A prestacão de serviço de ‘Bank as a Service’ (BaaS) acabou de ser redefinido pelo Banco Central (Bacen).
A Resolução Conjunta nº 16, de 28 de novembro de 2025, reestabelece o modelo de BaaS no Brasil, tornando-o fortemente regulado.
Veja abaixo 7 pontos críticos para instituições reguladas provedoras e tomadoras de BaaS:
1. Escopo dos serviços ‘Bank as a Service’ (BaaS): A Resolução Conjunta 16 restringe o BaaS a um rol de serviços financeiros, que inclui: (i) abertura, manutenção e encerramento de contas (depósitos à vista, poupança, contas de pagamento pré e pós-pagas), (ii) serviços de pagamento vinculados a essas contas, (iii) credenciamento à aceitação de instrumentos de pagamento, (iv) operações de crédito (da oferta à cobrança) e outros serviços que venham a ser futuramente incluídos pelo Banco Central.
A nova regulação separa o que é BaaS do que são outros tipos de serviços, como arranjos tecnológicos ou comerciais, como cloud, correspondentes e subcredenciamento.
Instituições prestadoras e tomadoras de BaaS deverão revisar produtos, fluxos e comunicação ao mercado para não definir como BaaS operações que não se enquadrem nesse escopo.
2. Que são as instituições que podem oferecer serviço de BaaS: pela Resolução, pode oferecer serviço de BaaS as instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
Estão excluídas de prestarem BaaS as cooperativas de crédito e sociedades de arrendamento mercantil. As confederações de serviço constituídas por cooperativas centrais de crédito e as administradoras de consórcio não podem atuar como prestadoras de BaaS ou tomadoras de serviços de BaaS.
3. Regime de exclusividade e restrição a múltiplos provedores: A Resolução veda que um mesmo contratante de BaaS mantenha, simultaneamente, contratos BaaS com diferentes instituições prestadoras para abertura, manutenção e encerramento de contas de um mesmo tipo (depósitos à vista, poupança, contas de pagamento pré e pós-pagas, incluindo os serviços de pagamento dessas contas), salvo quando se tratar de instituições do mesmo conglomerado prudencial.
4. Governança, gestão de riscos e due diligence sobre o tomador do serviço BaaS: As instituições prestadoras de BaaS devem incorporar explicitamente, em suas políticas, estratégias e estruturas de gerenciamento de riscos, critérios específicos para a prestação de BaaS, incluindo KYC, KYS, ALM, entre outros.
Antes da contratação e de forma contínua, a prestadora deve verificar se a entidade tomadora possui governança, controles, certificações, segurança dos dados, capacidade técnica e financeira compatíveis com os riscos do arranjo, além de garantir acesso a relatórios independentes, quando houver, e a dados operacionais para monitoramento da qualidade dos serviços.
instituições prestadoras de BaaS deverão passar a fazer um onboarding regulatório do contratante.
5. Elaboração de Contrato de BaaS bem estruturado será chave tanto para a instituição provedora de BaaS quanto para a contratante: O contrato BaaS passa a ser um instrumento jurídico essencial na relação BaaS.
Deverá conter, clara e objetivamente: objeto, responsabilidades, forma de remuneração, medidas de segurança de dados, acesso da instituição prestadora a informações, certificações e relatórios, limites à contratação de terceiros, mecanismos de atendimento ao cliente, proibição de subcontratação dos serviços centrais do art. 4º, regras de transparência ao cliente, hipóteses e consequências de encerramento do serviço, bem como cláusulas de resolução.
6. Centralização de responsabilidades (liabilities) na instituição prestadora de BaaS: A Resolução atribui à instituição prestadora de BaaS a responsabilidade integral pela confiabilidade, integridade, disponibilidade, segurança, sigilo dos serviços e pelo cumprimento da legislação e regulamentação aplicável.
Este escopo abrange KYC, análise de perfil de risco, prevenção a fraudes, prevenção à lavagem de dinheiro e financiamento do terrorismo e conformidade com a regulamentação de crédito. O onboarding de novos contratantes e o ongoing da relação exigirão compliance rígido por instituições prestadores de BaaS.
7. Transparência da relação BaaS com o cliente final: No relacionamento com o cliente final, a instituição prestadora de BaaS deve garantir que sua identificação como prestadora dos serviços financeiros seja clara, visível e acessível em canais, contratos, documentos e instrumentos de pagamento, sem impedir que o tomador também se identifique como ofertante de outros serviços não regulados.
Ao mesmo tempo, a instituição contrantante de BaaS é obrigada a informar explicitamente que não é instituição autorizada pelo Banco Central, quando for o caso.
8. Período de transição para serviços BaaS atualmente em andamento: As instituições que já possuíam contratos BaaS abrangidos pela Resolução na data de sua entrada em vigor têm até 31 de dezembro de 2026 para se adequar integralmente, o que inclui revisão contratual, adaptação de políticas, mecanismos de acompanhamento e controle, entre outros.
A Resolução Conjunta 16 inaugura uma nova fase do BaaS no Brasil, com parâmetros regulatórios, de compliance e de responsabilidades para instituição fornecedora de BaaS bem definidos e que deve impactar de forma relevante o mercado.
