Banco Central divulga regras sobre a atividade de Banking as a Service (BaaS)

A Resolução Conjunta nº 16 representa um marco regulatório para o ecossistema de Banking as a Service (BaaS) no Brasil, sistematizando princípios, limites e responsabilidades que até então estavam dispersos em diferentes normas e interpretações do Banco Central. O objetivo central do regulador é criar um ambiente mais seguro, previsível e tecnicamente robusto para a oferta de serviços financeiros por meio de plataformas digitais, fortalecendo o modelo de embedded finance sem descaracterizar a função das instituições autorizadas.

A norma define BaaS como a prestação, por uma instituição financeira ou de pagamento autorizada, de serviços financeiros e de pagamento para clientes de uma entidade tomadora, por meio de integração tecnológica entre as partes. Esse conceito reforça dois pilares fundamentais: (i) a instituição prestadora é sempre a responsável pelos serviços regulados, inclusive pela relação jurídica com o cliente; e (ii) a tomadora atua como distribuidora ou canal, sem se confundir com instituição financeira nem assumir funções típicas de correspondentes bancários. Por isso, o regulador deixa claro que BaaS não se confunde com serviços de correspondentes, computação em nuvem, open finance ou atividades de subcredenciamento.

A Resolução delimita, de forma taxativa, os serviços que podem compor uma parceria de BaaS: abertura, manutenção e encerramento de contas (depósitos à vista, poupança e contas pré e pós-pagas), realização de serviços de pagamento vinculados a essas contas, credenciamento para aceitação de instrumentos de pagamento, operações de crédito e outros serviços que venham a ser futuramente detalhados pelo Banco Central. A exigência de titularidade das contas pelo cliente diretamente na instituição prestadora e a vinculação das transações exclusivamente a essas contas reforçam a integridade regulatória e evitam estruturas paralelas ou contas “sombra”.

Além de delimitar o escopo dos serviços, a norma impõe limites importantes ao desenho das parcerias. Entre eles, destaca-se a vedação de que uma mesma tomadora contrate mais de uma instituição para o mesmo tipo de conta, salvo nos casos de instituições pertencentes ao mesmo conglomerado prudencial. Tal limitação busca reduzir a fragmentação operacional, garantir responsabilização clara e mitigar riscos de inconsistência no tratamento de clientes, especialmente em serviços que exigem controles prudenciais rígidos. Soma-se a isso a proibição de que a tomadora utilize nomenclatura típica de instituições financeiras, preservando a transparência e o correto entendimento pelo cliente final.

Do ponto de vista contratual, a Resolução eleva substancialmente o padrão de governança. O contrato de BaaS passa a exigir cláusulas específicas sobre papéis e responsabilidades, mecanismos de remuneração, gestão e segurança de dados, acesso a informações e sistemas pela prestadora e pelo Banco Central, tratamento de incidentes, continuidade operacional e procedimentos de atendimento a clientes. A norma também proíbe a subcontratação dos serviços regulados e impede que a tomadora cobre tarifas próprias sobre serviços prestados pela instituição financeira, evitando desalinhamentos de incentivos e práticas comerciais inadequadas.

A governança interna das instituições prestadoras também ganha centralidade. A norma exige due diligence prévia e contínua das tomadoras, abrangendo avaliação de riscos financeiros, tecnológicos, operacionais e de proteção de dados, além de possibilidade de auditorias independentes e exigência de certificações específicas. As instituições devem estruturar indicadores de desempenho, trilhas de auditoria, mecanismos de monitoramento e procedimentos de correção, assegurando que o modelo de BaaS seja acompanhado com rigor semelhante ao de terceirizações críticas.

No relacionamento com o cliente final, a Resolução reforça que a instituição prestadora é a responsável por KYC, prevenção à lavagem de dinheiro e ao financiamento do terrorismo, prevenção a fraudes, sigilo bancário e conformidade regulatória, ainda que a tomadora possa executar tarefas acessórias. A comunicação com o cliente deve ser clara quanto ao papel de cada parte, e o atendimento de demandas segue sob responsabilidade da instituição prestadora. As tarifas aplicáveis são as previstas na regulação vigente, reforçando a uniformidade no tratamento entre serviços ofertados diretamente ou via BaaS.

A norma também introduz exigências de transparência, determinando que instituições prestadoras publiquem em seus sites a lista de tomadoras, com identificação e descrição dos serviços contratados. O Banco Central, por sua vez, passa a ter poderes expressos para vetar, restringir ou suspender contratos que apresentem irregularidades ou que representem riscos à higidez do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiro.

Para instituições financeiras e de pagamento, a Resolução inaugura um novo patamar de responsabilidade e competitividade. O reforço das exigências de governança deve elevar o custo regulatório, mas também tende a favorecer instituições com maior maturidade tecnológica e capacidade de monitoramento de terceiros. Já para fundos de investimento, a clareza regulatória reduz incertezas e melhora a atratividade de investimentos em provedores de infraestrutura financeira e modelos de embedded finance. Para as tomadoras, especialmente fintechs, varejistas e plataformas digitais, o novo marco cria oportunidades de expansão, mas exige capacidade técnica e compliance mais robusto.

Por fim, a norma estabelece prazo até 31 de dezembro de 2026 para adequação dos contratos vigentes, dando ao mercado tempo suficiente para reestruturar modelos, revisar políticas internas, renegociar contratos e ajustar fluxos tecnológicos e operacionais. Trata-se, portanto, de uma regulação que equilibra rigor, segurança jurídica e incentivo à inovação, contribuindo para a consolidação do BaaS como um dos pilares da modernização do sistema financeiro brasileiro.