Tokia
lgpd

Bacen Circular 3.978/2020 + IA generativa: checklist técnico pra fintechs em 2026

O que muda quando seu chatbot/score de crédito virou LLM? Como mapear Circular 3.978 (gerenciamento de risco operacional Bacen) pra arquitetura com OpenAI/Anthropic. Checklist 22 itens pra auditoria.

Aviso: este post é informativo, não substitui consultoria jurídica especializada. Sua fintech tem DPO + advogado regulatório próprio — leve esse texto pra revisão deles antes de implementar.

A Circular Bacen 3.978/2020 estabelece gerenciamento de risco operacional pras instituições reguladas. Foi escrita em 2020 (antes do boom de LLMs) mas se aplica integralmente à IA generativa hoje. Esse post mostra como mapear cada exigência da Circular pra arquitetura técnica real quando você usa OpenAI/Anthropic/etc.

Quem precisa se preocupar?

Sob Circular 3.978:

  • Bancos múltiplos, comerciais, de investimento
  • Cooperativas de crédito
  • Instituições de pagamento (PSPs, sub-PSPs PIX)
  • SCDs (Sociedades de Crédito Direto) ← onde a maioria das fintechs BR está
  • SEPs (Sociedades de Empréstimo entre Pessoas)
  • Administradoras de consórcio

Se sua fintech tem CNPJ regulado, sim, aplica. Se você é wallet/cripto não-regulado ainda (até Marco Legal Cripto entrar em vigor), tecnicamente não — mas Bacen sinaliza que vai estender.

O mapeamento Circular → arquitetura IA

A Circular tem ~40 artigos. Recortei os 6 que tem aplicação técnica direta em sistemas com LLM.

Art. 4º — Identificação de eventos de risco operacional

"A instituição deve identificar e mapear eventos de risco operacional internos e externos."

Pra IA generativa, isso significa identificar:

  • ❌ Modelo pode alucinar (recomendar produto/decisão errada)
  • ❌ Modelo pode sofrer prompt injection (cliente manipula bot)
  • ❌ Provider externo pode cair (OpenAI down → suporte indisponível)
  • ❌ Provider externo pode mudar política (deprecate modelo usado)
  • ❌ Data leak no upstream (provider treina em dados seus)
  • ❌ Drift de qualidade (modelo piora silenciosamente em update)

Documente isso na sua matriz de risco operacional. Cada item precisa de severidade, probabilidade e plano de mitigação.

Art. 8º — Plano de continuidade de negócios

"Manter plano que estabeleça medidas para prevenir, mitigar e dar resposta aos efeitos de eventos que afetem a continuidade."

Pra IA, três cenários obrigatórios:

  1. Provider único cai (OpenAI down 4h): você tem fallback automático pra outro modelo? Tokia faz isso nativo via fallback. Sem gateway, você precisa codar try/catch com retry pra Anthropic/Gemini.

  2. Provider muda preço/política (50% aumento overnight): contrato permite migração imediata? Tokia: troca de modelo é mudança de string no header. Direto: refatorar SDK, redeploy, e-commerce de aprovar.

  3. Modelo deprecado (gpt-4-32k removido): você tem inventário de quais features usam qual modelo? Plano de migração testado?

Art. 11 — Aprovação por instância colegiada

"Modelos relevantes para gerenciamento de risco devem ser aprovados pela alta administração."

Se LLM toma decisão financeira (aprovar crédito, classificar fraude, precificar risco), isso vira "modelo relevante". Exige:

  • Documento técnico explicando: qual modelo, qual provider, qual prompt, qual fallback
  • Ata do comitê de risco aprovando
  • Revisão mínima anual

Pra LLMs acessórios (chatbot suporte, transcrição de áudio) Bacen historicamente não considera "relevante" — mas seu DPO/jurídico decide.

Art. 12 — Backtest e validação

"Modelos devem ser submetidos a testes periódicos de validação."

Pra IA, traduza como:

  • Eval set fixo com 200-1000 exemplos rotulados manualmente
  • Métricas trackadas em produção (não só dev): accuracy, F1, latência
  • Alerta automático quando métrica cai >5pp
  • Re-eval mensal mínimo, pós-mudança de modelo obrigatório

Tokia expõe metadata pra você fazer isso fácil — cada chamada gera usage_event com modelo, tokens, latência. Combine com SUA tabela de labels humanas.

Art. 23 — Terceirização de serviços relevantes

"Contratação de serviços relevantes de terceiros depende de avaliação formal."

LLM upstream é serviço terceirizado. Você precisa:

  • Due diligence técnica do provider (security audit, SOC2, ISO 27001)
  • Contrato com cláusula de auditoria — você pode pedir inspeção
  • SLA documentado (uptime, latência, suporte)
  • Plano de saída — como migrar se provider sair do ar definitivo
  • DPA (Data Processing Agreement) específico

OpenAI, Anthropic, Google têm tudo isso. Mas você precisa do contrato com cada um individualmente — não é automático ao usar API. Tokia consolida: você tem 1 contrato com IT Booster, IT Booster tem contrato com cada provider upstream.

Art. 35 — Reporte ao Bacen

"Eventos de risco com perda relevante devem ser reportados ao Bacen."

O que conta como "perda relevante" em contexto IA?

  • Bot dando informação errada que causou decisão financeira do cliente
  • Vazamento de dados pessoais via prompt injection
  • Indisponibilidade de feature crítica >4h
  • Custo extraordinário (provider 10x markup overnight)

Limite quantitativo: Resolução BCB define R$ 50k+ pra eventos individuais ou R$ 500k+ acumulado anual. Sua fintech tem processo de detecção + reporte?

Checklist técnico — 22 itens

Use isso na próxima reunião de risco operacional. Cada item: ✅ ❌ N/A.

Inventário e arquitetura

  • [ ] 1. Lista completa de features que usam LLM, com modelo + provider
  • [ ] 2. Diagrama de fluxo dado pessoal: aplicação → LLM → resposta
  • [ ] 3. Mapeamento de qual feature é "modelo relevante" (Art. 11)
  • [ ] 4. Plano de continuidade documentado pra OpenAI/Anthropic indisponível
  • [ ] 5. Gateway de IA com fallback automático (ex: Tokia, ou implementação própria)

Compliance LGPD + Bacen

  • [ ] 6. DPA assinado com cada provider upstream (ou via gateway)
  • [ ] 7. Anonimização de PII antes de enviar pra LLM (CPF, conta, valor)
  • [ ] 8. Base legal documentada (consentimento ou execução de contrato)
  • [ ] 9. Política de retenção de logs do LLM (< 90 dias recomendado)
  • [ ] 10. Plano de resposta a vazamento de dado via LLM

Validação e backtest

  • [ ] 11. Eval set com 200+ exemplos rotulados manualmente
  • [ ] 12. Métricas trackadas em produção (não só dev)
  • [ ] 13. Alerta automático quando accuracy/F1 cai > 5pp
  • [ ] 14. Re-eval mensal documentada
  • [ ] 15. Comparação contra modelo anterior toda vez que troca provider

Resiliência operacional

  • [ ] 16. Timeout configurado (recomendo 30s pra chat, 90s pra completar)
  • [ ] 17. Circuit breaker se latência p95 > limite
  • [ ] 18. Rate limit local pra evitar abuso (DDoS de prompts)
  • [ ] 19. Budget cap por feature (anti-vazamento financeiro)
  • [ ] 20. Logs estruturados com correlation_id pra auditoria

Governança e reporting

  • [ ] 21. Comitê de risco aprovou modelos relevantes (ata em arquivo)
  • [ ] 22. Processo definido pra reportar evento de risco ao Bacen

Casos reais de auditoria Bacen

3 perguntas que auditores fazem em 2025-2026 quando veem LLM:

Q1. "Como vocês garantem que o modelo não viesa decisão de crédito por gênero/raça?" → Resposta esperada: você tem eval set balanceado com proxies + monitoramento contínuo de fairness metrics (demographic parity, equal opportunity).

Q2. "Se a OpenAI cair amanhã definitivo, em quanto tempo vocês voltam?" → Resposta esperada: 1-4h. Se você não tem gateway com fallback, vai demorar dias. Vire prioridade.

Q3. "Qual prompt vocês mandam pro modelo? Onde está documentado?" → Resposta esperada: prompts versionados em Git, com changelog. Não pode estar hardcoded em código sem rastreamento.

Como Tokia ajuda em cada artigo

| Circular | Como Tokia resolve | |---|---| | Art. 4 (eventos) | Tokia loga cada chamada — você tem trilha pra investigar incidentes | | Art. 8 (continuidade) | Fallback automático configurado entre providers (próximo no roadmap) | | Art. 11 (aprovação) | Catálogo Tokia mostra modelo + markup + janela — documentação pronta | | Art. 12 (validação) | Endpoint /usage retorna metadata pra rodar backtest seu lado | | Art. 23 (terceirização) | 1 DPA com IT Booster cobre todos providers upstream | | Art. 35 (reporte) | Audit log Tokia traz timestamp + IP + UA pra forensics |

Próximo passo

Se sua fintech está pré-auditoria Bacen e usa LLM hoje:

  1. Imprime esse checklist, leva pra reunião com DPO + compliance officer
  2. Marca 5 itens críticos (gateway + DPA + anonimização + eval + alerta)
  3. Cria conta Tokia no /dashboard pra validar a abordagem de gateway (vs. implementação própria que vai custar 3 meses de dev)
  4. Pra discussão arquitetural específica: contato@usetokia.com

Links

#bacen#circular-3978#fintech#compliance#risco-operacional#ia-generativa

Quer testar Tokia com R$ 10 via PIX?

Criar conta grátis →