente de outras jurisdições, que baseiam suas leis na Regulamentação Geral de Proteção de Dados (GDPR) da UE, a nova lei é mais leve em comparação a ela.

A lei revisada se aplica a todas as empresas que atuam na Nova Zelândia, independentemente de onde sejam sediadas.

A lei inclui novas exigências de notificação de vazamentos, exigências para dados transferidos internacionalmente e multas. Ela também estende os poderes regulatórios e de execução à Agência de Privacidade.

Vazamentos sujeitos a notificação são aqueles que apresentam um risco provável de prejuízo, como a divulgação de informações pessoais sensíveis. Ela também afeta dados transferidos internacionalmente, pois a menos que um indivíduo tenha autorizado a divulgação fora da Nova Zelândia, a empresa precisará garantir que as informações sejam protegidas antes de transferi-las para outro país.

Singapura

Em novembro de 2020, as Alterações de Proteção de Dados Pessoais (PDPA) foram aprovadas pelo Parlamento e começaram a entrar em vigor gradualmente a partir do dia 1º de fevereiro de 2021. As alterações aumentam a proteção ao cliente e a responsabilização das empresas.

As principais mudanças incluem:

  • Novas notificações obrigatórias de vazamentos de dados
  • Penalidades para novos delitos caso dados pessoais sejam processados de forma inadequada
  • Aumento do limite de multa financeira para vazamentos
  • Regras adicionais para telemarketing e controle de spam

As alterações que entraram em vigor no dia 1º de fevereiro de 2021 incluem:

  • Notificação obrigatória de vazamentos: para vazamentos que possam causar prejuízo significativo ou afetar 500 pessoas ou mais
  • Mensagens não solicitadas e spam: aplicável a ligações telefônicas, mensagens de texto e mensagens instantâneas
  • Prestadores de serviços terceirizados contratados por agências do setor público: eles não são mais isentos caso dados pessoais sejam processados de forma inadequada durante a coleta, uso e divulgação de dados pessoais
  • Regras: para inovação e uso de dados
  • Responsabilidade: as empresas são responsáveis pelos dados pessoais em posse delas ou sob seu controle

As alterações que entrarão em vigor nas próximas fases incluem a portabilidade de dados e aumento das multas financeiras, que, no momento, têm o limite de S$ 1 milhão (aproximadamente US$ 742.500). Para empresas com lucros anuais em Singapura acima de S$ 10 milhões, a nova multa financeira máxima será elevada para 10% dos lucros anuais (no mínimo S$ 1 milhão). As multas máximas para empresas com lucro abaixo de S$ 10 milhões também foram alteradas. A nova multa financeira máxima será de S$ 1 milhão.

África do Sul

A Lei de Proteção de Informações Pessoais de 2013 (POPIA) entrou em vigor em julho de 2020, com o Banco de Reservas da África do Sul (SARB) estimulando as instituições financeiras a cumprir proativamente as regulamentações da POPIA. O SARB começará a cobrar o cumprimento total das Seções 110 e 114(4) em 30 de junho de 2021. Essas seções abordam a alteração de leis e a transferência de funções da Comissão Sul-Africana de Direitos Humanos para a Reguladora de Informações no que tange a Lei da Promoção de Acesso à Informação (PAIA).

Estados Unidos

Baseada na Regulamentação Geral de Proteção de Dados (GDPR) da União Europeia, a Califórnia tem duas leis, a Lei de Privacidade do Consumidor da Califórnia (CCPA) e sua substituta, a Lei de Direitos de Privacidade da Califórnia (CPRA), que entrará em vigor no dia 1º de janeiro de 2023, com execução total a partir do dia 1º de julho de 2023.

A CPRA entra em vigor no dia 1º de janeiro de 2023. Porém, ela inclui um período retroativo de 12 meses para solicitações de acesso. Isso significa que as empresas devem, durante o ano de 2021, definir e implementar protocolos de retenção para cumprir as cláusulas de solicitação de acesso da CPRA até o dia 1º de janeiro de 2022.

A Virgínia se tornou o segundo estado a aprovar leis abrangentes de proteção de dados ao promulgar a Lei de Proteção de Dados do Consumidor (CDPA) no dia 2 de março de 2021. A CDPA entrará em vigor no dia 1º de janeiro de 2023. A CDPA estabelecerá uma estrutura legal para a coleta, controle e processamento de dados pessoais. A boa notícia para as instituições financeiras é que empresas sujeitas à conformidade com a Lei Gramm-Leach-Billey (GLBA) são isentas.

Open Banking

Austrália

A Comissão Australiana da Concorrência e do Consumidor (ACCC) iniciou uma fase de implementação das regras em uma iniciativa nacional de open banking em 2020.

As regras entraram em vigor oficialmente no dia 5 de agosto de 2020, e os padrões de dados sob a lei entraram em vigor em novembro de 2020. Todos os bancos do país têm até julho de 2021 para cumprir as obrigações de compartilhamento de dados de consumidores de acordo com as novas

Brasil

Em maio, o Banco Central do Brasil (BCB) publicou as regulamentações para o open banking no país, permitindo o compartilhamento de dados pessoais entre instituições financeiras e integrando os sistemas de API das instituições financeiras existentes. O Brasil está no processo de implementação de open banking em quatro fases para permitir o acesso entre diversos canais, produtos e serviços.

  • Novembro de 2020: permitir o acesso entre canais, produtos e serviços
  • Maio de 2021: compartilhamento de dados de clientes
  • Agosto de 2021: compartilhamento de iniciação de transações de pagamentos
  • Outubro de 2021: compartilhamento de todos os outros serviços e informações

Canadá

  • O Comitê Consultivo de Open Banking, criado pelo Ministro de Finanças em 2018, recebeu a tarefa de produzir um relatório "avaliando os possíveis méritos do open banking para o Canadá, com a maior preocupação quanto à privacidade, segurança e estabilidade financeira do consumidor".
  • Uma coisa que apareceu no relatório de janeiro de 2020 foi cunhar o nome "finanças voltadas para o consumidor" (CDF) em vez de open banking. O Canadá lançou a segunda fase de sua consulta sobre as finanças voltadas para o consumidor ano passado, com foco na segurança de dados. O Comitê Consultivo iniciou a fase 2 realizando uma série de reuniões virtuais com as partes envolvidas no segundo semestre do ano passado. A Fase 2 agora se concentra em como os reguladores financeiros e instituições financeiras canadenses podem aumentar a proteção de dados e reduzir os riscos de privacidade. É improvável que a CDF seja lançada em 2021, mas as instituições financeiras acompanhem a situação.

México

Em março de 2020, o Banco Central do México publicou o primeiro conjunto de regras para o open banking de acordo com sua Lei de Fintech. As regras iniciais integram instituições de crédito e câmaras de liquidação à estrutura do open banking. Em junho de 2020, o banco central publicou regras sobre APIs de dados abertos em, durante o primeiro trimestre de 2021, regulamentações secundárias para os dados transacionais devem ser publicadas.

Nigéria

Em fevereiro, o Banco Central da Nigéria publicou a Estrutura Regulatória para Open Banking. A Estrutura se aplica a serviços bancários e outros serviços relacionados. Esses serviços incluem:

  • Serviços de pagamentos e remessas
  • Serviços de cobranças
  • Depósitos
  • Crédito
  • Gerenciamento e consultoria de finanças pessoais
  • Avaliação de crédito
  • Empréstimos/Parcelamento
  • Hipotecas

Estados Unidos

A Agência de Proteção Financeira do Consumidor dos EUA planeja emitir uma notificação prévia de proposta de legislação (ANPR) ainda em 2021 referente ao acesso a registros financeiros autorizado pelo cliente. Espera-se que essa lei afete empresas tradicionais de serviços financeiros e também FinTechs. Além disso, a lei está de acordo com os conceitos de open banking. A ANPR buscará uma variedade de informações, incluindo o escopo de dados que podem ficar sujeitos ao acesso protegido. Além disso, ela pode incluir informações que podem afetar outros termos do acesso, como informações relacionadas à segurança, privacidade, controle efetivo do consumidor sobre o acesso e os dados acessados e responsabilidade por erros nos dados e acesso não autorizado.

Principais regulamentações de segurança de 2020 para a indústria financeira

Regulamentações de segurança cibernética

PSD2: 2ª Diretiva de Serviços de Pagamentos

Embora as exigências de open banking tenham entrado em vigor no dia 14 de setembro de 2019, em outubro de 2019 a Autoridade Bancária Europeia (EBA) publicou um prazo revisado para o cumprimento das Normas Técnicas Regulatórias (RTS) quanto à autenticação segura do cliente (SCA) e comunicação segura sob a PSD2. O novo prazo é 31 de dezembro de 2020. Embora a maioria das autoridades tenham seguido o exemplo da EBA, a Autoridade de Conduta Financeira (FCA) do Reino Unido não cobrará o cumprimento da SCA até 14 de março de 2021. O Banco da França confirmou o prazo da EBA de 31 de dezembro, mas adicionou um período de carência de 3 meses de acordo com cada caso.

Os critérios da PSD2 incluem:

  • Autenticação segura do cliente: A autenticação deve ser baseada em dois fatores ou mais, incluindo senhas ou PÌN, tokens ou dispositivos móveis, ou biometria.
  • Análise de riscos transacionais:A PSD2 exige o uso da análise de riscos transacionais para impedir pagamentos fraudulentos.
  • Vínculo dinâmico: O código de autenticação deve ser vinculado dinamicamente ao pagador e ao valor das transações de pagamento.
  • Segurança em aplicativos móveis:Os prestadores de serviços de pagamentos devem adotar medidas de segurança para reduzir o risco resultante de dispositivos móveis comprometidos. A PSD2 também exige o uso de medidas dedicadas contra a clonagem de aplicativos móveis, também conhecido como proteção contra replicação.

Canadá – Diretrizes atualizadas do conceito Conheça Seu Cliente (KYC) da FINTRAC, permitindo a integração digital

A integração digital foi rapidamente adotada por vários países em todo o mundo, incluindo Hong Kong, Singapura e Estados Unidos. Tanto instituições financeiras quanto seus clientes adotaram a integração digital, pois ela equilibra a segurança com a conveniência para o usuário, sem deixar de cumprir as exigências regulatórias.

O Canadá continua evoluindo a identidade digital com o desenvolvimento contínuo da Estrutura Pan-canadense de Confiança (PCTF) liderada pelo Governo do Canadá e pelo Conselho Canadense de Autenticação e Identidade Digital (DIACC).

No dia 14 de novembro de 2019, o Centro de Análises de Relatórios e Transações Financeiras do Canadá (FINTRAC) publicou uma atualização das diretrizes de exigências do conceito Conheça seu cliente (KYC) intitulada "Métodos de verificação da identidade de um indivíduo e confirmação da existência de uma corporação ou entidade que não seja uma corporação".

A FINTRAC aceita diferentes tecnologias, inclusive uma entrevista por vídeo ao vivo e a opção que tem se tornado padrão, em que "pode-se solicitar que um indivíduo tire uma selfie usando a câmera do celular ou de outro dispositivo eletrônico, e um aplicativo utiliza a tecnologia de reconhecimento facial para comparar as características da selfie com a foto de um documento de identidade autêntico emitido pelo governo."

A FINTRAC frisa que "não é suficiente apenas ver uma pessoa e seu documento de identidade com foto emitido pelo governo por videoconferência ou por qualquer outro tipo de aplicativo virtual." A instituição financeira "deve usar um software ou algum tipo de tecnologia que seja capaz de autenticar o documento de identidade com foto emitido pelo governo. As instituições financeiras também devem confirmar se o nome e a imagem correspondem ao do indivíduo no documento de identidade com foto emitido pelo governo."

Canadá – Alterações da Lei de Dinheiro Ilícito (Lavagem de dinheiro) e Financiamento de Terrorismo (PCMLTFA)

Publicadas pela FINTRAC em julho de 2019, as alterações afetam diretamente empresas que oferecem transações com criptomoedas, que não eram inclusos em muitas regulamentações.

Todas as empresas que oferecem transações com criptomoedas no Canadá, a partir de 1º de junho de 2020, devem ser registradas pela FINTRAC. Essas empresas serão classificadas como empresas de serviços monetários (MSBs), que, tradicionalmente fornecem serviços de câmbio de moedas estrangeiras e de depósito de cheques, além de vendas de ordens de pagamentos.

Como instituições financeiras, empresas que oferecem transações com criptomoedas deverão ter um agente de conformidade, cumprir as políticas do conceito Conheça Seu Cliente (KYC) e reportar transações suspeitas à FINTRAC. Essas empresas poderão se beneficiar das cláusulas de integração digital detalhadas acima.

EUA – Alterações às Regras de Proteção e Privacidade sob a Lei Gramm-Leach-Billey

Em 2020, a Comissão Federal do Comércio deve anunciar alterações à Regra de Proteção e de Privacidade sob a Lei Gramm-Leach-Billey, que exigem que as instituições financeiras (IFs) expliquem aos seus clientes as políticas e práticas de compartilhamento de informações da empresa e protejam os dados confidenciais.

As regulamentações revisadas provavelmente incorporarão feedback fornecido pelas alterações propostas que a FTC publicou em 2019.

Sob a Regra de Proteção, os bancos e IFs dos EUA devem implementar medidas para proteger as informações do cliente. Além disso, eles também devem tomar medidas para garantir que suas afiliadas e prestadores de serviços protejam as informações do cliente que estejam sob seus cuidados. A Regra de Privacidade exige que uma IF permita que seus clientes escolham não ter suas informações compartilhadas com determinados terceiros após ter recebido uma explicação das práticas de compartilhamento de informações da empresa. A proposta exigiria que as instituições financeiras criptografassem todos os dados dos clientes, utilizassem a autenticação multifatores para acessar esses dados e implementassem mais controles de acesso para evitar que usuários não autorizados acessem informações do cliente.

Essas alterações propostas são baseadas nas Regulamentações de Segurança Cibernética do Departamento de Serviços Financeiros de Nova York (NYDFS) que entraram em vigor em 2019. A realidade é que nem toda instituição financeira nos EUA está sujeita às regulamentações do NYDFS, então, ainda existem brechas na proteção da privacidade e segurança dos clientes. Porém, todas as instituições financeiras dos EUA são regidas pela FTC, então, as regulamentações propostas pela FTC eliminarão todas essas brechas.

União Europeia - 5ª Diretiva antilavagem de dinheiro (AMLD5)

Em julho de 2018, a Diretiva 2018/843 da UE3, a quinta versão da Diretiva antilavagem de dinheiro da UE (AMLD5) entrou em vigor, exigindo que os estados membros da UE transformassem a AMLD5 em lei nacional até o dia 10 de janeiro de 2020.

Como as versões anteriores, a AMLD5 se aplica a instituições financeiras, incluindo bancos e empresas de serviços monetários (MSBs), com uma mudança significativa, que é o fato de a AMLD5 se aplica também a empresas de câmbio de criptomoedas virtuais (VCEPs) e fornecedores de curadores de carteiras ("CWPs") como "entidades obrigadas" sujeitas às regulamentações da UE.

VCEPs e CWPs, anteriormente não reguladas pela diretiva, agora devem seguir as mesmas regras que qualquer outra organização de serviços financeiros, que inclui verificações de identidade obrigatórias para novos clientes.

Como ela tem relação com a verificação de identidade, a AMLD5 reconhece tecnologias de identidade digital.

O item nº 22 inclui: "Identificação precisa e verificação de dados de pessoas físicas e jurídicas são essenciais para combater a lavagem de dinheiro ou financiamento de terrorismo. As evoluções técnicas mais recentes na digitalização de transações e pagamentos permitem a identificação remota ou eletrônica segura. Esses meios de identificação... devem ser levados em consideração, principalmente no que tange esquemas notificados de identificação eletrônica e formas de garantir o reconhecimento legal internacionalmente, que oferecem ferramentas seguras de alto nível e um padrão para que os métodos de identificação nacionais sigam. Além disso, outros processos seguros de identificação remota ou eletrônica, regulamentados, reconhecidos, aprovados ou aceitos em nível nacional pela autoridade nacional competente podem ser levados em conta."

O não cumprimento pode gerar penalidades severas, incluindo multas de até €5 milhões ou 10% do rendimento anual. Para a gerência, os indivíduos podem ser impedidos de administrar uma empresa regulamentada e a empresa pode ser impedida de operar devido a violações de conformidade.

Regulamentações de proteção e privacidade de dados

Agências governamentais de todo o mundo estão considerando novas regulamentações de privacidade de dados. Muitas dessas regulamentações são baseadas na GDPR da UE, e buscam uma maior consciência quanto a questões de privacidade e proteção de dados.

Estados Unidos – Lei de Privacidade do Consumidor da Califórnia (CCPA)

A CCPA apresenta novos direitos de privacidade a consumidores e forçará as empresas que atuam na Califórnia a implementar mudanças estruturais em seus programas de privacidade. Baseada na Regulamentação Geral de Proteção de Dados (GDPR) da UE, a CCPA entrou em vigor no dia 1º de janeiro de 2020, com seu cumprimento sendo exigido a partir do dia 1º de julho de 2020.

A CCPA se aplica a empresas definidas como "entidades lucrativas que coletam dados pessoais de 'consumidores' (neste caso, residentes da Califórnia) e que cumprem ao menos um dos seguintes critérios:

  • A empresa compra, recebe, vende ou compartilha anualmente as informações pessoais de 50 mil consumidores, lares ou dispositivos ou mais.
  • A empresa tem um lucro bruto anual de mais de US$ 25 milhões.
  • A empresa deriva 50% ou mais de seu lucro anual da venda de informações pessoais de consumidores."

Algumas das principais cláusulas incluem o direito do consumidor de acessar, excluir e transportar suas informações pessoais. Sob a lei, os consumidores podem solicitar o acesso, a exclusão ou a portabilidade das informações que forneceram a uma empresa até duas vezes a cada 12 meses.
Quando uma pessoa pensa em suas interações digitais com uma empresa, há uma quantidade imensa de dados pessoais. Isso inclui as informações comuns, como nome, endereço residencial, telefone, endereço de e-mail, estado civil, religião e raça, mas também informações digitais, como seu endereço de IP, nome de usuário, senhas, dados de navegação, histórico de compra e autenticadores. A lista de autenticadores ainda inclui biometria, como dados de reconhecimento facial, notas de voz e impressões digitais.

Para proteger a privacidade e segurança dos consumidores, a lei exige que as empresas estabeleçam processos para verificar a identidade e autorização dos consumidores.

As multas pela violação da CCPA podem ser altas. Violações não intencionais estão sujeitas a uma multa máxima de US$ 2.500, enquanto violações intencionais podem ter uma multa máxima de US$ 7.500. Para uma empresa multibilionária, esses valores são só um tapinha no punho. O perigo da CCPA é no direito dos consumidores de processarem as empresas. Sob a CCPA, os consumidores podem pedir de US$ 100 a US$ 750 a cada evento. Nessa era de vazamentos em larga escala, se os danos forem maiores do que US$ 750, o consumidor pode receber ainda mais. Situações como essa podem ocorrer em casos em que as "informações pessoais não criptografadas e não anonimizadas" de um cliente são vazadas.

Brasil – Lei Geral de Proteção de Dados (LGPD)

Em julho de 2019, a Lei Geral de Proteção de Dados Pessoais (Lei Nº 13.709/2018) ("LGPD") foi promulgada e entrou em vigor em 15 de agosto de 2020.

A LGPD é baseada na GDPR da UE e se aplica a qualquer pessoa física ou jurídica (independentemente de onde estejam localizadas) que ofereça ou forneça bens ou serviços ao Brasil, processe dados no Brasil ou processe dados coletados no Brasil ou que pertençam a indivíduos brasileiros.

A LGPD exige que os controladores e processadores de dados adotem medidas administrativas, técnicas e de segurança voltadas para a proteção de dados pessoais contra o acesso não autorizado, além de contra a perda, destruição, alteração e comunicação acidental ou ilícita.

A Autoridade Nacional de Proteção de Dados (ANPD) supervisionará e executará as regulamentações de proteção de dados. Espera-se que a ANPD publique as normas técnicas mínimas em 2020.

Embora ainda não saibamos o que será incluso nas normas técnicas mínimas, os bancos afetados e empresas que atualmente protegem dados dos clientes com nomes de usuários e senhas estáticas devem otimizar suas tecnologias de gerenciamento de identidade e de autenticação para incluir a autenticação multifatores.

Thailand – Personal Data Protection Act (PDPA)

Em maio de 2019, a Lei de Proteção de Dados Pessoais B.E. 2562 (2019) foi publicada no diário oficial da Tailândia. A lei inclui um período de carência de um ano, com a conformidade sendo exigida a partir de 27 de maio de 2020.
A PDPA inclui uma cláusula para a criação do Comitê de Proteção de Dados Pessoais ("PDPC"), que tem a tarefa de fiscalizar o cumprimento da lei e publicar suas diretrizes.

A PDPA foi influenciada por vários conceitos da GDPR, mas também utiliza conceitos desenvolvidos do ponto de vista tailandês. Não devemos presumir que a conformidade com a GDPR garantirá a conformidade com a PDPA. Eu recomendo uma análise minuciosa e cuidadosa das diferenças entre essas duas legislações para todas as empresas bancárias internacionais que atuam nas duas regiões.

Como a GDPR, a autorização do consumidor deve ser obtida de maneira fácil de entender e que não seja complexa.

As empresas precisarão solidificar suas políticas e práticas de gerenciamento de dados dos clientes, pois a PDPA categoriza os dados dos clientes em três categorias: coleta de dados pessoais, uso de dados e divulgação de dados. As empresas precisam obter a autorização do consumidor para cada um desses objetivos.

A PDPA tem aplicabilidade extraterritorial, ou seja, os controladores e processadores de dados dentro e fora da Tailândia podem estar sujeitos a ela, afetando, assim, muitos bancos globais e regionais e outras instituições financeiras.

Como a GDPR e outras leis de proteção de dados, a PDPA inclui penalidades rígidas para o não cumprimento da lei. Elas podem incluir multas de até THB 5 milhões pelo não cumprimento administrativo, prisão de até um ano e/ou multas de até THB 1 milhão e indenização de até duas vezes o valor dos danos causados. Além disso, a Tailândia agora permite que os titulares dos dados abram ações judiciais coletivas, então, as indenizações cíveis sob a PDPA podem ser multiplicadas. O diretor da empresa também pode ser sujeito a penalidades.

Regulamentações bancárias e oportunidades

2021 marca um período de muitas mudanças regulatórias em todo o mundo. Por isso, é essencial se manter atualizado sobre as mudanças regulatórias atuais, e também sobre novas propostas sendo discutidas nas jurisdições em que você atua. Elas podem ter um impacto crucial nas suas iniciativas de transformação digital.

Saiba mais sobre as soluções de segurança e conformidade regulatória acessando nossa página que descreve o desafio da conformidade.

Relatório de regulamentos financeiros globais OneSpan
Relatório

Relatório de regulamentos financeiros globais OneSpan

Baixe este relatório de 2020 para se manter atualizado sobre as últimas mudanças regulatórias e legislativas em todo o mundo - em relação à assinatura eletrônica, identidade digital, segurança cibernética e muito mais.

Baixar Agora

Michael Magrath é responsável por alinhar o roteiro de solução da OneSpan com padrões e requisitos regulatórios em todo o mundo. Ele é copresidente do Grupo de Trabalho de Implantação do Governo da FIDO Alliance e faz parte do Conselho de Diretores da Associação de Assinatura Eletrônica e Registros (ESRA).

Conformidade Regulatória

Saiba por que os maiores bancos mundiais confiam na OneSpan para cumprir exigências complexas de conformidade.

Saiba Mais