Mobile TV: where we are and the way forward Regulação Responsiva e a Política de Segurança Cibernética do... (p. 131-146) 131 GOETTENAUER, C. Regulação Responsiva e a Política de Segurança Cibernética do Sistema Financeiro Nacional. Revista de Direito Setorial e Regulatório, Brasília, v. 5, n. 1, p. 131-146, maio 2019. Regulação Responsiva e a Política de Segurança Cibernética do Sistema Financeiro Nacional Responsive Regulation and the National Financial System Cybersecurity Policy Submetido(submitted): 20/12/2018 Carlos Goettenauer* Parecer(revised): 07/01/2019 Aceito(accepted): 10/01/2019 Resumo Propósito – Analisar em que medida a regulação de segurança cibernética do Sistema Financeiro Nacional, apresentada na Resolução nº 4.658 de 26 de abril de 2018 do Conselho Monetário Nacional, pode ser compreendida como um modelo de regulatório responsiva. Metodologia – Inicialmente foi realizada recuperação da Teoria da Regulação Responsiva a fim de identificar seus elementos essenciais. A partir desse substrato teórico, passou-se a análise de conteúdo da Resolução nº 4.658, com o objetivo de encontrar os pontos de contato entre a regulação e a teoria. Resultados – A regulação analisada tem características que permitem identificar algum grau de responsividade na proposta regulatória. Contudo, há elementos que distanciam a regulação atual do modelo teórico responsivo, especialmente no que diz respeito à liberdade contratual dos atores de mercado e da possibilidade de participação de terceiros no debate regulatório. Implicações práticas – O resultado da análise de conteúdo sugere que há um novo posicionamento do Banco Central do Brasil com relação à estruturação dos negócios financeiros em ambiente digital. Contudo, a reorientação ainda não se apresenta totalmente adaptada ao contexto negocial. Palavras-chave: Sistema Financeiro Nacional, política de segurança cibernética, regulação responsiva, negócios digitais, novas tecnologias. Abstract Purpose – The main goal of the paper is to analyze in what extension the cybersecurity regulation of the Brazilian Financial System, introduced by the Resolution nº 4.658 from April 26 of 2018 by the National Monetary Council, may be understood as an example of a responsive regulation model. Methodology/approach/design – The research started by recovering concepts from Responsive Regulation Theory, in order to better define its essential elements. The next step was to use these concepts to analyses if the Resolution nº 4.658 had enough elements to be understood as an attempt of a responsive regulation proposal. *Bolsista pesquisador da Universidade Corporativa do Banco do Brasil, com pesquisa na área de regulação de atividades financeiras em ambiente digital. Atua como advogado consultivo na área de negócios digitais. E-mail: goette@gmail.com. mailto:goette@gmail.com 132 Regulação Responsiva e a Política de Segurança Cibernética do... (p. 131-146) GOETTENAUER, C. Regulação Responsiva e a Política de Segurança Cibernética do Sistema Financeiro Nacional. Revista de Direito Setorial e Regulatório, Brasília, v. 5, n. 1, p. 131-146, maio 2019. Findings – Although some elements in the regulation under analysis me be understood as responsive, most of it show some considerable distance from the Resolution and the theoretical model proposed by the Responsive Regulation Theory. Practical implications – The study suggests there is a new approach to regulation by Banco Central do Brazil when structuring new digital business frameworks. However, this new reorientation is not completely adapted to the busine ss context. Keywords: Brazilian National Financial System, cybersecurity policy, responsive regulation, digital business, new technologies. Introdução A relação entre tecnologia e atividade financeira intensificou-se sobre maneira após a crise de 2008, quando o abalo da confiança dos clientes nas instituições bancárias deu oportunidade a novos atores passarem a operar na prestação de serviços financeiros (BARBERIS, BUCKLEY e DOUGLAS, 2015). Nessa lógica, as instituições financeiras passaram a adotar novos padrões de prestação de serviço descentralizados, como são exemplos o modelo de open banking1e a introdução de computação em nuvem no processamento e armazenamento de informações. Essa inovação causou um descompasso entre regulação e mercado (EURO BANKING ASSOCIATION, 2016), que acabou levando à resposta normativa por parte de vários reguladores. No contexto nacional, objetivando suplantar essa lacuna normativa, o Conselho Monetário Nacional iniciou movimentos regulatórios e apresentou, após consulta pública, a Resolução nº 4.658 de 26 de abril de 2018, sobre a política de segurança cibernética e os serviços de processamento e armazenamento de dados em nuvem por instituições financeiras. A norma veio permitir a utilização de servidores computacionais externos às instituições financeiras para a realização de serviços essenciais ao Sistema Financeiro Nacional. A alteração, contudo, vem a um preço. A inclusão de novas tecnologias faz com que as instituições bancárias possam ir rapidamente do polo “pequenas demais para importar” para o extremo oposto, “grande demais para falhar” (BARBERIS, BUCKLEY e DOUGLAS, 2017). Reconhecendo a novidade do novo modelo de negócios apresentado, o presente artigo pretende analisar a Resolução nº 4.658 de 26 de abril de 2018, 1O termo open banking pode ser definido “como a abertura dos sistemas informatizados das instituições financeiras por meio da introdução de aplicações de interface (APIs) padronizadas, que possibilitam o acesso e interferência, pela Internet, de terceiros, devidamente autorizados, aos registros financeiros de clientes bancários” (GOETTENAUER, 2018, p. 115). Regulação Responsiva e a Política de Segurança Cibernética do... (p. 131-146) 133 GOETTENAUER, C. Regulação Responsiva e a Política de Segurança Cibernética do Sistema Financeiro Nacional. Revista de Direito Setorial e Regulatório, Brasília, v. 5, n. 1, p. 131-146, maio 2019. introduzida pelo Conselho Monetário Nacional, a partir da teoria de regulação responsiva. A regulação do sistema bancário foi, até então, associada a um modelo de regulação risco, intensificando a ação da autoridade reguladora nos agentes de mercado com maior concentração de capitais (BRUNNERMEIER, CROCKET, et al., 2009). A inclusão de novos agentes no núcleo de prestação de serviços exige novas abordagens regulatórias, que merecem um enfoque analítico. Em verdade a abordagem da regulação do sistema financeiro a partir de um prisma jurídico-teórico, que ora se propõe, não é fartamente explorado. Entre os melhores expoentes, está o trabalho de Julia Black, que discute a influência da autorregulação no ambiente regulatório do sistema financeiro (BLACK, 1997) e o modelo de regulação baseada em risco no contexto das inovações regulatórias (BLACK, 2005). No Brasil a literatura sobre sistema financeiro e teorias jurídica da regulação é, se não ausente, escassa. Pode ser citada como exemplo a tentativa de compreensão das autoridades reguladoras do sistema financeiro como agências administrativas (MOREIRA, 1999). Contudo, entre as fontes pesquisadas, nenhuma apresentou qualquer referência à abordagem da política de segurança cibernética do sistema financeiro, tampouco análise dessa sobre o prisma da teoria da regulação responsiva. Por outro lado, não são poucas as pesquisas realizadas com o objetivo de avaliar a responsividade dos reguladores. No Brasil, pode-se citar abordagens semelhantes do sistema de telecomunicações (ARANHA, 2016) e do sistema da política de prevenção à lavagem de dinheiro (VIEIRA, 2018). No exterior as pesquisas são ainda mais amplas e envolvem, eventualmente, análises conjuntas do cenário regulatório em vários países (NIELSEN, 2006; NIELSEN e PARKER, 2009) Dentro desse escopo, o presente artigo pretende analisar em que medida a regulação da política de segurança cibernética do Sistema Financeiro Nacional pode ser compreendida como um modelo de regulação responsiva. Para tanto, abordaremos na primeira parte do artigo, a partir de uma recapitulação da teoria da regulação responsiva, quais são as características que permitem identificar um modelo regulatório como responsivo. Em posse desse substrato teórico, analisaremos a Resolução nº 4.658, de 26 de abril de 2018, do Conselho Monetário Nacional, buscando nela pontos que permitam, ou não, caracterizar a implantação da política de segurança cibernética como um esquema de regulação responsiva. O texto normativo será escrutinado para verificar as ferramentas regulatórias utilizadas pela autoridade e, se existentes, os pontos de contato entre a regulação apresentada e o substrato teórico da pesquisa. Reconhecemos, desde já, a limitação dessa espécie de abordagem estática e normativa-estrutural quando cotejada com a proposta teórica de que a responsividade de um regulador pode ser avaliada apenas por sua conduta 134 Regulação Responsiva e a Política de Segurança Cibernética do... (p. 131-146) GOETTENAUER, C. Regulação Responsiva e a Política de Segurança Cibernética do Sistema Financeiro Nacional. Revista de Direito Setorial e Regulatório, Brasília, v. 5, n. 1, p. 131-146, maio 2019. perante os regulados (AYRES e BRAITHWAITE, 1992). Contudo, partimos da ideia de que se inexistentes os instrumentos normativos que permitam a atuação responsiva, essa restaria impossível, ainda que pretendesse o regulador atuar em um sentido mais próximo do modelo da Teoria da Regulação Responsiva (NIELSEN, 2006). Teoria da Regulação Responsiva: características fundamentais Antes de empreender qualquer esforço no sentido de analisar a Resolução CMN nº 4.658, de 26 de abril de 2018 a fim de identificar no texto legal elementos que permitam definir a norma como pertencente a um esquema regulatório responsivo, torna-se perenemente definir quais seriam as características essenciais capazes de atribuir a característica de responsividade a um modelo regulatório. Fosse a Teoria da Regulação Responsiva uma monolítica criação condensada em uma obra de natureza “canônica”, a tarefa não apresentaria desafios. Contudo, conforme aponta um dos primeiros teóricos do assunto (BRAITHWAITE, 2011), a Teoria da Regulação Responsiva é o resultado de uma criação coletiva, a partir do acúmulo da contribuição de múltiplos pesquisadores. Indispensável, portanto, retomar uma análise teórica, a fim de recolher suas características essenciais. Pode-se apontar como obra inaugural da Teoria da Regulação Responsiva o livro Responsive Regulalation – Transcending the Deregulation Debate, de Ian Ayres e John Braithwaite (1992), como fazem vários autores (BLACK e BALDWIN, 2008; BRAITHWAITE, 2011; ARANHA, 2016; NIELSEN e PARKER, 2009). A ideia principal da obra de Ayres e Braithwaite foi propor alternativas regulatórias ao empate intelectual que existia no debate regulatório entre a concepção que favorecia a forte regulação estatal da economia e a corrente contrária, cuja proposta era a desregulação (AYRES e BRAITHWAITE, 1992, p. 3). Para tanto os autores propõe um modelo de regulação responsiva, com estratégias multiplas, capazes de se adequar ao contexto, à cultura regulatória e à história (AYRES e BRAITHWAITE, 1992, p. 5). Assim, desde a origem a Teoria da Regulação Responsiva se mostra múltipla em propostas e estratégias, dificultando a tarefa de apreender suas características essenciais. Em verdade, o esforço do próprio Braithwaite (2011) em tentar reduzir a multiplicidade de elementos essenciais da teoria resultou na enunciação de 9 princípios “essenciais”, que, caso abordados individualmente, trazem ainda mais complexidade para a análise e confirmando a dificuldade de reduzir a poucos elementos uma teoria cuja proposta é, na origem, apresentar a multiplicidade de soluções regulatórias. Nesse sentido, confirma-se a dificuldade de empreender um esforço empírico de verificação de utilização da Regulação Responsiva e a Política de Segurança Cibernética do... (p. 131-146) 135 GOETTENAUER, C. Regulação Responsiva e a Política de Segurança Cibernética do Sistema Financeiro Nacional. Revista de Direito Setorial e Regulatório, Brasília, v. 5, n. 1, p. 131-146, maio 2019. Teoria da Regulação Responsiva em razão da instabilidade e sincretismo de suas propostas, algo que já foi apontado desde a recepção inicial da teoria (ROGERS, 1993) e em outras tentativas de abordagem empírica sobre o emprego da teoria por parte dos reguladores (NIELSEN, 2006; NIELSEN e PARKER, 2009). Contudo, propomos que, a partir da análise do texto inaugural da teoria, de Ayers e Braithwaite (1992), acompanhada quando necessário de alguns comentadores, é possível identificar um conjunto de características essenciais mínimas para reconhecer a responsividade em uma estrutura regulatória. Nesse esforço de retorno à essencialidade teórica, tomemos o texto de Braithwaite ao debater em retrospecto a própria: “The basic idea of responsive regulation is that governments should be responsive to the conduct of those they seek to regulate in deciding whether a more or less interventionist response is needed” (BRAITHWAITE, 2006, p. 886)2. Surge aqui a ideia inicial da teoria, que é escapar da simples dicotomia intervenção estatal/desregulação a partir da interação entre regulador e regulado. Dessa tentativa de renovação, com a busca por uma regulação capaz de responder ao contexto regulatório, surgem no texto duas ideias fundamentais à teoria a regulação como busca de uma cooperação entre regulado e regulador e o modelo de pirâmide escalonada de regulação (AYRES e BRAITHWAITE, 1992). A proposta de compreensão da regulação como o resultado cooperativo entre regulado e regulador, que encontra raízes intelectuais na teoria dos jogos, tenta ultrapassar a noção simples de motivação externa como mote regulatório, normalmente associada à concepção de que a ameaça de sanções jurídicas seria a razão para o cumprimento da regulação por parte dos agentes de mercado. Alternativamente, propõe-se que o regulado deve ser motivado a voluntariamente cumprir as normas. Essa ideia decorre da tentativa de propor uma regulação capaz de provocar maior aderência por parte dos regulados. Para tanto, os autores propõem, novamente, a superação de outra superação de dois modelos intelectuais aparentemente inconciliáveis: o Homo Economicus e o Homo sociologicus. “Much of contemporary social science is a stalemate between theories assuming economic rationality on part of actors and theories counterpoising action as variously motivated by a desire to comply with norms, to maintain a sense of identity, to do good or simply to act out a habituated behavioral 2Tradução livre: “A ideia básica da regulação responsiva é que a administração pública deve ser responsiva às condutas daqueles que ela busca regular, decidindo se uma intervenção mais ou menos intervencionista é necessária”. 136 Regulação Responsiva e a Política de Segurança Cibernética do... (p. 131-146) GOETTENAUER, C. Regulação Responsiva e a Política de Segurança Cibernética do Sistema Financeiro Nacional. Revista de Direito Setorial e Regulatório, Brasília, v. 5, n. 1, p. 131-146, maio 2019. sequence. We think robust policy ideas are most likely to be discovered when we pursue areas of convergence between analyses based on Homo economicus and those based on Homo sociologicus” (AYRES e BRAITHWAITE, 1992, p. 51)3 Busca-se, assim, convergir as ideias de incentivo regulatório por punição e por persuasão. A conciliação entre essas duas estratégias regulatórias inicialmente opostas é solucionada pelos autores pela proposição de uma pirâmide escalonada de intervenção. Na base dessa pirâmide estaria um regime de liberdade de ação, sem intervenção, no qual os regulados atuariam cooperando com o regulador. A partir desse ponto haveria escalonamento de intervenções regulatórias, com a utilização crescente de medidas punitivas, até a sanção máxima de extinção do negócio, no ápice da pirâmide (AYRES e BRAITHWAITE, 1992). As duas ideias centrais da Teoria Regulatória Responsiva de motivação do regulado por cooperação e de uma pirâmide escalonada estão, portanto, intrinsecamente ligadas. Como descreve Márcio Iório Aranha: “Na tentativa de ultrapassar o debate entre regulado e desregular, Braithwaite propõe a chamada regulação responsiva, segunda a qual a efetividade da regulação depende da criação de regras que incentivem o regulado a voluntariamente cumprí-las, mediante um ambiente regulatório de constante diálogo entre regulador e regulado. A regulação, para Braithwaite, consiste em um conjunto de atividades distribuídas em uma pirâmide em que, a base, encontram-se atividades persuasivas da conduta do regulado, enquanto, no topo, um conjunto de penas draconianas de condutas indesejadas” (ARANHA, 2014, p. 33). Também relacionando a ideia de uma pirâmide escalonada à persuasão e convergência entre modelos motivacionais punitivos e persuasivos, temos a proposta de Julia Black e Robert Baldwin: The essence of ‘responsive regulation’ is a ‘tit for tat’ approach in which regulators enforce in the first instance by compliance strategies, such as persuasion and education, but apply more punitive deterrent responses (escalating up a pyramid of such responses) when the regulated firm fails to behave as desired” (BLACK e BALDWIN, 2008, p. 62).4 3Tradução livre: “Boa parte da ciência social contemporânea está em um impasse entre teorias que pressupõem a racionalidade econômica por parte dos atores e teorias contrapondo a ação com motivada por uma variedade anseios no sentido de cumprir as normas, manter o senso de identidade, fazer o bem ou simplesmente atuar de forma a manter um comportamento habitual. Nós entendemos q ue ideias políticas robustas são descobertas, mais provavelmente, quando buscamos a convergência entre as análises baseadas no Homo economicus com àquelas baseadas no Homo sociologicus”. 4 Tradução livre: “A essência da ‘regulação responsiva’ é uma abordagem de “isso por aquilo” na qual os reguladores aplicam estratégias de compliance em primeiro lugar, como persuasão e educação, mas aplicam respostas inibitórias mais punitivas Regulação Responsiva e a Política de Segurança Cibernética do... (p. 131-146) 137 GOETTENAUER, C. Regulação Responsiva e a Política de Segurança Cibernética do Sistema Financeiro Nacional. Revista de Direito Setorial e Regulatório, Brasília, v. 5, n. 1, p. 131-146, maio 2019. A ideia de uma pirâmide escalonada de intervenção é tão inegavelmente associada à regulação que mesmo propostas que buscam superar a teoria, como a concepção de Smart Regulation, fazem referência aos múltiplos regimes de intervenção (GUNNINGHAM, GRABOSKY e SINCLAIR, 1998). No entanto, na medida que é incentivada a cooperação pelo desenvolvimento de estratégias regulatórias que aproximem o regulador do regulado, cresce o risco da “captura” regulatória (AYRES e BRAITHWAITE, 1992). A solução para reduzir essa possibilidade, sem abrir mão dos ganhos trazidos pela cooperação, é admitir outros atores no debate regulatório. Dessa forma, desde a ideia inicial, a Teoria da Regulação Responsiva já contém a proposta do envolvimento de grupos de interesse público no processo de regulação, a fim de escapar da oposição dicotômica entre regulado e regulador (AYRES e BRAITHWAITE, 1992). Contudo, após a contribuição de Peter Drahos (2004), que associou à pirâmide escalonada a concepção de governança em rede, Braithwaite propôs uma versão mais sofisticada da pirâmide escalonada de regimes intervencionistas: Actually, even well resourced regulators find that on particular issues at particular places and times there are network partners better positioned than them to call a regulatee to account. So our argument is that regulators who are gifted at the responsive craft assiduously resort to networked escalation. Instead of escalating to increasingly interventionist sanctions that the regulator mobilizes itself, the regulator enrolls increasing numbers of more potent network partners to escalate pressure on the regulated firm (BRAITHWAITE, 2011, p. 508)5. Essa proposta de inclusão de outros atores no debate regulatório, para além da relação entre regulador e regulado, absorve propostas regulatórias posteriores ao texto inaugural da teoria, como a ideia regulação descentralizada, que ganham relevância conforme cresce a importância dos agentes não estatais para a conformação do ambiente regulatório (BLACK, 2001), especialmente em um cenário de digitalização de relações econômicas (MURRAY, 2011). (escalando a pirâmide dessas respostas em direção ao topo) quando as empresas reguladas falham em se comportar como desejado”. 5Tradução livre: “Em verdade, mesmo os mais bem capacitados reguladores entendem que em determinados assuntos e determinados lugares, por vez es, há parceiros em rede melhor posicionados para responsabilizar os regulados. Assim, nosso argumento é que reguladores com o dom da atuação responsiva assiduamente recorrem ao escalonamento em rede. Ao invés de intensificar sanções crescentemente intervencionistas mobilizadas por ele mesmo, o regulador arrola um número crescente de parceiros em rede para aumentar a pressão sub a empresa regulada”. 138 Regulação Responsiva e a Política de Segurança Cibernética do... (p. 131-146) GOETTENAUER, C. Regulação Responsiva e a Política de Segurança Cibernética do Sistema Financeiro Nacional. Revista de Direito Setorial e Regulatório, Brasília, v. 5, n. 1, p. 131-146, maio 2019. A partir da recuperação teórica acima, pode-se então identificar e destacar três elementos essenciais à regulação responsiva: (i) a convergência dos modelos de regulação calçado na motivação por persuasão e por punição, para adoção de estruturas que favoreçam a cooperação entre regulador e regulados; (ii) uma estrutura regulatória piramidal, com um escalonamento de intervenção estatal, constando da base um regime de autorregulação e no topo as punições mais graves; (iii) a presença de terceiros intervenientes no debate regulatório, com crescente participação conforme o regime regulatório tornar- se mais intervencionista. É com base na presença dessas três características que realizaremos a análise da Resolução CMN nº 4.658, de 26 de abril de 2018, a fim de identificar na norma características que permitam avaliar em que medida ela pode ser identificada como uma regulação responsiva. A política de segurança cibernética como regulação responsiva O contexto de mudança A tecnologia e o sistema financeiro moderno estão desde a origem, inter-relacionados (BARBERIS, BUCKLEY e DOUGLAS, 2015). É possível perceber uma relação dialética entre tecnologia e a atividade financeira, de forma que a evolução desse é condicionada pelo desenvolvimento tecnológico, cuja força motriz, por sua vez, é a própria alocação de capitais gerados no sistema financeiro (PARANA, 2016). Contudo, a aceleração no ritmo de introdução de novas tecnologias nos últimos dez anos alterou a estrutura dos modelos de negócio do sistema financeiro, exigindo uma subsequente mudança de postura dos reguladores (BARBERIS, BUCKLEY e DOUGLAS, 2017). O objetivo da regulação do setor financeiro se fundamenta, tradicionalmente, em princípios de necessidade de manutenção da estabilidade sistêmica e da proteção dos consumidores (GOODHART, HARTMANN, et al., 1998), buscando, ainda, a alocação eficiente de recursos financeiros dentro do sistema econômico (CAPRIO JR., LEVINE e BARTH, 2005). Nessa busca, a regulação do sistema financeiro foi normalmente associada pela teoria regulatória ao controle do risco assumido pelos agentes de mercado (BLACK, 2005; STIGLITZ, 2001). No contexto brasileiro, em consonância com o previsto teoricamente no ambiente internacional, a regulação do Sistema Financeiro Nacional tem por foco o controle do risco. A Resolução nº 4.557, de 23 de fevereiro de 2017 do Conselho Monetário Nacional apresenta os contornos o gerenciamento de risco das instituições financeiras. O artigo 6º da norma faz previsão da existência de estruturas institucionais para identificação, mensuração, Regulação Responsiva e a Política de Segurança Cibernética do... (p. 131-146) 139 GOETTENAUER, C. Regulação Responsiva e a Política de Segurança Cibernética do Sistema Financeiro Nacional. Revista de Direito Setorial e Regulatório, Brasília, v. 5, n. 1, p. 131-146, maio 2019. avaliação, monitoramento, reporte, controle e mitigação do risco operacional, entre outros. As eventuais falhas dos sistemas de tecnologia da informação estariam, nessa estrutura, englobadas dentro do risco operacional, como estabelecem os artigos 32 e 33 da citada resolução. A inclusão de novas tecnologias na atividade financeira gerou, contudo, a necessidade crescente de interação entre os sistemas tecnológicos das instituições financeiras e de outros parceiros comerciais (GOETTENAUER, 2018). Ademais, surgiu, com o avanço das tecnologias de comunicação, a possibilidade de deslocamento do processamento de dados dos servidores das próprias instituições financeiras para empresas de tecnologia que prestam o serviço de computação em nuvem. Assim, com a alteração do cenário negocial, mostrou-se necessária a regulação específica do novo ambiente tecnológico, no qual a interação entre as instituições financeiras e os prestadores de serviços de tecnologia da informação é ainda mais intensa. Nesse contexto, o Banco Central do Brasil publicou o Edital de Consulta Pública nº 57, de 19 de setembro de 2017, considerando “a crescente utilização de meios eletrônicos e de inovações tecnológicas no setor financeiro, o que requer que as instituições tenham controles e sistemas de segurança cibernética cada vez mais robustos” (BANCO CENTRAL DO BRASIL, 2017). Em seguida, a consulta pública resultou no texto da Resolução nº 4.658 de 26 de abril de 2018, que cuida de forma conjunta da política de segurança cibernética e os serviços de processamento e armazenamento de dados em nuvem por instituições financeiras. O tratamento da contração dos serviços de processamento e armazenamento de dados em nuvem junto à introdução da política de segurança cibernética já pode sinalizar uma alteração da concepção do foco do Regulador do Sistema Financeiro Nacional no tratamento das relações de ambiente digital. Diferentemente da norma anterior, não mais há concentração no “risco”, mas no estabelecimento de ambiente regulatório com ênfase em padrões de segurança. Passaremos a abordar, dentro dos critérios apontados no item anterior, em que medida essa nova abordagem pode ser entendida como uma aproximação de um modelo de regulação responsiva. Regulação como diálogo cooperativo entre regulador e regulado Conforme apresentado nos tópicos supra, um dos objetivos da regulação responsiva é escapar da dicotomia de abordagem da regulação a partir dos modelos conceituais opostos de homo economicus ou homo sociologicus (AYRES e BRAITHWAITE, 1992, p. 51). A superação dessa oposição deve partir de uma convergência entre os dois conceitos, a partir da apresentação da regulação como um processo de cooperação entre regulador e 140 Regulação Responsiva e a Política de Segurança Cibernética do... (p. 131-146) GOETTENAUER, C. Regulação Responsiva e a Política de Segurança Cibernética do Sistema Financeiro Nacional. Revista de Direito Setorial e Regulatório, Brasília, v. 5, n. 1, p. 131-146, maio 2019. regulado, no qual o diálogo entre as duas partes contribui efetivamente para a formulação de normas de cumprimento mais efetivo (BRAITHWAITE, 2011). A própria abertura de uma consulta pública prévia antes da apresentação das normas relativas à regulação das contratações de serviços de tecnologia por instituições financeiras já demonstra, de certa forma, um indicativo positivo da abertura do regulador ao diálogo com os regulados e com os demais atores sociais. Iniciativas de consulta pública, à luz da Teoria da Regulação Responsiva, encontram harmonia com a ideia de que as normas, para alcançarem legitimidade e efetividade, devem refletir as práticas sociais dos agentes econômicos (FREEDMAN, 2012). Há, contudo, a necessidade de se reconhecer o gargalo que pode existir entre a contribuição apresentada entre os atores de mercado e a norma efetivamente aprovada, cuja legitimidade institucional depende da concordância da autoridade reguladora. A ideia de responsividade não pode significar a captura dos poderes republicanos por grupos de econômicos de interesse (AYRES e BRAITHWAITE, 1992). Na abordagem do texto normativo aprovado, merece considerável destaque a exigência, apresentada no artigo 2º da citada resolução, de constituição por parte das instituições financeiras de uma política de segurança cibernética, com elementos mínimos a serem cumpridos, conforme o porte, perfil de risco e modelo de negócio de cada empresa. Em acréscimo, a resolução ainda prevê, no artigo 6º, a formalização de um plano de ação e de resposta a incidentes, que visa a implementação da política de segurança. Essa iniciativa pode ser compreendida como modelo teórico de autorregulação imposta (enforced self-regulation), na qual o regulador apresenta diretrizes mínimas da política a ser cumprida e delega aos próprios regulados o esforço de apresentação e execução das normas a serem cumpridas. Nesse sentido, explicam Ayres e Braithwaite: “Enforced self-regulation envisions that in particular contexts it will be more efficacious for the regulated firms to take on some or all the legislative, executive and judicial regulatory functions” (AYRES e BRAITHWAITE, 1992, p. 103)6 Nesse contexto, ainda cabe às instituições financeiras, obedecendo os requisitos normativamente estabelecidos pelo regulador, além de elaborar e executar a política de segurança, avaliá-la periodicamente, por meio da elaboração de um relatório a ser aprovado pelo conselho de administração da empresa, como estabelece o artigo 7º. 6 Tradução livre: “Autorregulação imposta vislumbra que em contextos específicos será mais eficaz que as empresas reguladas assumam algumas ou todas as funções regulatórias executivas, legislativas e judiciais”. Regulação Responsiva e a Política de Segurança Cibernética do... (p. 131-146) 141 GOETTENAUER, C. Regulação Responsiva e a Política de Segurança Cibernética do Sistema Financeiro Nacional. Revista de Direito Setorial e Regulatório, Brasília, v. 5, n. 1, p. 131-146, maio 2019. A previsão de uma modelo de autorregulação imposta não significa, contudo, total adesão à responsividade regulatória. Nas estratégias de regulação previstas na Teoria da Regulação Responsiva, a imposição de autorregulação com limites mínimos é antecedida por um regime de total liberdade, no qual os atores de mercado propõem as normas sem a interferência do regulador. Esse momento regulatório libertário, contudo, não foi previsto no modelo brasileiro, que inicia sua estrutura já com intervenção estatal, ainda que mínima. Pirâmide regulatória escalonada O segundo ponto destacado como essencial à regulação responsiva é a presença de uma pirâmide regulatória escalonada de regimes de intervenção. A ideia central é estabelecer a regulação não como um processo progressivo de punições, das mais brandas às mais severas, mas como um esquema piramidal de regimes jurídicos progressivamente intervencionistas. Assim, na base da pirâmide os agentes de mercado aturariam em um regime de laissez faire e, na medida em que fosse quebrado o pacto de confiança entre regulador e regulado, ocorreria uma mudança de nível de intervenção, até as medidas mais drásticas punitivas, colocadas no topo da pirâmide (AYRES e BRAITHWAITE, 1992). No ambiente regulatório das relações cibernéticas do sistema financeiro, a total liberdade equivaleria à livre contratação por parte das instituições financeiras de prestadores de serviço de processamento e armazenamento de dados, conforme a melhor oportunidade negocial. Não foi essa, contudo, a opção do regulador do Sistema Financeiro Nacional, cuja atuação, como ficou claro acima, exigiu a formalização de uma Política de Segurança Cibernética por parte das instituições financeiras, com a previsão de controles específicos de segurança da informação e de vulnerabilidade a ataques digitais. Nesse cenário regulatório, a Resolução nº 4.658/2018 determina, no artigo 11, que a contratação de serviços de armazenamento e processamento de dados deve estar aderente às políticas de segurança cibernética adotadas pelas instituições financeiras. Ademais, o normativo ainda impõe procedimentos específicos para a contratação e exige, no caso de contratação de serviços relevante, a comunicação prévia ao Banco Central do Brasil. Ainda, existem requisitos específicos para a contratação de prestadores de serviço situados no exterior, hipótese na qual o artigo 16 prevê hipótese limitantes da autonomia dos agentes de mercado. Há, destarte, um ambiente de autorregulação imposta, cumulada com a obediência de normas específicas de natureza compulsória. A base da pirâmide 142 Regulação Responsiva e a Política de Segurança Cibernética do... (p. 131-146) GOETTENAUER, C. Regulação Responsiva e a Política de Segurança Cibernética do Sistema Financeiro Nacional. Revista de Direito Setorial e Regulatório, Brasília, v. 5, n. 1, p. 131-146, maio 2019. regulatória é constituída de um regime híbrido, no qual a autorregulação convive com a intervenção estatal na liberdade contratual. Em um segundo nível de intervenção, a Resolução nº 4.658/2018, no artigo 24, deixa em aberto a possibilidade de o Banco Central do Brasil vir a exigir requisitos técnicos mínimos e certificações dos prestadores de serviço. É de se supor, embora não reste claro, que essa espécie de interferência direta nos contratos só será utilizada no caso de desconformidade dos padrões mínimos de segurança cibernética por parte dos agentes de mercado. O elemento de responsividade da regulação, nesse caso, fica a depender de como será aplicada a norma, mais do que em sua previsão estática, algo que permeia, aliás, toda a ideia de regulação responsiva (BRAITHWAITE, 2011, p. 488). Não se pode ignorar, ainda, que a Resolução n°4.658/2018 faz parte de um ambiente regulatório mais amplo, no qual constam com medidas punitivas graves autorizadas, pela Lei 13.506 de 13 de novembro de 2017. A não obediência por parte dos atores de mercado com relação aos controles internos impostos à segurança cibernética pode levar a um escalonamento de punições, mudando o regime intervencionista da autorregulação imposta às punições que vão desde a admoestação pública até a cassação de autorização para funcionamento. A presença de punições graves vem confirmar o modelo teórico responsivo descrito como “The Benign Big Gun” (AYRES e BRAITHWAITE, 1992, p. 40), segundo o qual o regulador pode trabalhar em regimes menos intervencionistas e mais cooperativos desde que tenha a sua disposições punições graves, como a inabilitação para o exercício da atividade econômica: “The pyramid of enforcement idea suggests that the greater the heights of punitiveness to which an agency can escalate, the greater its capacity to push regulation down to the cooperative base of the pyramid” (AYRES e BRAITHWAITE, 1992, p. 40).7 Conclui-se da análise que existe a presença de responsividade na regulação da contratação de atividades de processamento e armazenamento de dados pelas instituições financeiras. Contudo, a pirâmide escalonada de intervenção é notavelmente baixa, estruturada com um nível de autorregulação imposta, um segundo nível de intervenção direta na regulação e a evolução de punições por descumprimento da política de segurança cibernética. Falta, para adesão ao modelo teórico, um nível mais básico de liberdade de contratação, sem interferência do regulador na autonomia das partes. No entanto, a baixa 7Tradução livre: “A ideia de pirâmide de efetividade sugere que quanto maior o grau de punitividade uma agência consegue alcançar, maior é sua capacidad e de empurrar a regulação para a base cooperativa da pirâmide”. Regulação Responsiva e a Política de Segurança Cibernética do... (p. 131-146) 143 GOETTENAUER, C. Regulação Responsiva e a Política de Segurança Cibernética do Sistema Financeiro Nacional. Revista de Direito Setorial e Regulatório, Brasília, v. 5, n. 1, p. 131-146, maio 2019. pluralidade de regimes de intervenção é também encontrada em estruturas regulatórias financeiras externas, como a observada na Australian Securities and Investment Comission (ASIC), que separa os atores de mercado em três níveis de cooperação (IVEC e BRAITHWAITE, 2015). Desse modo, não se pode excluir o elemento de responsividade da regulação analisada em face das limitações verificadas, algo que iria, aliás, contra o próprio espírito cuja ideia circunda em torno de propor estruturas regulatórias adequadas contextualmente ao mercado regulado. A participação pública na regulação Observamos anteriormente que o modelo de regulação responsiva mais sofisticado reconhece a importância a governança em rede para a efetividade das propostas regulatórias. Assim, uma estrutura regulatória avançada deve prever a intervenção de um número crescente de atores conforme avançar a necessidade de intervenção no regime regulatório, de forma a favorecer a cooperação entre entidades da sociedade civil, empresas e reguladores (BRAITHWAITE, 2008). Nesse aspecto, a Resolução n° 4.658/2018 traz poucas aberturas significativas. É verdade que a resolução analisada foi antecedida de consulta pública, na qual foram contabilizadas 84 contribuições. Isso, contudo, não garante per si a pluralidade na regulação, tendo em vista o já indicado gargalo institucional de legitimidade entre as propostas apresentadas pelo público e o texto aprovado. Complementarmente, o texto da resolução, no artigo 4º, prevê a divulgação da política de segurança cibernética, em linguagem clara e acessível ao público. Se a medida pode revelar preocupação do regulador para a manutenção de um eventual diálogo regulatório com a sociedade, observa-se que ela não é acompanhada de uma previsão de qualquer processo pelo qual esse diálogo poderia ser estabelecido. Há, ainda, a previsão, no artigo 22, para o compartilhamento de informações sobre incidentes relevantes de segurança cibernética entre as instituições financeiras, evidenciando a abordagem do regulador da indústria conjunto de atores que dividem interesses comuns e capazes de se auto-organizar, algo já proposto originalmente na Teoria Regulatória Responsiva (AYRES e BRAITHWAITE, 1992). As previsões de cooperação entre agentes de mercado ou entre esses e a sociedade estão limitadas a esses pontos. Inexistem medidas de superação da dicotomia entre regulador e regulado. Em uma realidade em que novos modelos de negócio do setor bancário buscam a crescente intervenção entre múltiplos agentes no ambiente digital, no qual os padrões de arquitetura tecnológica desempenham um papel crucial para a efetividade das normas (MURRAY, 2007), a falta de uma previsão de governança em rede pode 144 Regulação Responsiva e a Política de Segurança Cibernética do... (p. 131-146) GOETTENAUER, C. Regulação Responsiva e a Política de Segurança Cibernética do Sistema Financeiro Nacional. Revista de Direito Setorial e Regulatório, Brasília, v. 5, n. 1, p. 131-146, maio 2019. comprometer a adesão dos regulados aos regimes regulatórios mais próximos da base da pirâmide. Conclusão No presente trabalho nos dispusemos a avaliar os pontos de contato entre a Teoria da Regulação Responsiva a regulação da contratação de serviços de processamento e armazenamento de dados em nuvem por instituições financeiras no Brasil. Para tanto, a partir da recapitulação da teoria, identificamos três características essenciais a uma regulação de uma regulação responsiva. Em seguida, abordamos a Resolução nº 4.658 de 26 de abril de 2018, do Conselho Monetário Nacional, a fim de verificar em que medida esses três elementos estavam presentes na regulação. A análise revelou que a regulação em questão possui vários pontos de contato com o modelo teórico da regulação responsiva, tais como a presença de mecanismos de cooperação regulatória dialogada e uma pirâmide escalonada, com a previsão de um regime de autorregulação imposta em sua base. Houve, contudo, vários afastamentos do modelo teórico da regulação responsiva, especialmente na ausência de um regime sem interferência regulatória do Estado. Esse resultado não causa surpresa e vem confirmar, por exemplo, análise sobre o ambiente regulatório brasileiro, que conclui também pela ausência de regimes sem interferência estatal (ARANHA, 2016) e o subsequente afastamento entre a regulação na prática e o modelo teórico responsivo. No mesmo sentido, análise regulatórias empíricas mais amplas já demonstraram a pouca presença de elementos de responsividade nas estruturas regulatórias e nas condutas dos reguladores (NIELSEN e PARKER, 2009). Não se pode, contudo, receber essas conclusões como anticlimáticas. Dado que a Teoria da Regulação Responsiva prevê múltiplas estratégias regulatórias a serem apresentadas adequadamente a contextos específicos, não se pode exigir a adesão de qualquer regulação a um modelo ideal previsto em teoria. Ao contrário, o mais apropriado talvez seja buscar identificar na regulação elementos de responsividade que reflitam as previsões teóricas e, eventualmente, as omissões, quando são evidentes as falhas da regulação ao não implementar estratégias já reconhecidas pela teoria. É nessa última hipótese que a ausência de previsão de mecanismos de diálogo regulatório mais amplo, fora do eixo regulador-regulados, chama atenção na análise da Resolução nº 4.658/2018. A governança de atividades desempenhadas em ambiente digital é um cenário complexo com a intervenção de múltiplos agentes, de natureza pública ou privada. Não tomar em conta essa complexidade pode sugerir uma desconexão da proposta regulatória com o Regulação Responsiva e a Política de Segurança Cibernética do... (p. 131-146) 145 GOETTENAUER, C. Regulação Responsiva e a Política de Segurança Cibernética do Sistema Financeiro Nacional. Revista de Direito Setorial e Regulatório, Brasília, v. 5, n. 1, p. 131-146, maio 2019. cenário negocial abordado, com possível impacto na efetividade e aderência da regulação. Referências Bibliográficas ARANHA, M. I. Manual de Direito Regulatório. Coleford: Laccademia Publishing, 2014. ARANHA, M. I. Telecommunications Regulatory Design in Brazil: Networking around State Capacity Deficits. Economia Pubblica, v. 25, n. 2, p. 83-105, 2016. AYRES, I.; BRAITHWAITE, J. Responsive Regulation: transcending the deregulation debate. Oxford: Oxford University Press, 1992. 205 p. BANCO CENTRAL DO BRASIL. Edital de Consulta Pública nº 57/2017, 2017. Disponivel em: . BARBERIS, J. N.; BUCKLEY, R. P.; DOUGLAS, A. W. The Evolution of Fintech: A New Post-Crisis Paradigm? University of Hong Kong Faculty of Law Research Paper No. 2015/047, 20 out. 2015. Disponivel em: . Acesso em: 10 nov. 2018. BARBERIS, J. N.; BUCKLEY, R. P.; DOUGLAS, A. W. FinTech, RegTech, and the Reconceptualization of Financial Regulation. Northwestern Journal of International Law & Business, v. 37, n. 3, 2017. BLACK, J. Rules and Regulators. Oxford: Clarendon Press, 1997. BLACK, J. The development of risk-based regulation in financial services: just 'modelling thought? In: BLACK, J.; LODGE, M.; THATCHER, M. Regulatory Innovation: A Comparative Analysis. Cheltenham: Edward Elgar Press, 2005. BLACK, J.; BALDWIN, R. Really Responsive Regulation. The Modern Law Review, v. 71, p. 59-94, 2008. BRAITHWAITE, J. Responsive Regulation and developing economies. World Development, v. 34, n. 5, p. 884-898, 2006. BRAITHWAITE, J. Regulatory Capitalism - How it Works, Ideas for Making it Work Better. Cheltenham: Edward Elgar Publishing Limited, 2008. BRAITHWAITE, J. The Essence of Responsive Regulation. U.B.C. Law Review, v. 44, 2011. 146 Regulação Responsiva e a Política de Segurança Cibernética do... (p. 131-146) GOETTENAUER, C. Regulação Responsiva e a Política de Segurança Cibernética do Sistema Financeiro Nacional. Revista de Direito Setorial e Regulatório, Brasília, v. 5, n. 1, p. 131-146, maio 2019. BRUNNERMEIER, M. et al. The Fundamental Principles of Financial Regulation. Geneva: International Center for Monetary and Banking Studies (ICMB), 2009. CAPRIO JR., G.; LEVINE, R.; BARTH, J. Rethinking Bank Regulation: Till Angels Govern. Cambridge: Cambridge University Press, 2005. DRAHOS, P. Intellectual Property and Pharmaceutical Markets: A Nodal Governance Approach. Temple Law Review, v. 77, 2004. EURO BANKING ASSOCIATION. Understanding the business relevance of Open APIs and Open Banking for banks, 2016. Disponivel em: . Acesso em: 2018 nov. 10. FREEDMAN, J. Responsive Regualtion, Risk, and Rules: Applying the Theory to Tax Practice. OBC Law Review, v. 44, n. 3, p. 627, 2012. GOETTENAUER, C. Open banking e a teorias de regulação da Internet. Revista de Direito Bancário e Mercado de Capitais, v. 82, 2018. GOODHART, C. et al. Financia Regulation - Why, how and where now? Nova York: Routledge, 1998. GUNNINGHAM, N.; GRABOSKY, P.; SINCLAIR, D. Smart Regulation: Designing Environmental Policy. Oxford: Oxford University Press, 1998. IVEC, M.; BRAITHWAITE, V. Application of Responsive Regulatory Theory in Australia and Overseas: Update. RegNet Reserach Paper No. 2015/72, 2015. MOREIRA, E. B. Agências Adminsitrativas, Poder Regulamentar e o Sistema Financeiro Nacional. In: Revista de Direito Administrativo, nº 218, out/dez, 1999., n. 218, out/dez 1999. MURRAY, A. The Regulation of Cyberspace: Control in the Online Enrironment. Abingdon: Routledge-Cavendish, 2007. NIELSEN, V. L.; PARKER, C. Testing responsive regulation in regulatory enforcement. Regulation & Governance, v. 3, n. 4, p. 376-399, 2009. PARANA, E. A Finança Digitalizada: capitalismo financeiro e a revolução informacional. Londrina: Editora Insular, 2016. STIGLITZ, J. E. Principles of Financial Regulation: A Dynamic Porffolio Approach. The World Bank Research Observer, v. 16, n. 1, p. 1-18, May 2001.