Será mesmo que as instituições de pagamento estão preparadas para a chegada do PIX?

Que o PIX será uma revolução positiva nos meios de pagamento ninguém discorda. Que as instituições financeiras tradicionais estão atentas aos riscos atrelados, também ninguém duvida.

Mas o que dizer das centenas de instituições de pagamento que encaram o PIX como uma rara oportunidade para ampliar sua capacidade de oferta e atendimento? Todas estarão preparadas para identificar e mitigar riscos?

Terão políticas consistentes para Prevenção da Lavagem de Dinheiro e Segurança Cibernética?

Como evitar a ressaca do dia seguinte? É sempre bom na vida darmos “a volta na árvore” para termos uma visão mais holística, vislumbrando alguns importantes desafios e riscos que incidirão sobre as instituições de pagamento não-autorizadas, que passarão a fazer parte desse organismo vivo e pulsante, regido pelo Conselho Monetário Nacional e Banco Central do Brasil. E é sobre isso que queremos tratar neste artigo.

Uma relevante parte das Instituições de Pagamento (IP’s) não autorizadas, ainda estão em fase de criação ou fortalecimento de seus processos internos de controles e governança.

Segurança Cibernética

A maioria das IP’s têm em sua origem produtos baseados em Tecnologia da Informação. Está no DNA destas empresas a tecnologia como alavanca essencial do negócio. É uma grande virtude deste ramo, mas pode ser também seu maior risco.

A informalidade que viabilizou o lançamento acelerado de produtos, pode ter deixado para trás controles e aspectos de segurança da informação que levam a riscos operacionais e de reputação (veja recentes casos de invasão de hackers, vazamento de informações e descontinuidade de serviços na nuvem).

O Banco Central, ciente desta situação, coloca como regra para uma IP aderir ao PIX o cumprimento da Circular 3.909/18, que trata da política de segurança cibernética, plano de ação e de resposta a incidentes, contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.

A questão não é atender ou não a totalidade da referida circular: é norma, e tem que ser atendida.

O segredo está na tomada de decisão correta para o momento que vive a IP, sua complexidade, seu modelo de negócio, escolhendo soluções que atendam a norma sem inviabilizar o negócio.

Tais soluções surgem especialmente de profissionais com vivência no assunto, que têm bagagem para olhar para o desafio de forma mais abrangente do que localizada.

Prevenção da lavagem de dinheiro

Houve, recentemente, um grande avanço no regramento da prevenção da lavagem de dinheiro e financiamento do terrorismo, advindo da Circular 3978/20, que revogará a Circular 3461/09.

Esses normativos citados regulam a Lei 9613/98 no Sistema Financeiro Nacional e trazem um grande avanço para o alinhamento do Brasil às práticas internacionais, com vistas inclusive à sua entrada na OCDE (Organização para a Cooperação e Desenvolvimento Econômico).

O desafio, contudo, é que são exigências complexas, envolvendo cadastro, registro e monitoria de transações, informes ao COAF, abordagem baseada em riscos de clientes, funcionários, parceiros, mecanismos de acompanhamento e controle etc.

Não se trata de um checklist “para cumprir tabela”, mas de toda uma governança interna voltada a um assunto muito sério e delicado, que no Brasil, em anos recentes, tem trazido responsabilizações criminais não apenas aos perpetrantes envolvidos, mas também às instituições financeiras e demais autorizadas que acabaram por servir de meio (muitas vezes ingenuamente) para tais crimes. Não faltam exemplos de executivos estatutários punidos com prisão, multas e inabilitações.

Gestão de Riscos

Estas IP’s estarão sujeitas à observância da Circular 3681/13, que traz uma série de exigências relativas à gestão de risco de liquidez e risco operacional.

Muitas delas, pequenas e médias, terão que se desdobrar para esse atendimento, apontando responsáveis (com vinculação estatutária), que passarão a responder legalmente por essa gestão.

Haverá também impactos na base de custos, uma vez que se trata da implementação de processos, controles, sistemas e governança, muitas vezes inexistentes.

Mesmo que alinhado ao perfil de risco e tamanho dos negócios, esse novo ambiente possuirá um peso importante em suas estruturas.

Por Luciano Fantin, especialista em Riscos Corporativos, sócio da Riskfence