Banner Top JOTA INFO
mercado de pagamentos

O BC e a supervisão das Big Tech no mercado de meios de pagamento

O Banco Central será capaz de fazer cumprir a regulação de ITPs por parte das Big Tech?

Pedro Magalhães Batista
24/05/2022|05:35
banco central
Prédio do Banco Central em Brasília. Crédito: Leonardo Sá/Agência Senado

A iniciadora de transações de pagamentos (ITP) revolucionou o mercado de pagamentos brasileiro. A participação da ITP no fluxo informacional amplia a competitividade e inovação no setor ao simplificar o fluxo de ordens de pagamento com as detentoras de conta.

Em virtude do acesso que as ITPs possuem aos dados transacionais do fluxo de pagamento, o Banco Central do Brasil (BCB) é competente pela supervisão dos riscos de segurança na prestação desses serviços. A Resolução BCB n˚ 80/2021 prevê a necessidade de autorização para ITPs funcionarem. A dispensa ocorre para instituição já autorizada, considerando a adoção de procedimentos de controle de PLDFT, segurança etc.

Como as ITPs mantêm relacionamento nas duas pontas do mercado, o BCB exige que o acesso a esses dados seja limitado aos mínimos necessários à iniciação de pagamento e que não sejam utilizados para outra finalidade[1].

Por sua vez, o open banking facilitou o compartilhamento de dados e a flexibilidade na constituição das ITPs, que fomentam descentralização e competição no mercado. Essa medida, facilidade a entrada de grandes companhias de tecnologia internacionais no setor brasileiro. A participação das Big Tech no mercado financeiro tem chamado atenção internacional, especialmente devido ao possível abuso de utilização de dados, além de preocupações relacionadas à concentração anticompetitiva.[2]

A aprovação da operação do Facebook Pagamentos como ITP impõe desafios ao BCB: a familiarização com riscos das Big Tech, com um negócio diverso daquele usualmente supervisionado. O regulador brasileiro tem explorado as lições europeias, desenvolvendo uma regulação para facilitar o ingresso dessas entrantes, garantindo segurança no mercado. É visível a inspiração europeia na revisão das normas brasileiras. A Diretiva dos Serviços de Pagamento 2015/2366 (PSD2)[3] traz regras relacionadas à segurança, privacidade e transparência.

A seguir, trazemos alguns tópicos que encontram quase idênticas previsões entre o PSD2 e a regulação do BCB, aplicáveis às ITPs:

Tema da norma PSD2 BCB
Gerenciamento de riscos  

Recital (34); art. 5 c); art. 7 e art. 8

 

Art. 3º, §1 - Circular n˚ 3.681/2013

Auditoria interna e gestão contabilística  

Art. 5, e)

Art. 2º, Resolução BCB n˚ 93/2021
Incidentes de segurança Recital 98; art. 5, f); art. 101 Circular n˚ 3.909/2018 e art. 3º, V, a) - Resolução BCB n˚ 85/2021
Gestão de acesso a dados de pagamento sensíveis e garantia de segurança para prevenção de vazamentos Recital 33; art. 5, h) e g); art. 19 e art. 89 Circular n˚ 3.909/2018 e art. 3, §2º - Resolução BCB n˚ 85/2020
Segurança da informação  

Recital 69; art. 5 i); art. 52; art. 72; art. 73 e art. 94

 

Arts. 1o, 2o e 3o - Resolução BCB n˚ 85/2020

Prevenção a crimes  

Recital 37; art. 5, k); art. 19

 

Circular n˚ 3.978/2020

Consentimento Art. 64 Art. 5, § 3º e art. 10 - Resolução Conjunta n˚ 1/2020
Responsabilidade por falha na execução do serviço e sigilo no  

Art. 89

 

Art. 31 - Resolução Conjunta n˚ 1/2020

Limitação de tratamento aos necessários Art. 94 Art. 4, II - Resolução Conjunta n˚ 1/2020; Circular 3.909/2018; Resolução BCB n˚ 80/2021
Risco operacional, de segurança e mecanismos de mitigação e avaliação periódica  

 

Art. 95

Art. 4º - Circular n˚ 3.681/2013, atualizada pela Resolução BCB n˚ 25/2020
Autenticação do cliente Arts. 97 e 98 Art. 8º, art. 16 e ss - Resolução Conjunta n˚1/2020

As regulações brasileira e europeia possuem semelhança, diferindo-se pelo fato de que, no Brasil, cabe à detentora da conta a autenticação. Ciente de que as Big Tech dominam a tecnologia de autenticação, há risco de concentração no mercado ao estabelecer requisitos que podem ser altamente custosos a novos entrantes e empreendimentos. O regulador brasileiro tem o desafio de encontrar um balanço apropriado entre os requerimentos de segurança e os riscos de concentração. Logo, esta crítica também induz que seja possível requerer das Big Tech ITPs a adoção de requerimentos adicionais, por exemplo, quanto à autenticação forte para o início de transação.

Por mais que essas medidas sejam proibitivas a muitos entrantes, esta lógica não se aplica às empresas que ingressam no setor com a vantagem de possuir alta capacidade tecnológica e posição consolidada no mercado digital. Como tais medidas adicionais podem ser inaplicáveis a muitas instituições, é importante ponderar a viabilidade do direcionamento dessas propostas àquelas companhias com maior capacidade tecnológica e riscos operacionais capazes de contagiar a estabilidade financeira.

Em que pesem certas diferenças, o BCB tem acompanhado as boas práticas da Europa. Após os avanços em trazer a figura da ITP ao Brasil, é importante compreender a interação entre as normas de open banking e da LGPD. Desafio similar foi enfrentado pelo Comitê Europeu de Proteção de Dados (CEPD) ao elaborar um guia em 2020 sobre a interação entre o PSD2 de 2015 e o General Data Protection Directive (GDPR) de 2016.[4] Conforme o PSD2, as ITPs não podem solicitar dados além daqueles necessários ao serviço de iniciação ou em desacordo com o consentimento explícito de seus usuários.

O PSD2 contém remissões à sua interação com normas de proteção de dados, além de referências às autoridades que supervisam sua aplicação. O PSD2 determina ainda uma proteção de dados desde a concepção e por padrão, o que implica que técnicas organizacionais devem ser implementadas, com objetivo de aumentar a eficiência da proteção, atendendo garantias legais, enquanto a proteção por padrão garante que apenas dados necessários para cada finalidade sejam tratados, impedindo sua disponibilização a outra empresa, pertencente ao grupo econômico ou não.

O BCB atua para garantir a segurança de dados no mercado de pagamento, já a Autoridade Nacional de Proteção de Dados (ANPD) é responsável pela regulação de dados. Cada um, no seu âmbito, deverá priorizar a supervisão das Big Tech.

Os efeitos da digitalização dos serviços financeiros tornam nebulosos os perímetros regulatórios. Neste contexto o Bank for International Settlements (BIS) investiga o impacto das Big Tech nos mercados de pagamentos e financeiro, sugerindo maior coordenação entre as autoridades de regulação.[5]

Já o Comitê de Plataformas Digitais do Centro Stigler da Universidade de Chicago inclui outras propostas para supervisionar as Big Tech, como maior poder de acesso aos bancos de dados internos das plataformas digitais por parte dos reguladores, a adoção de regras contratuais, desencorajando obscuridades e ambiguidades que induzem o consumidor para obtenção de seu consentimento ou a imposição de deveres adicionais quando se tratar de plataformas digitais oligopolistas ou monopolistas.[6]

Desse modo, a supervisão das IPs poderá necessitar revisão para garantir a sua observância pelas Big Tech, considerando a rápida escalabilidade dos seus serviços de pagamentos. Deve ser assegurada a adoção de procedimentos para identificação dos clientes, obtenção de consentimento, auditoria dos mecanismos de privacidade e mitigação de riscos etc.

Poderá também ser necessária a exigência de requisitos macroprudenciais às Big Tech, especialmente observando que as ITPs hoje estão sujeitas a requerimentos de patrimônio mais flexíveis calculado sob o valor das operações realizadas em relação a média das operações do ano anterior, valor que pode ser defasado quando considerado seu rápido crescimento. Desse modo, poderá ser importante a alteração do requisito deste cálculo para grandes empresas, sem necessariamente se valer apenas do critério da volumetria de operações transacionais.

É preciso que o BCB decida se as Big Tech que atuam em pagamentos devem ser avaliadas apenas pelo tamanho de suas ITPs ou de seus grupos e a base de potencial consumidores, incluindo seus demais serviços. Devido à interação entre falhas na operação e possíveis riscos financeiros, com o avanço das parcerias com outras instituições, a adaptação da regulação deverá considerar o porte das Big Techs.

Aproveitando-se de um modelo de participação no mercado de pagamentos originalmente direcionados a startups, as Big Tech têm explorado a grande quantidade de dados que possuem e progressivamente adicionado novos serviços financeiros.[7]

Apesar de o Banco Central ter modernizado o mercado de pagamentos, caberá agora acompanhar sua capacidade de mitigar abusos no tratamento de dados financeiros pelas Big Tech e assegurar que uma política que inicialmente visava à maior competição não produza de forma não intencional maior concentração no mercado.


[1] Restrição suspensa apenas quanto a serviços de processamento e armazenamento de dados e de computação em nuvem se prestados por ITP com relação contratual com outras instituições autorizadas e quando necessários ao cumprimento de regulamentações.

[2] Erik Feyen et al., “A policy triangle for Big Techs in finance”, Vox EU CEPR <https://voxeu.org/article/policy-triangle-big-techs-finance>, acessado em 10 Maio 2022.

[3] Diretriz que criou a ITP.

[4] EDPB, Guidelines 06/2020 on the interplay of the Second Payment Services Directive and the GDPR, adopted on 15 December 2020.

[5] Erik Feyen et al., “Fintech and the digital transformation of financial services: implications for market structure and public policy”, BIS Papers No 117, July 2021.

[6] Luigi Zingales, Guy Rolnik, Filippo Maria Lancieri, Final Report, Stigler Committee on Digital Platforms, 2019, https://promarket.org/2019/09/17/how-to-rein-in-big-tech-stigler-committee-digital-platforms/

[7] Juan Carlos Crisanto, Johannes Ehrentraud, Marcos Fabian, "Big techs in finance: regulatory approaches and policy options", BIS/FSI Brief N. 12, 2021.logo-jota