Na sexta-feira, 28 de novembro, CMN e Banco Central publicaram a Resolução Conjunta nº16/2025, que estabelece o marco regulatório do Banking as a Service no Brasil.

A norma nasce de um diagnóstico claro: o modelo BaaS cresceu rápido demais, em zona cinzenta regulatória. O resultado foi previsível, falta de transparência, exposição a riscos operacionais, fraudes e buracos em PLD-FT.

A Resolução 16 encerra a fase do "freestyle regulatório". A partir de agora, BaaS tem regras claras sobre o que pode ser oferecido, quem responde pelo quê, e como essa relação precisa ser estruturada.

A norma é resultado da Consulta Pública nº 108/2024 e reflete a posição do regulador: BaaS pode existir e crescer, mas dentro de perímetros bem definidos. Quem opera fora dessas linhas está em desconformidade, e o Bacen agora tem base legal para agir.

O cardápio fechado do BaaS

A Resolução é cirúrgica no art. 4º: lista exatamente o que pode ser BaaS. É um rol taxativo, se não está na lista, não é BaaS regulado.

Os serviços autorizados são a gestão de contas (abertura, manutenção e encerramento de depósitos à vista, poupança e contas de pagamento pré e pós-pagas), serviços de pagamento vinculados a essas contas, credenciamento para aceitação de meios de pagamento, e operações de crédito (toda a cadeia: oferta, contratação, administração e cobrança).

Ponto de atenção: o art. 23, II deixa a porta entreaberta para o Bacen ampliar essa lista conforme novos serviços surjam. Ou seja, o regulador se deu flexibilidade para atualizar o escopo sem precisar de nova resolução, movimento inteligente para um mercado que se move rápido.

Na prática: qualquer serviço financeiro fora dessa lista precisa de estrutura regulatória própria. BaaS não é guarda-chuva genérico.

Responsabilidade no BaaS: o Bacen define quem responde

O Capítulo V da nova Resolução sobre Banking as a Service traz uma definição que altera a dinâmica do mercado: a responsabilidade regulatória é indivisível e recai integralmente sobre a Prestadora de Serviços de BaaS.

Essa regra elimina qualquer ambiguidade sobre quem responde perante o regulador quando algo sai errado na operação.

O que fica com a Prestadora de Serviços de BaaS

A Prestadora de Serviços de BaaS assume responsabilidade integral por confiabilidade, integridade, disponibilidade dos serviços, segurança e sigilo das informações, além do cumprimento total da legislação e regulamentação vigentes. A norma é expressa ao vedar qualquer possibilidade de compartilhamento ou diluição dessa responsabilidade.

A Prestadora de Serviços de BaaS permanece como única titular das obrigações regulatórias perante o Banco Central. Em caso de falhas ou descumprimentos, a Prestadora responde integralmente independentemente de qual agente tenha executado materialmente a operação. A Tomadora pode atuar na execução operacional, mas a responsabilidade regulatória permanece exclusivamente com a Prestadora de Serviços de BaaS.

Compliance: zona de exclusividade

O desenho e a execução dos controles regulatórios ficam sob competência exclusiva da Prestadora de Serviços de BaaS: políticas de KYC (identificação e qualificação de clientes), análise de perfil de risco, prevenção a fraudes e controles de PLD-FT (prevenção à lavagem de dinheiro e ao financiamento do terrorismo).

A Tomadora de Serviços de BaaS pode executar tarefas operacionais, mas sempre utilizando sistemas, ferramentas e protocolos fornecidos pela Prestadora. Em outras palavras: a Tomadora opera dentro da arquitetura de compliance da Prestadora de Serviços de BaaS.

A grande mudança: SCR como território exclusivo

O ponto mais disruptivo da norma está no tratamento do Sistema de Informações de Créditos (SCR) do Banco Central. A Resolução veda o acesso da Tomadora de Serviços de BaaS ao SCR e proíbe o repasse de informações obtidas nesse sistema. Na prática, toda a inteligência de crédito baseada em dados do SCR fica restrita às Prestadoras de Serviços de BaaS.

Essa regra impacta diretamente modelos de negócio em que as Tomadoras participavam ativamente da análise de crédito ou da gestão de carteiras. Agora, esses dados permanecem na esfera exclusiva da Prestadora.

Relacionamento com o cliente: quem o cliente vê

Além das regras de responsabilidade e acesso a dados, o Capítulo VI da Resolução trata da interface com o cliente final. A Prestadora de Serviços de BaaS deve garantir que sua identificação apareça de forma acessível e visível ao cliente em canais e interfaces digitais, contratos e documentos, e instrumentos de pagamento (cartões, boletos, comprovantes).

A norma não impede que a Tomadora de Serviços de BaaS também se identifique. Se a Tomadora trabalha com mais de uma Prestadora, ela pode (e deve) apresentar informações sobre cada parceria. A Tomadora pode ter sua marca visível e acessível ao cliente, desde que a Prestadora também esteja identificada.

Contratos de BaaS: o Bacen define as cláusulas obrigatórias

O artigo 8º da Resolução estabelece 15 cláusulas mínimas obrigatórias para todo contrato de BaaS. Não são sugestões, são requisitos regulatórios inegociáveis que definem a arquitetura básica da relação entre Prestadora e Tomadora de Serviços de BaaS.

Todo contrato precisa definir objeto, papéis, responsabilidades e remuneração entre as partes, medidas de segurança para dados dos clientes, acesso da Prestadora de Serviços de BaaS a informações e relatórios da Tomadora, notificação prévia sobre subcontratação de terceiros, e procedimentos para atendimento de clientes.

O contrato deve prever acesso irrestrito do Bacen a todas as informações, poder da Prestadora de adotar medidas por determinação do regulador, e obrigação da Tomadora de manter a Prestadora continuamente informada sobre limitações operacionais ou de compliance.

As vedações críticas

Entre as vedações, destaca-se que a Tomadora de Serviços de BaaS não pode fazer transações ou receber valores dos clientes em conta própria. O dinheiro flui diretamente entre cliente e Prestadora de Serviços de BaaS, evitando as chamadas "contas bolsão”, prática que também foi expressamente proibida pela Resolução BCB nº 518/2025.

Essa vedação impede que a Tomadora atue como intermediária financeira, concentrando recursos de clientes em contas de sua titularidade antes de repassá-los à Prestadora. O modelo regulatório exige fluxo direto: cliente e Prestadora de Serviços de BaaS, sem camadas adicionais de custódia não supervisionadas.

E o novo marco vai além: prevê cláusula criminal: exige declaração expressa da Tomadora de que ela tem pleno conhecimento de que realizar operações privativas de instituições financeiras por conta própria constitui crime, sujeitando-a às penalidades das Leis 7.492/1986 e 13.506/2017.

É o Bacen documentando: "você foi avisado".

Vigência e prazo de adequação: o relógio já começou a contar

A Resolução Conjunta 16 entra em vigor imediatamente, na data de sua publicação. Mas o Bacen deu fôlego para adaptação. Instituições que já operam como Prestadoras de Serviços de BaaS e possuem contratos vigentes têm até 31 de dezembro de 2026 para adequar estruturas, políticas e contratos ao novo marco regulatório.

A partir de 1º de janeiro de 2027, não há mais zona cinzenta: todas as relações entre Prestadoras e Tomadoras de Serviços de BaaS precisam estar em plena conformidade com a norma.

O prazo pode parecer confortável em um primeiro momento, mas considerando a extensão das mudanças necessárias, reestruturação de governança, revisão integral de contratos, adaptação de sistemas, implementação de novos controles de compliance e segregação de fluxos financeiros, trata-se de um cronograma desafiador, especialmente para instituições com operações de maior complexidade.

▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔▔

Autora:

Bruna Araújo