Responsabilidade sem controle nos arranjos de pagamento

A resolução BCB 522/25 promove uma alteração relevante na arquitetura regulatória dos arranjos de pagamento ao redefinir a forma de alocação de riscos entre seus participantes. Não se trata de um ajuste pontual, mas de uma mudança estrutural na lógica de responsabilização do sistema.

A problemática não que levanto é no critério adotado para a distribuição de responsabilidades. Não tem nada a ver com a legitimidade da regulação, portanto.

Em sistemas complexos, a alocação eficiente de risco depende de um princípio funcional: a responsabilidade deve recair sobre quem detém controle, informação e capacidade de gestão do risco. Esse vetor não é apenas econômico, mas encontra respaldo na própria racionalidade jurídica; na conveniência regulatória, que tem como pedra fundamental a solidez e sustentabilidade do sistema.

Ao consolidar a responsabilidade objetiva das instituições financeiras - súmula 479 -, o STJ vincula o dever de indenizar ao risco da atividade desempenhada, sem afastar a necessidade de demonstração de que o dano se insere no âmbito dessa atividade — isto é, de que há nexo entre a atuação do agente e o resultado lesivo.

Dessa construção emerge um critério normativo consistente: há eficiência regulatória quando há correspondência entre responsabilidade, controle e informação. Todavia, a resolução BCB 522/25 tensiona esse critério de forma progressiva.

Neste interim, passo a destacar alguns dispositivos, os quais jogam uma sobrecarga fiscalizatória, conforme se percebe pela própria titulação da seção V, que imputa "vigilância" aos arranjos de pagamento:

Art. 24. O Banco Central do Brasil exercerá as atividades de vigilância de arranjos integrantes do SPB e de supervisão dos respectivos instituidores (vigilância e supervisão).

§ 1º O Banco Central do Brasil poderá determinar aos instituidores de arranjos integrantes do SPB o fornecimento de informações e de documentos na forma e no prazo por ele estabelecidos, incluindo:

......................................................................................................................................

III - registros de fraudes e golpes;

IV - registros de resolução de disputas;

V - relatórios de auditoria; e

VI - relatórios sobre as atividades de monitoramento e de auditoria de participantes.

§ 2º O Banco Central do Brasil, no exercício das atividades de vigilância e supervisão, poderá requerer informações aos participantes de arranjos sobre o funcionamento desses arranjos e a atuação de seus respectivos instituidores.

§ 3º A vigilância e supervisão, adicionalmente aos aspectos prudenciais e de conduta do instituidor, compreendem as ações do Banco Central do Brasil que tenham por objetivo a melhoria contínua da eficiência e da segurança dos serviços de pagamento prestados no âmbito dos arranjos, de forma a assegurar o normal funcionamento das transações de pagamento de varejo em um ambiente competitivo que promova a capacidade de inovação e a diversidade de modelos de negócios." (NR)

"Art. 25. A vigilância e supervisão poderão ser estendidas a empresas terceirizadas, a critério do Banco Central do Brasil, se essas realizarem etapas importantes relacionadas com o serviço de pagamento prestado no âmbito do arranjo.

............................................................................................................................." (NR)

"Art. 26. A vigilância e supervisão poderão ser exercidas, entre outras formas, por meio de:

......................................................................................................................................

IV - determinação de alteração nas regras relacionadas no art. 19;

V - inspeções;

VI - requerimentos de informações, inclusive do instituidor, e relatórios de adequação; e

VII - aplicação de penalidades, medidas coercitivas e acautelatórias, multas cominatórias e celebração de termos de compromisso e de acordo administrativo em processo de supervisão, nos termos da lei 13.506, de 13 de novembro de2017." (NR)

Vê-se que o dever de vigilância também se dá em relação às empresas terceirizadas, numa super internalização fiscalizatória, que ultrapassa os limites da culpa in vigilando, que vemos com frequência no âmbito da Justiça do Trabalho e que vem tendo uma interpretação mitigada pelo STF. Portanto, além da regulação se apresentar destoante do entendimento do Tribunal da Cidadania, também está desarmonizado com a nossa Corte Constitucional.

A seção I – "Da estrutura de gerenciamento contínuo e integrado de riscos dos arranjos de pagamento" – , de forma preventiva, obrigada um regime de monitoramento permanente de comprovação de controles.

Art. 31. ....................................................................................................................................

Parágrafo único. A estrutura de gerenciamento contínuo e integrado de riscos de que trata o caput deve ser:

I - capaz de gerenciar, de forma centralizada, os riscos entre os participantes, de modo a assegurar os fluxos de pagamentos e a preservar os recursos destinados à liquidação das transações de pagamento necessários ao recebimento pelo usuário final recebedor ou o direito ao recebimento desses recursos para o cumprimento dessa mesma finalidade, para todas as transações de pagamento autorizadas no âmbito do arranjo, incluindo eventuais parcelas vincendas;

............................................................................................................................."(NR)

"Art. 32. A estrutura de gerenciamento contínuo e integrado de riscos prevista para cada arranjo instituído integrante do SPB deve identificar, mensurar, avaliar, monitorar, reportar, controlar e mitigar:

......................................................................................................................................

III - risco operacional;

III-A - risco de lavagem de dinheiro e de financiamento do terrorismo e da proliferação de armas de destruição em massa;

III-B - risco de relacionamento com o usuário pagador;

III-C - risco de fraude;

III-D - risco de golpe;

III-E - riscos sociais, ambientais e climáticos; e

......................................................................................................................................

Parágrafo único. A estrutura de gerenciamento contínuo e integrado de riscos deve também considerar as interações entre os diversos riscos mencionados no caput." (NR)

"Art. 33. A estrutura de gerenciamento contínuo e integrado de riscos deve prever:

I - estratégias e políticas de gerenciamento de riscos, incluindo a definição de limites de exposição e a ordem de execução dos mecanismos de gestão de riscos financeiros, claramente documentadas, formalizadas e devidamente aprovadas pelos órgãos diretivos do instituidor;

II - sistemas, processos, controles, rotinas e procedimentos adequados para assegurar a identificação prévia dos riscos inerentes a cada arranjo;

III - processos efetivos de rastreamento e de comunicação tempestiva de exceções às políticas de gerenciamento de riscos aos órgãos diretivos do instituidor;

IV - sistemas dedicados à execução das rotinas e dos procedimentos para o gerenciamento de riscos em todo o fluxo de pagamentos do arranjo;

V - avaliação, com periodicidade mínima semestral, da adequação dos sistemas, processos, controles, rotinas e procedimentos relacionados à estrutura de gerenciamento de riscos de que trata o inciso II;

VI - rotina de compartilhamento de informações aos participantes do arranjo, com periodicidade mínima trimestral, sobre os riscos a que estão sujeitos os participantes do arranjo e o resultado das ações de mitigação de riscos implementadas, preservando a confidencialidade das informações dos participantes do arranjo;

VII - rotina de compartilhamento de informações com o Banco Central do Brasil, com periodicidade mínima trimestral, sobre os riscos incorridos e o resultado de suas ações de mitigação de riscos implementadas, identificando eventuais participantes envolvidos e sua situação de riscos atualizada;

VIII - comunicação ao Banco Central do Brasil, no prazo máximo de dois dias úteis, a contar da ciência do instituidor, da ocorrência de evento crítico em quaisquer dos riscos gerenciados pelo instituidor; e

IX - comunicação tempestiva aos participantes do arranjo, no caso de ocorrência de eventos críticos que possam impactar a sua participação.

§ 1º Os sistemas, processos, controles, rotinas e procedimentos de que trata o inciso II do caput devem:

......................................................................................................................................

III - ser objetivos, não discriminatórios, compatíveis com as atividades desempenhadas pelo participante e proporcionais ao risco a que cada participante incorre e representa na prestação do serviço de pagamento previsto no arranjo; e

......................................................................................................................................

§ 2º As políticas e as estratégias tratadas neste artigo podem ser definidas de forma integrada para todos os arranjos de pagamento integrantes do SPB de um mesmo instituidor, mas devem ter sua constituição, implementação e monitoramento individualizados por arranjo.

......................................................................................................................................

§ 4º Ao implementar a estrutura de gerenciamento contínuo e integrado dos riscos de que trata o art. 31, o instituidor deve incluir, de forma clara, objetiva e não discriminatória:

I - os critérios e o modelo de avaliação e de classificação de risco (rating) dos participantes em relação ao risco que esses participantes representam para a prestação do serviço de pagamento do arranjo;

II -os critérios de cálculo e de ajustes dos volumes das garantias individuais e de outros mecanismos de gestão de riscos financeiros requisitados em resposta ao risco de cada tipo de participante, considerando a classificação de risco a que se refere o inciso I;

III - os procedimentos a serem adotados em caso de falha ou inadimplemento de participantes, com o objetivo de preservar os fluxos de pagamentos até sua efetiva liquidação, inclusive aqueles relacionados à execução das garantias ou de outros mecanismos de gestão de riscos financeiros, à ordem de sua execução e ao papel do instituidor e dos participantes nesse processo;

IV - a forma de integração das regras e dos procedimentos para tratamento de falhas de obrigações de liquidação entre participantes já definidos no regulamento do sistema de compensação e de liquidação estabelecido no arranjo como mecanismo de gerenciamento de riscos; e

V - o procedimento a ser adotado em caso de falha ou de inadimplemento de participante que prejudique o fluxo de liquidação das transações, inclusive em situação extrema, em conformidade com as responsabilidades atribuídas, em regulamento, aos participantes do arranjo e ao próprio instituidor.

(...)

A leitura sistêmica desses dispositivos revela um movimento coordenado de risco econômico (exacerbado); dever de (super) vigilância; (hiper) responsabilidade regulatória; e (super) ônus probatório, ou seja, atribui (co)responsabilidade sobre toda a cadeia de riscos, ou seja, trata-se de uma externalização regulatória de riscos, com desalinhamento de incentivos.

Faço uma analogia funcional com o crédito consignado do INSS – que é a bola da vez –, pra ilustrar a problemática.

Pois bem, creio que imputar integralmente o risco às bandeiras, aproxima-se, em termos estruturais, de atribuir ao órgão previdenciário a responsabilidade pelos riscos de crédito dessas operações. Em ambos os casos, trata-se de agentes que viabilizam o fluxo operacional, mas não controlam a originação do risco nem os critérios decisórios que o antecedem.

A analogia não é de identidade institucional, mas de função: há participação no fluxo, sem domínio sobre o risco. A consequência não é a eliminação do risco, mas sua redistribuição com aumento de custo sistêmico e esse custo não permanece na instituidora. Ele se propaga por toda a cadeia — emissores, credenciadoras, processadoras e estabelecimentos comerciais — sob a forma de reprecificação, restrição operacional e ajustes contratuais. O resultado é um ambiente de maior custo, maior concentração e menor eficiência marginal.

Os arts. 31 e seguintes intensificam esse efeito ao incentivar práticas de over compliance, nas quais a produção de evidência de controle passa a prevalecer sobre a eficiência operacional. O sistema desloca-se de uma lógica de gestão de risco para uma lógica de mitigação de exposição sancionatória.

Como já dito, a questão não se limita ao plano infra constitucional. A forma como a resolução BCB 522/25 reorganiza a alocação de riscos suscita um problema sobre os limites da intervenção estatal na ordem econômica, ou seja, um debate que alcança a Carta Magna de 1988.

A Constituição admite a regulação, mas condiciona sua validade à observância da proporcionalidade e da preservação da livre iniciativa, nos termos do art. 170. O STF tem reiterado que a atuação estatal no domínio econômico deve respeitar critérios de adequação, necessidade e proporcionalidade e sob esta perspectiva, o modelo instituído apresenta pontos de tensão.

A transferência de riscos para agentes que não o controlam não se mostra claramente adequada, pois não atua sobre a origem das falhas. Também não se revela necessária, diante da existência de alternativas regulatórias menos gravosas, como mecanismos de governança, compartilhamento de risco e incentivos. Por fim, levanta dúvidas quanto à proporcionalidade em sentido estrito, ao impor custos sistêmicos relevantes sem ganho equivalente de eficiência.

A inconsistência torna-se ainda mais evidente quando analisada em perspectiva interna do próprio sistema de pagamentos. No arranjo Pix, instituído e governado pelo Bacen, riscos operacionais são enfrentados por meio de mecanismos de coordenação e governança, sem imputação direta de responsabilidade financeira ao instituidor. Já nos arranjos de cartão, a responsabilidade é amplamente deslocada para agentes privados que não controlam integralmente a cadeia.

Apresento, portanto, uma incoerência ou incongruência regulatória, que pode ser reverberada com a expressão idiomática "dois pesos e duas medidas", a qual revela uma assimetria relevante na alocação regulatória de riscos entre arranjos funcionalmente comparáveis.

Quando responsabilidade, controle e informação deixam de convergir, o sistema não se torna mais seguro. Ao contrário, gera a problemática do desincentivo à liberdade econômica, ao empreendedorismo e, portanto, ao crescimento sustentável.

Intensidade regulatória não é sinônimo de correção de falhas de mercado. Ela precisa convergir com a sua coerência interna e prever externalidade negativas e consequencialismos nefastos ao ecossistema socioeconômico. Enfim, estas singelas ponderações, levam-me a crer que a resolução BCB 522/25 é ineficiente e precisa ser repensada.