Os Chefes do Departamento de Supervisão de Cooperativas e de Instituições Não Bancárias (Desuc) e do Departamento de Supervisão Bancária (Desup), no uso da atribuição que lhes confere o artigo 23, inciso I, alínea "a" do Regimento Interno do Banco Central do Brasil, anexo à Resolução BCB 340, de 21 de setembro de 2023, com base nos artigos 46, inciso II e 51, incisos IX e XI, ambos da Resolução Conjunta nº 1, de 04 de maio de 2020. resolvem:

Art. 1º Esta Instrução Normativa divulga regras e calendário para pontos de controle de uma etapa do processo de alteração do perfil de segurança do Open Finance, que, em atendimento à Instrução Normativa BCB 305, de 15 de setembro de 2022, estabelece as diretrizes de segurança e interoperabilidade que devem ser aplicadas às APIs (Applications Programming Interface) do Open Finance.

Art. 2º Em uma das etapas do cronograma de implementação de criação do novo perfil de segurança, conforme estabelecido pela Estrutura de Governança do Open Finance, deverão ser realizados os DCMs (Dynamic Client Management), na qual, de forma bilateral, as Instituições informam os padrões utilizados e reconhecidos por cada Instituição. Esse passo é crítico para a adequada interoperabilidade do Open Finance e deverá obedecer às regras e pontos de controle estabelecidos nesta Instrução Normativa.

Art. 3º A etapa mencionada no parágrafo anterior se encerra em 14/4/2024 e deve ser observada por todos os participantes ativos no Open Finance.

Marcos de DCM a serem cumpridos por participantes relevantes

Art. 4º Em seus papéis de iniciadora/receptora, as instituições e os conglomerados relacionados nos arts. 8º e 9º devem respeitar os marcos estabelecidos no art. 5º para realização de DCM com as principais marcas das Instituições relacionadas no art. 10.

I - Todas as Instituições listadas no art. 10 devem ser objeto de DCM que integre as métricas do art. 5º. No entanto, cada iniciadora/receptora poderá usar critério próprio para identificar as principais marcas das Instituições detentoras/transmissoras. Contudo, marcas com DCR (Dynamic Client Registration), que representa o primeiro registro bilateral, ocorrido em 2024 devem ser incluídas no cronograma.

Art. 5º O processo de DCM pelos participantes listados nos arts. 8º e 9º deverá seguir o seguinte cronograma:

Art. 6º Para a realização de testes comprobatórios, após cada DCM realizado com sucesso:

I - Caso a iniciadora tenha condições técnicas, deverá validar se a jornada continua operacional e se é possível realizar uma iniciação de pagamento com sucesso;

II - Caso a receptora tenha condições técnicas, deverá validar se a jornada continua operacional;

III - A receptora deverá validar se é possível consumir dados de consentimentos ativos;

IV - Evidências desses testes devem ser mantidas à disposição do Banco Central do Brasil.

Art. 7º Caso seja realizado um novo DCM com perfil antigo para marca já computada como sucesso nos marcos estabelecidos no art. 5º, a marca deve ser desconsiderada nos marcos seguintes, até que volte a ser realizado DCM com o novo perfil de segurança.

Art. 8º As iniciadoras e/ou receptoras que devem respeitar os marcos estabelecidos no art. 5º são os conglomerados e instituições listadas abaixo:

I - Banco do Brasil;

II - Bradesco;

III - Itaú;

IV - Mercado Pago;

V - Nu Pagamentos;

VI - PicPay;

VII - Santander;

VIII - U4C.

Art. 9º Se, ao final de fevereiro de 2024, houver outras Instituições relevantes (95% do estoque dos consentimentos ativos para compartilhamento de dados e/ou 95% das transações iniciadas) também estarão sujeitas a esse cronograma e serão individualmente contatadas pela Supervisão do Banco Central, até 11/03/2024.

Art. 10. As detentoras e/ou transmissoras que devem ser consideradas para fins do estabelecido no art. 4º são:

I - Banco do Brasil;

II - Bradesco;

III - CAIXA;

IV - C6;

V - Itaú;

VI - Mercado Pago;

VII - Nu Pagamentos;

VIII - PicPay;

IX - Santander.

Art. 11. A relação de detentoras/transmissoras não será complementada com outras instituições.

Metas de atendimento de tickets

Art. 12. No período de 25/03/2024 a 14/04/2024, devem ser formalizados no service desk tickets relativos a:

I - Incidentes nos DCR/DCMs;

II - Incidentes com suspeita de que sejam desdobramentos dos DCR/DCMs. São exemplos de cenários possíveis de enquadramento nesse item erros generalizados de token inválido e escopo inválido que não ocorriam antes dos referidos DCR/DCMs;

Art. 13. Os tickets relacionados no art. 12:

I - Referentes a DCMs que integrem os marcos do art. 4º devem ser classificados na categoria mais adequada, mas reclassificados para indisponibilidade, com meta de atendimento de incidentes com indisponibilidade, nos termos da IN BCB 359, de 3 de março de 2023;

II - Não enquadráveis nos marcos do art. 4º devem ser classificados na categoria mais adequada, mas reclassificados para degradação de qualidade de serviço, com meta de atendimento de incidentes que não causem indisponibilidade de serviços com tipo de incidente degradação de qualidade de serviço nos termos da IN BCB 359/2023;

III - Deverão ter as solicitações de reclassificação para tipos de incidente com meta de atendimento com prazo máximo superior ao estabelecido nesta Instrução Normativa negadas;

IV - Se a instituição que abriu o ticket identificar que a causa do erro está na implementação sob sua responsabilidade ou na eventualidade de decisão de implementação de solução de contorno na implementação sob sua responsabilidade, o ticket deve ser atualizado e encerrado no mesmo dia.

Art. 14. Esta Instrução Normativa entra em vigor em 01 de fevereiro de 2024.

HAROLD PAQUETE ESPINOLA FILHO

Chefe do Departamento de Supervisão de Cooperativas e de Instituições Não Bancárias

BELLINE SANTANA

Departamento de Supervisão Bancária