2026 será o ano em que as instituições financeiras, de pagamento e demais instituições autorizadas pelo Banco Central do Brasil (Bacen) deverão atualizar os contratos e a estrutura de governança relacionada aos serviços caracterizados como Banking as a Service – BaaS.
A Resolução Conjunta nº 16 fixou 31/12/2026 como prazo final para que as instituições autorizadas que prestem ou tomem serviços de BaaS se adequem ao disposto na nova regulação.
Veja abaixo 7 pontos críticos para instituições reguladas provedoras e tomadoras de BaaS:
1. Escopo dos serviços ‘Banking as a Service’ (BaaS): A Resolução Conjunta nº 16 estabeleceu um rol taxativo de serviços financeiros e de pagamento enquadrados como BaaS, que inclui: (i) abertura, manutenção e encerramento de contas (depósitos à vista, poupança, contas de pagamento pré e pós-pagas), (ii) serviços de pagamento vinculados a essas contas, (iii) credenciamento à aceitação de instrumentos de pagamento, (iv) operações de crédito (da oferta à cobrança) e outros serviços que venham a ser futuramente incluídos pelo Banco Central.
A nova regulação separa o BaaS de outros tipos de serviços, como arranjos tecnológicos ou comerciais, como cloud, correspondentes bancários e subcredenciamento.
2. Que são as instituições que podem oferecer serviço de BaaS: pela Resolução, pode oferecer serviço de BaaS as instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
Estão excluídas de prestarem BaaS as cooperativas de crédito e as sociedades de arrendamento mercantil. As confederações de serviço constituídas por cooperativas centrais de crédito e as administradoras de consórcio não podem atuar como prestadoras de BaaS ou tomadoras de serviços de BaaS.
3. Regime de exclusividade e demais vedações: É vedada a formalização de contrato de BaaS (i) em que a entidade tomadora atue em nome da instituição autorizada prestadora na disponibilização dos serviços de BaaS, tal como atuam os correspondentes bancários; (ii) com entidade tomadora que possua contratação de BaaS em vigor com outra instituição prestadora para disponibilização dos serviços de abertura, manutenção e encerramento de contas (depósitos à vista, poupança, contas de pagamento pré e pós-pagas, incluindo os serviços de pagamento dessas contas) – exceto se tal entidade for instituição autorizada; e (iii) com entidade tomadora que empregue, em sua razão social ou nome fantasia, termos característicos da nomenclatura de instituições do Sistema Financeiro Nacional ou do Sistema de Pagamentos Brasileiro – exceto se tal entidade for instituição autorizada.
4. Governança, gestão de riscos e liabilities: A Resolução atribui à instituição prestadora de BaaS a responsabilidade pela confiabilidade, integridade, disponibilidade, segurança, sigilo dos serviços e pelo cumprimento da legislação e regulamentação aplicáveis. Este escopo abrange KYC, análise de perfil de risco, prevenção a fraudes, à lavagem de dinheiro e ao financiamento do terrorismo.
A efetividade do cumprimento da regulação deve ser avaliada por meio de processos, testes e trilhas de auditoria, métricas e indicadores adequados e correção de eventuais deficiências. Tais mecanismos deverão ser testados com frequência mínima anual, pela auditoria interna da instituição autorizada (prestadora ou tomadora de BaaS).
Ainda, a instituição autorizada que atue tanto como prestadora quanto como tomadora dos serviços de BaaS deve designar diretor responsável pela observância do disposto na Resolução Conjunta nº 16.
5. Requisitos do Contrato de BaaS: O contrato de BaaS passa a ser um instrumento jurídico essencial na relação entre as instituições prestadoras e tomadoras.
Deverá conter, clara e objetivamente: objeto, responsabilidades, forma de remuneração, medidas de segurança de dados, acesso da instituição prestadora a informações, certificações e relatórios, limites à contratação de terceiros, mecanismos de atendimento ao cliente, proibição de subcontratação dos serviços centrais do art. 4º, regras de transparência ao cliente, hipóteses e consequências de encerramento do serviço, bem como cláusulas de resolução.
6. Consequências do non-compliance com a Resolução: Em caso de inobservância à nova regulação, o Banco Central poderá (i) vetar ou impor restrições para a contratação de serviços de BaaS, bem como limitar a atuação, estabelecendo prazo para a adequação dos referidos serviços e dos contratos correspondentes; e (ii) determinar a suspensão ou o encerramento do contrato de BaaS, nos casos que afetem a segurança e a higidez do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiro.
7. Período de transição para serviços BaaS atualmente em andamento: As instituições que já possuíam contratos BaaS abrangidos pela Resolução na data de sua entrada em vigor (28/11/2025) têm até 31 de dezembro de 2026 para se adequar integralmente, o que inclui o mapeamento das contratações vigentes, revisão contratual, adaptação de políticas, mecanismos de acompanhamento e controle, entre outros.
A elaboração de um contrato BaaS bem estruturado será chave tanto para a instituição provedora quanto para a contratante, sendo um to do relevante para 2026.
