ABBaaS e Silva Lopes
Relatório
•
02/06/2026
E-bool - entenda a nova regulação de BaaS
Sumário Regulatório
E-bool - entenda a nova regulação de BaaS
Conteúdo do Documento
INTRODUÇÃO No dia 28 de novembro de 2025, o Banco Central do Brasil (BCB) e o Conselho Monetário Nacional (CMN) publicaram a Resolução Conjunta nº 16, um marco regulatório decisivo que define as regras e limites para a prestação de serviços de Banking as a Service (BaaS) no país. Esta norma surge como uma resposta ao crescimento acelerado do mercado de embedded finance, visando trazer segura...
INTRODUÇÃO
No dia 28 de novembro de 2025, o Banco Central do Brasil (BCB) e o Conselho
Monetário Nacional (CMN) publicaram a Resolução Conjunta nº 16, um marco
regulatório decisivo que define as regras e limites para a prestação de
serviços de Banking as a Service (BaaS) no país.
Esta norma surge como uma resposta ao crescimento acelerado do mercado
de embedded finance, visando trazer segurança jurídica, transparência
sistêmica e mitigar riscos operacionais na relação entre instituições
autorizadas e empresas parceiras (fintechs não reguladas, varejistas, ERPs e
marketplaces).
O QUE MUDA NO MERCADO?
A resolução formaliza e segregas os papéis de cada agente na cadeia de
valor:
Instituição Prestadora: Bancos, Bancos Digitais e Instituições de
Pagamento (IPs) que detêm a licença de funcionamento do BCB e
fornecem a "bancarização" de fundo.
Entidade Tomadora: Empresas de qualquer setor que contratam a
infraestrutura tecnológica e regulatória para ofertar serviços financeiros
aos seus clientes sob sua própria marca (white label).
A norma impacta diretamente a estruturação jurídica dos contratos de
parceria, exigindo revisões profundas em requisitos de tecnologia (APIs),
compliance preventivo e, principalmente, na jornada de contratação e oferta
dos produtos ao cliente final.
QUAIS SERVIÇOS PODEM SER OFERTADOS VIA BaaS?
A Resolução delimitou taxativamente quais produtos compõem o escopo de BaaS, eliminando zonas
cinzentas sobre o que pode ou não ser terceirizado.
O contrato deve ter como objeto exclusivamente um ou mais dos seguintes serviços:
Contas: Abertura, manutenção e
encerramento de contas de depósitos (à
vista ou poupança) e contas de pagamento
(pré-pagas e pós-pagas). Isso abrange desde
carteiras digitais até contas digitais
completas integradas a aplicativos de
terceiros.
Pagamentos: Execução de serviços de
pagamento (PIX, TED, Boletos) realizados por
meio das contas acima citadas, garantindo
que a liquidação ocorra sempre no
ambiente regulado.
Credenciamento (Adquirência): Serviços de
aceitação de instrumentos de pagamento,
permitindo que parceiros ofereçam soluções
de "maquininha" ou gateway de pagamento
aos seus estabelecimentos comerciais.
Crédito: A oferta, contratação,
administração e cobrança de operações de
crédito. Neste modelo, a Tomadora atua
como um canal de distribuição digital
eficiente, mas não assume o risco de crédito
diretamente no seu balanço.
Um ponto crucial da norma é a titularidade. As contas abertas devem ser de titularidade do
cliente final diretamente na Instituição Prestadora. O crédito concedido deve ter o cliente final
como devedor da Instituição Prestadora.
Isso significa que a Tomadora atua estritamente como canal de interface e experiência do
usuário, não podendo deter a custódia dos recursos dos clientes ou figurar como credora oficial,
salvo se possuir licença específica para tal (ex: SCD).
Art. 4º O contrato de prestação de serviços de BaaS deve ter como escopo exclusivamente um ou mais
dos seguintes serviços:
I - abertura, manutenção e encerramento de contas de:
a) depósitos à vista;
b) depósitos de poupança;
c) pagamento pré-pagas; ou
d) pagamento pós-pagas;
II - prestação de serviços de pagamento realizados por meio das contas de que trata o inciso I;
III - prestação de serviços de credenciamento à aceitação de instrumentos de pagamento em arranjos
de pagamento;
IV - prestação de serviços de operações de crédito, incluindo oferta, contratação, administração e
cobrança; e
V - outros serviços que vierem a ser incluídos pelo Banco Central
O QUE NÃO PODE SER FEITO? (RISCOS E LIMITES)
Fluxo Financeiro (Fim da "Conta Trânsito"): Talvez o
ponto de maior impacto: é vedado à Entidade Tomadora
realizar transações, recebimentos e depósitos em conta
própria de valores relacionados aos serviços prestados
aos clientes.
O fluxo do dinheiro deve ser: Cliente Final para Instituição
Prestadora. O dinheiro não pode "parar" na conta da
empresa parceira antes de ser liquidado, eliminando o
risco de confusão patrimonial em caso de falência da
Tomadora.
A Instituição Prestadora (Banco/IP) permanece como a responsável integral perante o
regulador (Banco Central) e o cliente final. Não é possível terceirizar a responsabilidade
regulatória. A Prestadora responde pela:
Confiabilidade, estabilidade e segurança cibernética dos serviços;
Prevenção à lavagem de dinheiro e ao financiamento do terrorismo (PLD/FT);
Prevenção a fraudes (monitoramento transacional);
Identificação e qualificação de clientes (procedimentos de KYC - Know Your Customer).
DUE DILIGENCE OBRIGATÓRIA NA TOMADORA
Antes de contratar uma parceira de BaaS, a Instituição Prestadora deve realizar uma
verificação robusta (Due Diligence) da capacidade da Tomadora de assegurar:
Segurança da Informação: Conformidade com a LGPD e padrões de segurança
cibernética compatíveis com o setor financeiro;
Saúde Financeira: Capacidade econômico-financeira para sustentar a operação e os
riscos de imagem;
Certificações Técnicas: Aderência a requisitos técnicos específicos que garantam a
integridade das integrações via API.
Compliance: O contrato deve prever que a Prestadora tenha acesso irrestrito a
relatórios, dados e auditorias da Tomadora. A "cegueira deliberada" por parte do Banco
fornecedor do BaaS não será tolerada pelo regulador.
DE QUEM É A RESPONSABILIDADE FINAL?
Obrigações da Entidade Tomadora na Interface (App/Site):
Informar ao cliente, de forma visível e clara, que não atua em nome da
Instituição Prestadora (diferenciando-se do correspondente bancário
tradicional, que age em nome do banco);
Deixar explicito que não é uma instituição financeira autorizada pelo
BCB (se for o caso), evitando ambiguidades;
Prestar esclarecimentos detalhados sobre a portabilidade de crédito,
portabilidade de chaves Pix e eventuais cessões de carteira de crédito.
Política de Tarifas:
A norma veda que a Tomadora cobre tarifas bancárias em seu próprio
nome.
Como deve funcionar: A tarifa referente ao produto financeiro (ex: taxa
de manutenção de conta, tarifa de TED) deve ser cobrada em nome da
Instituição Prestadora. A Tomadora pode ser remunerada por meio de
acordos comerciais com a Prestadora, mas a cobrança ao cliente final
deve ser transparente e vinculada ao serviço da instituição autorizada.
RELAÇÃO COM O CONSUMIDOR
A Resolução entrou em vigor na data de sua publicação
(28 de novembro de 2025), gerando efeitos imediatos
para o mercado. No entanto, reconhecendo a
complexidade das adaptações tecnológicas e contratuais,
o regulador estabeleceu um regime de transição.
Novos Contratos: Qualquer parceria de BaaS firmada a
partir de hoje deve seguir integralmente a norma.
Contratos Vigentes (Legado): As instituições que já
possuem parcerias de BaaS ativas na data da publicação
têm até 31 de dezembro de 2026 para se adequarem
totalmente às novas regras. Isso inclui a repactuação de
contratos, ajustes em APIs, mudanças em fluxos
financeiros e adequação de interfaces de usuário.
ENTRADA EM VIGOR E
REGIME DE TRANSIÇÃO
PONTO DE ATENÇÃO CRÍTICO
O Banco Central reservou para si a prerrogativa de vetar
contratos ou determinar a suspensão imediata de serviços de
BaaS a qualquer momento, caso constate riscos à segurança do
Sistema Financeiro Nacional (SFN) ou ao Sistema de
Pagamentos Brasileiro (SPB). A fiscalização será baseada em
risco, exigindo monitoramento constante por parte das
instituições.
O QUE MUDOU: DA CONSULTA PÚBLICA À NORMA FINAL
Tema
Consulta Pública
(2024/2025)
Texto Final da Norma
(RC 16/2025)
O que mudou?
Relação contratual
do cliente
Possível restrição de
subcredenciadores a
tomadores BaaS
Escopo dos serviços
Credenciamento
eFX (câmbio)
Iniciação de
pagamento (ITP)
Cliente tinha “relação com a
tomadora e com a prestadora por
integração de sistemas”
CP dizia expressamente que o
BC queria avaliar limitar
subcredenciadores ao modelo BaaS
Contas; pagamentos; operações de
crédito; credenciamento; “outros
serviços futuros”
Incluído de forma tímida; CP pediu
comentários sobre restringir
subcredenciadores
CP perguntou se deveria entrar como
BaaS
CP consultou sobre incluir
Agora o cliente tem relação contratual com
as duas partes, prestadora e tomadora
O texto final incluiu exclusão explícita:
subcredenciadores NÃO são BaaS (art. 3o,
parágrafo único, IV)
Mesmo escopo, porém muito mais
detalhado e com restrições expressas (ex.:
Art. 4, § 4o exige que pagamentos tenham
origem/destino nas contas da prestadora)
Mantido; mas não se integra ao regime de
arranjos e só pode ocorrer como
distribuição, não como processamento
Totalmente excluído
Excluído integralmente
Maior clareza sobre estruturação dos
contratos, além de acabar reduzindo o
risco de interpretação de representação
BC recuou da intenção de inserir
subcredenciadores no escopo de BaaS
A norma final restringe
OBRIGATORIAMENTE o fluxo
financeiro à prestadora
Norma final confirma credenciamento
apenas como “serviço distribuído”, não
operação de arranjo
BC não avançou no eFX via BaaS
BC entendeu que ITP não é BaaS
1/3
O QUE MUDOU: DA CONSULTA PÚBLICA À NORMA FINAL
Tema
Consulta Pública
(2024/2025)
Texto Final da Norma
(RC 16/2025)
O que mudou?
Correspondentes
Open Finance
Subcredenciadores
e PSR
“One provider only”
Acesso ao SCR
Contratos BaaS
Apenas referência difusa
CP só citava parcerias
em Open Finance
CP sugeria
possivelmente trazer para dentro
Proibição ampla: a tomadora não
pode ter mais de 1
prestadora
Não mencionado
Lista ampla de cláusulas
obrigatórias, mas mais genérica
Exclusão formal no
art. 3o, par. ún., I
Exclusão formal no
art. 3o, par. ún., III
Exclusão formal no
Art. 3o, par. ún., IV
A norma final aplicou que a tomadora não
pode ter mais de uma prestadora por tipo
de conta (art. 6o, II a V)
Norma final veda expressamente acesso
ao SCR pela tomadora
Texto final triplicou o nível de detalhe:
inclui vedação a subcontratação, descrição
de tarifas, governança, certificações,
incidentes, auditoria, continuidade em
resolução etc
Consulta virou
exclusão explícita
BC blindou Open
Finance do BaaS
Recuo total do BC
O tomador apenas poderá ter
mais de um provedor se prestar
mais de um serviço
Maior proteção ao sigilo bancário
Norma ficou mais detalhista e
pesada para compliance
2/3
O QUE MUDOU: DA CONSULTA PÚBLICA À NORMA FINAL
Tema
Consulta Pública
(2024/2025)
Texto Final da Norma
(RC 16/2025)
O que mudou?
Vedação de cobrar
“em nome próprio”
Vedação de receber
valores
Existia
Implícita
Mantida e ampliada
para qualquer tarifa, comissão ou
remuneração
Agora expressa no art. 8o, XIV
Consulta virou
exclusão explícita
Define que a tomadora não
recebe valores
3/3
Q&A
A nova regulação de BaaS levantou uma série de dúvidas
práticas entre empresas do setor, provedores de
infraestrutura, fintechs e instituições financeiras. Para
representar essas inquietações e contribuir para uma
compreensão mais clara do novo cenário, Silva Lopes
Advogados e ABBAAS organizaram um conjunto de
perguntas que refletem as dúvidas mais recorrentes do
mercado.
Esta seção apresenta uma curadoria dessas questões
acompanhada de análises de especialistas que vivenciam
diariamente os desafios operacionais, os ajustes exigidos
pela norma e as oportunidades que surgem a partir dela. A
combinação entre visão jurídica, técnica e prática de
mercado permite esclarecer não apenas “o que diz a regra”,
mas também “o que ela representa na operação real de
quem atua no ecossistema”.
O capítulo foi desenvolvido em parceria com a ABBAAS,
reforçando a relevância do diálogo contínuo entre regulador,
indústria e especialistas para que o novo arcabouço
regulatório seja implementado com clareza, maturidade e
segurança.
Prazos e vigência da norma
A vedação de compartilhamento de informações do
SCR tem vigência imediata? As APIs que as IFs
disponibilizam para consulta não poderão mais
existir, mesmo quando destinadas a uma melhor
análise do perfil de crédito de quem está pedindo o
empréstimo? Caso esses dados sejam transformados
(ou seja, por exemplo, já passem por um "motor de
regras" na IF), poderiam ser compartilhados?
A Resolução Conjunta nº 16 entra em vigor na data de
sua publicação (28/11/2025). Para contratos vigentes
nesta data, há prazo de adequação até 31/12/2026. Para
novos contratos, a vedação é imediata.
A norma estabelece que, para tarefas acessórias
relacionadas a crédito, "deve ser observado o sigilo
bancário estabelecido pela Lei Complementar nº 105",
ficando expressamente "vedados a disponibilização de
acesso ao Sistema de Informações de Créditos - SCR e
o fornecimento de informações contidas no SCR pela
instituição prestadora de serviços de BaaS à entidade
tomadora". Portanto, APIs que forneçam acesso ou
informações do SCR à tomadora estão vedadas.
Imediatamente, após a norma, todos os processos da
instituição devem estar adequados ou de imediato a
instituição deve tomar providências para que seus
processos sejam adequados?
A Resolução Conjunta nº 16 entra em vigor na data de
sua publicação (28/11/2025), demandando a
necessidade de, aquelas empresas que ainda não
possuem contrato vigente, realizem as adequações de
forma imediata. Em relação aos contratos já vigentes
na data da publicação da normativa, há uma janela de
adequação até 31/12/2026.
Prazos e vigência da norma
Considerando que a Resolução Conjunta nº 16/2025
(BCB/CMN) - vigente desde 28/11/2025 - veda a
contratação com entidades tomadoras cuja
nomenclatura utilize termos característicos das
instituições do Sistema Financeiro Nacional ou do
Sistema de Pagamentos Brasileiro (ou expressões
semelhantes, em português ou idioma estrangeiro), e que
a Resolução nº 17/2025 estabelece prazo de um ano para
regularização dessas situações (art. 8º, §1º), como devem
ser conciliados esses prazos?
Embora a Resolução Conjunta nº 16/2025 estabeleça um
prazo geral de adequação até 31 de dezembro de 2026 para
contratos vigentes na data de sua entrada em vigor, a
questão da nomenclatura possui tratamento específico na
Resolução Conjunta nº 17/2025. A Resolução nº 17/2025
determina que as instituições devem adequar os contratos
de parcerias firmados antes de sua vigência às regras de
vedação de nomenclatura no prazo de um ano, contado a
partir da data de sua entrada em vigor. Portanto, para o
quesito específico de adequação de termos em
nomenclatura em contratos de parceria, aplica-se o prazo de
um ano para as hipóteses em que o tomador é uma
instituição autorizada a funcionar pelo BCB, enquanto para
as demais adequações contratuais e operacionais do BaaS,
aplica-se o prazo até o final de 2026.
A norma específica Res. Cj 17 menciona o prazo para
divulgação do plano de ação e prazo para adequação da
nomenclatura. Entretanto, se essa instituição é tomadora
do serviço de BaaS o prazo para adequação seria
31/12/2026 respeitando o prazo da Res. Cj. 16 para
adequação do legado ou mantém o prazo mencionado na
Res. Cj. 17?
Depende da natureza da tomadora:
Se a Tomadora for Instituição Autorizada: A Resolução nº 17
aplica-se diretamente a "instituições autorizadas a funcionar
pelo Banco Central do Brasil". Nesse caso, ela deve seguir os
prazos da Res. 17 (Plano de adequação em 120 dias,
execução em até 1 ano).
Se a Tomadora NÃO for Instituição Autorizada: A Res. 17 não
se aplica diretamente a ela. Porém, a Res. 16 veda que a
Prestadora firme contrato de BaaS com tomadora que
utilize termos privativos em sua nomenclatura. Para
contratos de BaaS vigentes (legado), a Res. 16 dá prazo de
adequação até 31/12/2026.
Prazos e vigência da norma
Haverá prazo de adequação para novos contratos
(celebrados pela prestadora posteriormente à entrada em
vigor da norma), conforme previsto no art. 22?
Não há prazo de transição para contratos novos. O prazo de
adequação até 31 de dezembro de 2026 aplica-se
exclusivamente às instituições que tenham contrato vigente
para a prestação de serviços na data da entrada em vigor da
Resolução (que ocorre na data de sua publicação). Portanto,
novos contratos celebrados após a entrada em vigor devem
estar imediatamente aderentes à norma.
Vedação de compartilhamento de dados e fluxo financeiro
A vedação da disponibilização de acesso ao Sistema de
Informações de Créditos – SCR e o fornecimento de
informações contidas no SCR às entidades tomadoras
engloba também a apresentação de dados/scores não
brutos, mas construídos com base nas informações de
SCR?
A norma veda o "fornecimento de informações contidas no
SCR". Ela não faz distinção entre dados brutos ou
processados. Se o score ou dado apresentado revela
"informação contida no SCR", ele recai na vedação. O texto é
restritivo quanto ao conteúdo oriundo do SCR.
O compartilhamento de um range de crédito já tomado
poderia ser compartilhado? Ex. pessoa F tem um crédito
já tomado de 400 mil, podemos compartilhar o range de
crédito de 300 a 600 mil?
A vedação recai sobre o "fornecimento de informações
contidas no SCR". A norma não traz exceção explícita para
dados transformados, scores ou "ranges" derivados dessas
informações. A proibição abrange as informações contidas
na base.
A Resolução prevê "a vedação à entidade tomadora de
serviços de BaaS de realizar transações de pagamento,
recebimentos e depósitos em conta própria de valores
relacionados a serviços prestados pela instituição
prestadora de serviços de BaaS aos clientes" . Esse ponto
vedaria a possibilidade do tomador adiantar o valor do
empréstimo ao cliente final?
Sim. O contrato de BaaS deve prever a "vedação à entidade
tomadora de serviços de BaaS de realizar transações de
pagamento, recebimentos e depósitos em conta própria de
valores relacionados a serviços prestados pela instituição
prestadora". Adicionalmente, a prestação de serviços de
crédito requer que o cliente seja o devedor da operação
contratada diretamente com a instituição prestadora. O
fluxo financeiro passando pela conta própria da tomadora
(adiantamento) contraria a vedação de trânsito de valores na
conta própria da tomadora.
Vedação de compartilhamento de dados e fluxo financeiro
Em consonância com os entendimentos da Resolução 518, há vedação em um marketplace atuar como
tomador de BaaS e receber em conta de sua titularidade recursos de um cliente final a serem usados para
pagamento de fornecedores vinculados ao marketplace? Que ação seria necessária em relação a esta
conta e de que instituição (detentora da conta pagadora/detentora da conta recebedora)?
Sim, há vedação específica na Resolução 16. O art. 8º, XIV, veda à tomadora "realizar transações de pagamento,
recebimentos e depósitos em conta própria de valores relacionados a serviços prestados pela instituição
prestadora de serviços de BaaS aos clientes".
Ação Necessária: O fluxo financeiro não deve transitar pela conta própria da tomadora (Marketplace) aberta
perante o prestador de BaaS. As transações devem ter origem ou destino exclusivamente nas contas de
titularidade do cliente na instituição prestadora. O Marketplace não pode fazer a intermediação financeira em
conta própria no âmbito do contrato de BaaS.
Contudo, não há ainda nenhuma diretriz acerca de eventual alteração em relação ao formato de marketplace
“puro”, onde o usuário pagador tem relação direta com o próprio marketplace, realizando a compra e efetua o
pagamento via Pix para a conta do marketplace, e que, após receber o valor, o marketplace repassa os recursos
ao usuário recebedor. Veja-se que, neste caso, não há uma oferta de conta pelo marketplace ao usuário
recebedor, mas tão somente uma transação operada através de mandato, em que o marketplace tem
autorização para receber recursos em conta própria e repassá-lo ao usuário recebedor em prazos acordados.
Vedação de compartilhamento de dados e fluxo financeiro
Nos casos de marketplaces em que o PIX do seller deve necessariamente estar
vinculado a uma conta de pagamento fornecida pela estrutura BaaS, essa exigência
impede que o seller opere simultaneamente com mais de um parceiro BaaS?
A norma impõe restrições de exclusividade por tipo de serviço (vedação ao "multihoming"
do tomador para o mesmo serviço). É vedado à instituição prestadora formalizar contrato
com uma entidade tomadora que já possua contrato de BaaS em vigor com outra
instituição prestadora para a disponibilização do mesmo tipo de serviço (ex: contrato vigente
com outra prestadora para abertura de contas de pagamento pré-pagas). O mesmo vale
para contas de depósitos à vista e contas de pagamento pós-pagas. Logo, se o marketplace
(tomador) opera um modelo BaaS para contas de pagamento, ele não pode ter contratos
simultâneos com múltiplas prestadoras para esse mesmo serviço de contas.
Delimitação de atuação
Os ajustes para deixar claro que a tomadora não é instituição autorizada já devem ser
realizados? O que isso se diferencia de, por exemplo, colocar o rodapé informando que a
instituição é uma correspondente bancária?
Prazo: Para novos contratos, a exigência é imediata (a norma entra em vigor na publicação).
Para contratos vigentes em 28/11/2025, a adequação deve ocorrer até 31/12/2026.
Diferença para Corban: No BaaS, é vedado que a tomadora atue "em nome da instituição
prestadora" na forma de correspondente bancário. Enquanto o correspondente atua em
nome do banco, a tomadora de BaaS atua oferecendo o serviço em sua própria interface,
mas deve informar que "não é uma instituição autorizada a funcionar pelo Banco Central do
Brasil... para a prestação dos serviços contemplados no contrato". No caso do tomador de
BaaS, deve, por exemplo, apresentar aos clientes a informação de que não é uma instituição
autorizada a funcionar pelo Banco Central do Brasil, em relação à prestação dos serviços
contemplados no contrato de prestação de serviços de BaaS. Ou seja, como o tomador de
BaaS não atua em nome da instituição prestadora, ele deve deixar claro que os serviços
objeto do contrato de BaaS são prestados por uma instituição autorizada, enquanto
eventuais serviços que não exijam autorização são prestados diretamente por ele.
Delimitação de atuação
Como delimitar, no contexto de crédito, o escopo das
atividades permitidas à tomadora de serviços de BaaS de
forma a evitar sobreposição com o modelo de
correspondente bancário, especialmente em etapas como
oferta, análise, adiantamento de valores ao cliente final e
formalização contratual?
A delimitação ocorre pelas seguintes vedações e obrigações do
BaaS:
Atuação em nome próprio vs. de terceiros: É vedado
formalizar contrato com objetivo de a tomadora atuar "em
nome da instituição prestadora" (característica do
correspondente). No BaaS, a tomadora integra o serviço, mas
não pode representar a instituição, fazendo o agenciamento
de propostas, por exemplo.
Fluxo Financeiro: É vedado à tomadora realizar transações ou
depósitos em conta própria de valores relacionados aos
serviços (vedação ao adiantamento/trânsito de recursos).
Formalização: O cliente deve ser o devedor da operação
contratada com a instituição prestadora, e a prestação deve
ocorrer via canal eletrônico com integração de sistemas.
Quando a norma prevê que “a prestação dos serviços de que
trata o inciso IV (crédito) requer que o cliente seja o devedor
da operação de crédito contratada com a instituição
prestadora de serviços de BaaS”, ela está se referindo ao
cliente que está previsto na definição do art. 3º, inciso IV? Ou
seja, aquele cliente que mantém um relacionamento tanto
com a tomadora quanto com a prestadora? Se o tomador do
crédito for a prestadora de serviços de BaaS o modelo não
precisa seguir a regra?
Sim, refere-se ao cliente definido no art. 3º, inciso IV (pessoa
natural ou jurídica com relação contratual com a prestadora
para os serviços financeiros e com a tomadora para outros
serviços). A definição de "prestação de serviços de BaaS" exige a
disponibilização de serviços "ao cliente por intermédio da
entidade tomadora". Se a própria entidade parceira fosse a
tomadora do crédito (devedora), tratar-se-ia de uma operação
de crédito tradicional e direta, entre a IF e a empresa, não se
enquadrando na definição de prestação de serviços de BaaS
para terceiros.
Delimitação de atuação
Caso haja parcerias comerciais nas quais não haja integração sistêmica, mas
mero direcionamento de clientes para contratação com a instituição
autorizada, há riscos de essas parcerias serem consideradas irregulares ou
sujeitas às normas de BaaS? Como mitigar esses riscos?
Risco/Enquadramento: A prestação de serviços de BaaS é definida, entre outros
critérios, por ocorrer "por meio de canal eletrônico, utilizando a integração de
sistemas, plataformas, interfaces ou de processos". Se não houver essa integração
e for mero direcionamento, não se enquadra tecnicamente como BaaS sob a Res.
16.
Mitigação: Deve-se assegurar que a operação não configure atuação como
correspondente bancário sem a devida formalização, nem BaaS disfarçado. Se não
há integração sistêmica e o parceiro apenas indica o cliente ("finder"), deve-se
observar se há enquadramento nas normas de correspondente no país. O BaaS
exige integração eletrônica.
Governança, riscos e responsabilidade
O fato da IF ser a responsável por: I - identificação e à
qualificação dos clientes, bem como à análise do seu
perfil de risco; II - prevenção de fraudes; e III - prevenção à
lavagem de dinheiro e ao financiamento do terrorismo,
limita os poderes do tomador de fazer sua própria análise
de acordo com seus critérios internos ou de a prestadora
exigir contratualmente que controles e análises também
sejam feitos pela tomadora?
Não limita a exigência de controles, mas define a
responsabilidade final. A instituição prestadora é a
responsável pelas políticas e pela realização dos
procedimentos, enquanto a instituição tomadora é
responsável apenas por prover à prestadora as informações
para execução destes procedimentos. Assim, verifica-se que
a norma permite que a prestadora se valha tão somente do
apoio da tomadora de serviços de BaaS para a realização de
tarefas acessórias aos procedimentos e controles. Assim, a
tomadora até pode ter procedimentos próprios e critérios
internos para decisões comerciais ou operacionais, e pode
implementar controles adicionais, contudo, eles não se
confundem com os controles regulatórios, que ficam sob
responsabilidade da prestadora.
Como a capacidade da tomadora em assegurar a
conformidade deverá ser verificada pela prestadora para
fins de adequado cumprimento da norma?
A prestadora deve implementar procedimentos
documentados para verificar a capacidade da tomadora.
Essa capacidade pode ser verificada mediante:
Comprovada aderência a certificações (quando exigidas
pela prestadora ou pelo BCB).
Atestada por auditoria independente.
Verificação de relatórios elaborados por empresa
especializada independente sobre procedimentos e
controles da tomadora.
Governança, riscos e responsabilidade
São vislumbrados critérios ou regras específicas para a
prestação de serviços de BaaS a serem previstos nas
políticas, estratégias e estruturas de gerenciamento de
riscos?
Sim. As instituições devem assegurar que suas políticas de
gerenciamento de riscos contenham "regras e critérios para a
prestação de serviços de BaaS", aprovadas pelo conselho de
administração ou diretoria. A norma não detalha quais são os
critérios técnicos do risco, mas exige que eles existam e cubram
a modalidade BaaS especificamente.
São vislumbradas práticas de governança específicas para
mitigar exposição a riscos na prestação/contratação de
serviços de BaaS?
Sim. A prestadora deve implementar procedimentos que
contemplem "a adoção de práticas de governança corporativa e
de gestão de riscos compatíveis com as exposições decorrentes
da contratação”, bem como designar um diretor responsável
pela observância da Resolução. Além disso, a norma determina
que a tomadora adote mecanismos para verificar se a tomadora
dos serviços possui condições adequadas para executar as
atividades contratadas. Essa verificação envolve assegurar que a
tomadora possui, por exemplo, capacidade financeira e técnica,
conformidade regulatória e contratual, etc.
Considerando que as entidades tomadoras podem auxiliar a
prestadora nos procedimentos de identificação e
qualificação de clientes, análise de risco, prevenção a fraudes
e cumprimento das obrigações de PLD/FT, a prestadora pode
estabelecer em contrato consequências pelo
descumprimento, pela tomadora, dessas atividades de
apoio?
Sim. Embora a responsabilidade perante o regulador seja da
prestadora, o contrato deve prever papéis e responsabilidades
das partes. A prestadora deve instituir mecanismos de controle
de qualidade da atuação da tomadora e estes devem estar
formalizados contratualmente, prevendo a adoção de medidas
em caso de irregularidades, incluindo a possibilidade de
suspensão da prestação dos serviços e o encerramento
antecipado do contrato. O contrato deve prever expressamente
as causas que justificam o encerramento antecipado e suas
consequências.
Governança, riscos e responsabilidade
Como a RC nº 16/2025 pode influenciar a
responsabilização da prestadora diante de eventuais
falhas da tomadora, especialmente quando esta atua
em atividades acessórias? Há risco de extensão da
responsabilidade regulatória e civil?
A Resolução nº 16/2025 é taxativa ao definir que a
instituição prestadora é responsável por garantir a
confiabilidade, segurança, sigilo e cumprimento da
legislação aplicável aos serviços , bem como pelas
políticas de PLD/FT, prevenção de fraudes e
identificação de clientes. Mesmo ao utilizar a tomadora
para tarefas acessórias, a prestadora mantém suas
responsabilidades. O contrato deve prever a
possibilidade de adoção de medidas pela prestadora
em decorrência de determinação do Banco Central.
Qual ação a prestadora deve tomar a partir do
reporte pela tomadora da contratação de terceiros
para processar dados relevantes?
A ação da prestadora deve ser pautada pela análise de
risco prévia. O contrato deve obrigar a tomadora a
notificar previamente a contratação de terceiros para
processar dados relevantes. A prestadora deve ter
parâmetros adotados para considerar a relevância
desse serviço , os quais devem estar contemplados nos
critérios para contratação da tomadora. Isso visa
assegurar o cumprimento da regulamentação vigente
sobre contratação de serviços de processamento,
armazenamento de dados e computação em nuvem.
Governança, riscos e responsabilidade
Qual é o grau de ingerência que o Banco Central pode exercer sobre a
estrutura e o conteúdo dos contratos firmados entre prestadoras de serviços
BaaS e entidades tomadoras? Há limites para essa intervenção regulatória e
que aspectos contratuais podem ser diretamente exigidos, revisados ou
invalidados pelo regulador?
O Banco Central possui ampla capacidade de intervenção. A norma estabelece
que o BCB poderá, em decisão fundamentada, vetar ou impor restrições para a
contratação de serviços de BaaS se constatar inobservância da Resolução,
estabelecendo prazo para adequação. Além disso, o BCB pode determinar a
suspensão ou o encerramento do contrato de BaaS em casos que afetem a
segurança e a higidez do Sistema Financeiro Nacional e do Sistema de
Pagamentos Brasileiro, devendo tal decisão ser precedida de manifestação da
instituição prestadora. A norma também exige permissão de acesso do BCB ao
contrato, documentação e informações sobre os serviços prestados.
Atendimento
Ao determinar que o atendimento ao cliente final pela
entidade tomadora deve ter caráter exclusivamente
acessório, a Resolução Conjunta nº 16/2025 impede que as
tomadoras realizem atendimento primário ao usuário final?
Não impede, mas impõe limites e responsabilidades. A
instituição prestadora é a responsável pelo atendimento de
demandas de seus clientes no âmbito da prestação dos serviços
BaaS. A norma permite que a instituição prestadora se valha da
entidade tomadora para o atendimento de demandas do
cliente, mas isso não exime a prestadora de sua
responsabilidade legal. O que é expressamente vedado é incluir
no objeto do contrato BaaS a prestação de serviços de
atendimento em nome da instituição prestadora na forma da
regulamentação de correspondentes no país.
Quais são os parâmetros mínimos de atendimento a clientes
que devem ser observados pela instituição prestadora de
BaaS? O que pode ser delegado à tomadora de acordo com o
parágrafo único do art. 16?
Parâmetros Mínimos: A prestadora deve assegurar a aderência à
sua "política institucional de relacionamento com clientes e
usuários" e deve instituir mecanismos de controle de qualidade
que levem em conta "indicadores de acompanhamento de
qualidade de atendimento" e "demandas e reclamações
registradas", bem como SLAs de sistemas.
Delegação: Pode-se valer da tomadora para o "atendimento de
demandas do cliente", mas a responsabilidade permanece
integralmente com a prestadora.
Remuneração
Apesar de o inciso XI do artigo 8º vedar à entidade tomadora a cobrança de
tarifa, comissão ou remuneração pelo fornecimento de produtos ou serviços
ofertados pela prestadora, ainda assim seria autorizada a remuneração indireta
da tomadora por meio de repasses feitos pela prestadora de BaaS?
Sim. A vedação é para a cobrança em seu nome (da tomadora) perante o cliente
pelo fornecimento do serviço da prestadora. Contudo, o contrato de BaaS deve
prever obrigatoriamente "a forma de remuneração entre a entidade tomadora de
serviços de BaaS e a instituição prestadora de serviços de BaaS". Portanto, a
remuneração entre as partes (repasse/comissão paga pela Prestadora à Tomadora) é
permitida e deve constar em contrato.
Transparência
É necessária a disponibilização de todos os clientes
tomadores de BaaS no site da instituição prestadora
de serviços? O impacto seria a abertura de todos os
clientes em canal público, o BCB planeja
disponibilizar uma opção de que tais informações
sejam compartilhadas somente com ele? Exemplo:
caso de contratação de prestador relevante.
Sim, é necessário disponibilizar todos os tomadores
com contratos vigentes. A norma exige manter
atualizadas as informações referentes às entidades
tomadoras com contratos vigentes "em seu sítio
eletrônico na internet, em local visível e em formato
legível" , além de informar ao BCB. Ou seja, são duas
divulgações diferentes: uma diretamente ao BCB,
através de procedimentos a serem definidos pela
autarquia em norma própria, e, ainda, no site da
instituição prestadora.
Quais são os potenciais impactos concorrenciais da
obrigação de transparência e como devem ser
interpretadas eventuais tensões com normas
concorrenciais aplicáveis?
A Resolução exige objetivamente a transparência. A
instituição prestadora deve manter atualizadas as
informações referentes às entidades tomadoras com
contratos vigentes em seu sítio eletrônico na internet,
em local visível e formato legível, com a devida
identificação e informações sobre os serviços
prestados. O texto da norma não aborda exceções
baseadas em segredo de negócio ou tensão
concorrencial, impondo o dever de publicidade dessa
relação.
O escritório é especializado em startups, fintechs,
scale up e empresas de tecnologia e inovação,
atuante nas áreas de Direito Empresarial, Direito
Tributário e Propriedade Intelectual, o Silva Lopes
Advogados possui um portfólio de clientes
espalhados em 18 estados brasileiros e 11 países.
Com sede em Porto Alegre, o escritório também
conta unidades localizadas em São Paulo,
Florianópolis e no Instituto Caldeira (também na
capital gaúcha).
Sobre o
Silva Lopes Advogados
Participe da nossa Comunidade
no WhatsApp para receber em
primeira mão todas as novidades
e atualizações regulatórias!
clique para participar
A ABBAAS (Associação Brasileira de Banking as a Service)
reúne empresas que atuam no ecossistema de BaaS, com
o objetivo de fortalecer e impulsionar esse ecossistema no
Brasil.
Nosso propósito é desenvolver o setor com base nas
melhores práticas regulatórias, promovendo inovação,
inclusão financeira e a modernização do mercado, além de
ampliar o diálogo institucional e posicionar o Brasil como
referência global em Banking as a Service.
Para saber como se associar, entre em contato
com secretariado@abbaas.org ou acesse nosso
site: https://abbaas.org/
Sobre a
Associação Brasileira de Banking as a Service
No dia 28 de novembro de 2025, o Banco Central do Brasil (BCB) e o Conselho
Monetário Nacional (CMN) publicaram a Resolução Conjunta nº 16, um marco
regulatório decisivo que define as regras e limites para a prestação de
serviços de Banking as a Service (BaaS) no país.
Esta norma surge como uma resposta ao crescimento acelerado do mercado
de embedded finance, visando trazer segurança jurídica, transparência
sistêmica e mitigar riscos operacionais na relação entre instituições
autorizadas e empresas parceiras (fintechs não reguladas, varejistas, ERPs e
marketplaces).
O QUE MUDA NO MERCADO?
A resolução formaliza e segregas os papéis de cada agente na cadeia de
valor:
Instituição Prestadora: Bancos, Bancos Digitais e Instituições de
Pagamento (IPs) que detêm a licença de funcionamento do BCB e
fornecem a "bancarização" de fundo.
Entidade Tomadora: Empresas de qualquer setor que contratam a
infraestrutura tecnológica e regulatória para ofertar serviços financeiros
aos seus clientes sob sua própria marca (white label).
A norma impacta diretamente a estruturação jurídica dos contratos de
parceria, exigindo revisões profundas em requisitos de tecnologia (APIs),
compliance preventivo e, principalmente, na jornada de contratação e oferta
dos produtos ao cliente final.
QUAIS SERVIÇOS PODEM SER OFERTADOS VIA BaaS?
A Resolução delimitou taxativamente quais produtos compõem o escopo de BaaS, eliminando zonas
cinzentas sobre o que pode ou não ser terceirizado.
O contrato deve ter como objeto exclusivamente um ou mais dos seguintes serviços:
Contas: Abertura, manutenção e
encerramento de contas de depósitos (à
vista ou poupança) e contas de pagamento
(pré-pagas e pós-pagas). Isso abrange desde
carteiras digitais até contas digitais
completas integradas a aplicativos de
terceiros.
Pagamentos: Execução de serviços de
pagamento (PIX, TED, Boletos) realizados por
meio das contas acima citadas, garantindo
que a liquidação ocorra sempre no
ambiente regulado.
Credenciamento (Adquirência): Serviços de
aceitação de instrumentos de pagamento,
permitindo que parceiros ofereçam soluções
de "maquininha" ou gateway de pagamento
aos seus estabelecimentos comerciais.
Crédito: A oferta, contratação,
administração e cobrança de operações de
crédito. Neste modelo, a Tomadora atua
como um canal de distribuição digital
eficiente, mas não assume o risco de crédito
diretamente no seu balanço.
Um ponto crucial da norma é a titularidade. As contas abertas devem ser de titularidade do
cliente final diretamente na Instituição Prestadora. O crédito concedido deve ter o cliente final
como devedor da Instituição Prestadora.
Isso significa que a Tomadora atua estritamente como canal de interface e experiência do
usuário, não podendo deter a custódia dos recursos dos clientes ou figurar como credora oficial,
salvo se possuir licença específica para tal (ex: SCD).
Art. 4º O contrato de prestação de serviços de BaaS deve ter como escopo exclusivamente um ou mais
dos seguintes serviços:
I - abertura, manutenção e encerramento de contas de:
a) depósitos à vista;
b) depósitos de poupança;
c) pagamento pré-pagas; ou
d) pagamento pós-pagas;
II - prestação de serviços de pagamento realizados por meio das contas de que trata o inciso I;
III - prestação de serviços de credenciamento à aceitação de instrumentos de pagamento em arranjos
de pagamento;
IV - prestação de serviços de operações de crédito, incluindo oferta, contratação, administração e
cobrança; e
V - outros serviços que vierem a ser incluídos pelo Banco Central
O QUE NÃO PODE SER FEITO? (RISCOS E LIMITES)
Fluxo Financeiro (Fim da "Conta Trânsito"): Talvez o
ponto de maior impacto: é vedado à Entidade Tomadora
realizar transações, recebimentos e depósitos em conta
própria de valores relacionados aos serviços prestados
aos clientes.
O fluxo do dinheiro deve ser: Cliente Final para Instituição
Prestadora. O dinheiro não pode "parar" na conta da
empresa parceira antes de ser liquidado, eliminando o
risco de confusão patrimonial em caso de falência da
Tomadora.
A Instituição Prestadora (Banco/IP) permanece como a responsável integral perante o
regulador (Banco Central) e o cliente final. Não é possível terceirizar a responsabilidade
regulatória. A Prestadora responde pela:
Confiabilidade, estabilidade e segurança cibernética dos serviços;
Prevenção à lavagem de dinheiro e ao financiamento do terrorismo (PLD/FT);
Prevenção a fraudes (monitoramento transacional);
Identificação e qualificação de clientes (procedimentos de KYC - Know Your Customer).
DUE DILIGENCE OBRIGATÓRIA NA TOMADORA
Antes de contratar uma parceira de BaaS, a Instituição Prestadora deve realizar uma
verificação robusta (Due Diligence) da capacidade da Tomadora de assegurar:
Segurança da Informação: Conformidade com a LGPD e padrões de segurança
cibernética compatíveis com o setor financeiro;
Saúde Financeira: Capacidade econômico-financeira para sustentar a operação e os
riscos de imagem;
Certificações Técnicas: Aderência a requisitos técnicos específicos que garantam a
integridade das integrações via API.
Compliance: O contrato deve prever que a Prestadora tenha acesso irrestrito a
relatórios, dados e auditorias da Tomadora. A "cegueira deliberada" por parte do Banco
fornecedor do BaaS não será tolerada pelo regulador.
DE QUEM É A RESPONSABILIDADE FINAL?
Obrigações da Entidade Tomadora na Interface (App/Site):
Informar ao cliente, de forma visível e clara, que não atua em nome da
Instituição Prestadora (diferenciando-se do correspondente bancário
tradicional, que age em nome do banco);
Deixar explicito que não é uma instituição financeira autorizada pelo
BCB (se for o caso), evitando ambiguidades;
Prestar esclarecimentos detalhados sobre a portabilidade de crédito,
portabilidade de chaves Pix e eventuais cessões de carteira de crédito.
Política de Tarifas:
A norma veda que a Tomadora cobre tarifas bancárias em seu próprio
nome.
Como deve funcionar: A tarifa referente ao produto financeiro (ex: taxa
de manutenção de conta, tarifa de TED) deve ser cobrada em nome da
Instituição Prestadora. A Tomadora pode ser remunerada por meio de
acordos comerciais com a Prestadora, mas a cobrança ao cliente final
deve ser transparente e vinculada ao serviço da instituição autorizada.
RELAÇÃO COM O CONSUMIDOR
A Resolução entrou em vigor na data de sua publicação
(28 de novembro de 2025), gerando efeitos imediatos
para o mercado. No entanto, reconhecendo a
complexidade das adaptações tecnológicas e contratuais,
o regulador estabeleceu um regime de transição.
Novos Contratos: Qualquer parceria de BaaS firmada a
partir de hoje deve seguir integralmente a norma.
Contratos Vigentes (Legado): As instituições que já
possuem parcerias de BaaS ativas na data da publicação
têm até 31 de dezembro de 2026 para se adequarem
totalmente às novas regras. Isso inclui a repactuação de
contratos, ajustes em APIs, mudanças em fluxos
financeiros e adequação de interfaces de usuário.
ENTRADA EM VIGOR E
REGIME DE TRANSIÇÃO
PONTO DE ATENÇÃO CRÍTICO
O Banco Central reservou para si a prerrogativa de vetar
contratos ou determinar a suspensão imediata de serviços de
BaaS a qualquer momento, caso constate riscos à segurança do
Sistema Financeiro Nacional (SFN) ou ao Sistema de
Pagamentos Brasileiro (SPB). A fiscalização será baseada em
risco, exigindo monitoramento constante por parte das
instituições.
O QUE MUDOU: DA CONSULTA PÚBLICA À NORMA FINAL
Tema
Consulta Pública
(2024/2025)
Texto Final da Norma
(RC 16/2025)
O que mudou?
Relação contratual
do cliente
Possível restrição de
subcredenciadores a
tomadores BaaS
Escopo dos serviços
Credenciamento
eFX (câmbio)
Iniciação de
pagamento (ITP)
Cliente tinha “relação com a
tomadora e com a prestadora por
integração de sistemas”
CP dizia expressamente que o
BC queria avaliar limitar
subcredenciadores ao modelo BaaS
Contas; pagamentos; operações de
crédito; credenciamento; “outros
serviços futuros”
Incluído de forma tímida; CP pediu
comentários sobre restringir
subcredenciadores
CP perguntou se deveria entrar como
BaaS
CP consultou sobre incluir
Agora o cliente tem relação contratual com
as duas partes, prestadora e tomadora
O texto final incluiu exclusão explícita:
subcredenciadores NÃO são BaaS (art. 3o,
parágrafo único, IV)
Mesmo escopo, porém muito mais
detalhado e com restrições expressas (ex.:
Art. 4, § 4o exige que pagamentos tenham
origem/destino nas contas da prestadora)
Mantido; mas não se integra ao regime de
arranjos e só pode ocorrer como
distribuição, não como processamento
Totalmente excluído
Excluído integralmente
Maior clareza sobre estruturação dos
contratos, além de acabar reduzindo o
risco de interpretação de representação
BC recuou da intenção de inserir
subcredenciadores no escopo de BaaS
A norma final restringe
OBRIGATORIAMENTE o fluxo
financeiro à prestadora
Norma final confirma credenciamento
apenas como “serviço distribuído”, não
operação de arranjo
BC não avançou no eFX via BaaS
BC entendeu que ITP não é BaaS
1/3
O QUE MUDOU: DA CONSULTA PÚBLICA À NORMA FINAL
Tema
Consulta Pública
(2024/2025)
Texto Final da Norma
(RC 16/2025)
O que mudou?
Correspondentes
Open Finance
Subcredenciadores
e PSR
“One provider only”
Acesso ao SCR
Contratos BaaS
Apenas referência difusa
CP só citava parcerias
em Open Finance
CP sugeria
possivelmente trazer para dentro
Proibição ampla: a tomadora não
pode ter mais de 1
prestadora
Não mencionado
Lista ampla de cláusulas
obrigatórias, mas mais genérica
Exclusão formal no
art. 3o, par. ún., I
Exclusão formal no
art. 3o, par. ún., III
Exclusão formal no
Art. 3o, par. ún., IV
A norma final aplicou que a tomadora não
pode ter mais de uma prestadora por tipo
de conta (art. 6o, II a V)
Norma final veda expressamente acesso
ao SCR pela tomadora
Texto final triplicou o nível de detalhe:
inclui vedação a subcontratação, descrição
de tarifas, governança, certificações,
incidentes, auditoria, continuidade em
resolução etc
Consulta virou
exclusão explícita
BC blindou Open
Finance do BaaS
Recuo total do BC
O tomador apenas poderá ter
mais de um provedor se prestar
mais de um serviço
Maior proteção ao sigilo bancário
Norma ficou mais detalhista e
pesada para compliance
2/3
O QUE MUDOU: DA CONSULTA PÚBLICA À NORMA FINAL
Tema
Consulta Pública
(2024/2025)
Texto Final da Norma
(RC 16/2025)
O que mudou?
Vedação de cobrar
“em nome próprio”
Vedação de receber
valores
Existia
Implícita
Mantida e ampliada
para qualquer tarifa, comissão ou
remuneração
Agora expressa no art. 8o, XIV
Consulta virou
exclusão explícita
Define que a tomadora não
recebe valores
3/3
Q&A
A nova regulação de BaaS levantou uma série de dúvidas
práticas entre empresas do setor, provedores de
infraestrutura, fintechs e instituições financeiras. Para
representar essas inquietações e contribuir para uma
compreensão mais clara do novo cenário, Silva Lopes
Advogados e ABBAAS organizaram um conjunto de
perguntas que refletem as dúvidas mais recorrentes do
mercado.
Esta seção apresenta uma curadoria dessas questões
acompanhada de análises de especialistas que vivenciam
diariamente os desafios operacionais, os ajustes exigidos
pela norma e as oportunidades que surgem a partir dela. A
combinação entre visão jurídica, técnica e prática de
mercado permite esclarecer não apenas “o que diz a regra”,
mas também “o que ela representa na operação real de
quem atua no ecossistema”.
O capítulo foi desenvolvido em parceria com a ABBAAS,
reforçando a relevância do diálogo contínuo entre regulador,
indústria e especialistas para que o novo arcabouço
regulatório seja implementado com clareza, maturidade e
segurança.
Prazos e vigência da norma
A vedação de compartilhamento de informações do
SCR tem vigência imediata? As APIs que as IFs
disponibilizam para consulta não poderão mais
existir, mesmo quando destinadas a uma melhor
análise do perfil de crédito de quem está pedindo o
empréstimo? Caso esses dados sejam transformados
(ou seja, por exemplo, já passem por um "motor de
regras" na IF), poderiam ser compartilhados?
A Resolução Conjunta nº 16 entra em vigor na data de
sua publicação (28/11/2025). Para contratos vigentes
nesta data, há prazo de adequação até 31/12/2026. Para
novos contratos, a vedação é imediata.
A norma estabelece que, para tarefas acessórias
relacionadas a crédito, "deve ser observado o sigilo
bancário estabelecido pela Lei Complementar nº 105",
ficando expressamente "vedados a disponibilização de
acesso ao Sistema de Informações de Créditos - SCR e
o fornecimento de informações contidas no SCR pela
instituição prestadora de serviços de BaaS à entidade
tomadora". Portanto, APIs que forneçam acesso ou
informações do SCR à tomadora estão vedadas.
Imediatamente, após a norma, todos os processos da
instituição devem estar adequados ou de imediato a
instituição deve tomar providências para que seus
processos sejam adequados?
A Resolução Conjunta nº 16 entra em vigor na data de
sua publicação (28/11/2025), demandando a
necessidade de, aquelas empresas que ainda não
possuem contrato vigente, realizem as adequações de
forma imediata. Em relação aos contratos já vigentes
na data da publicação da normativa, há uma janela de
adequação até 31/12/2026.
Prazos e vigência da norma
Considerando que a Resolução Conjunta nº 16/2025
(BCB/CMN) - vigente desde 28/11/2025 - veda a
contratação com entidades tomadoras cuja
nomenclatura utilize termos característicos das
instituições do Sistema Financeiro Nacional ou do
Sistema de Pagamentos Brasileiro (ou expressões
semelhantes, em português ou idioma estrangeiro), e que
a Resolução nº 17/2025 estabelece prazo de um ano para
regularização dessas situações (art. 8º, §1º), como devem
ser conciliados esses prazos?
Embora a Resolução Conjunta nº 16/2025 estabeleça um
prazo geral de adequação até 31 de dezembro de 2026 para
contratos vigentes na data de sua entrada em vigor, a
questão da nomenclatura possui tratamento específico na
Resolução Conjunta nº 17/2025. A Resolução nº 17/2025
determina que as instituições devem adequar os contratos
de parcerias firmados antes de sua vigência às regras de
vedação de nomenclatura no prazo de um ano, contado a
partir da data de sua entrada em vigor. Portanto, para o
quesito específico de adequação de termos em
nomenclatura em contratos de parceria, aplica-se o prazo de
um ano para as hipóteses em que o tomador é uma
instituição autorizada a funcionar pelo BCB, enquanto para
as demais adequações contratuais e operacionais do BaaS,
aplica-se o prazo até o final de 2026.
A norma específica Res. Cj 17 menciona o prazo para
divulgação do plano de ação e prazo para adequação da
nomenclatura. Entretanto, se essa instituição é tomadora
do serviço de BaaS o prazo para adequação seria
31/12/2026 respeitando o prazo da Res. Cj. 16 para
adequação do legado ou mantém o prazo mencionado na
Res. Cj. 17?
Depende da natureza da tomadora:
Se a Tomadora for Instituição Autorizada: A Resolução nº 17
aplica-se diretamente a "instituições autorizadas a funcionar
pelo Banco Central do Brasil". Nesse caso, ela deve seguir os
prazos da Res. 17 (Plano de adequação em 120 dias,
execução em até 1 ano).
Se a Tomadora NÃO for Instituição Autorizada: A Res. 17 não
se aplica diretamente a ela. Porém, a Res. 16 veda que a
Prestadora firme contrato de BaaS com tomadora que
utilize termos privativos em sua nomenclatura. Para
contratos de BaaS vigentes (legado), a Res. 16 dá prazo de
adequação até 31/12/2026.
Prazos e vigência da norma
Haverá prazo de adequação para novos contratos
(celebrados pela prestadora posteriormente à entrada em
vigor da norma), conforme previsto no art. 22?
Não há prazo de transição para contratos novos. O prazo de
adequação até 31 de dezembro de 2026 aplica-se
exclusivamente às instituições que tenham contrato vigente
para a prestação de serviços na data da entrada em vigor da
Resolução (que ocorre na data de sua publicação). Portanto,
novos contratos celebrados após a entrada em vigor devem
estar imediatamente aderentes à norma.
Vedação de compartilhamento de dados e fluxo financeiro
A vedação da disponibilização de acesso ao Sistema de
Informações de Créditos – SCR e o fornecimento de
informações contidas no SCR às entidades tomadoras
engloba também a apresentação de dados/scores não
brutos, mas construídos com base nas informações de
SCR?
A norma veda o "fornecimento de informações contidas no
SCR". Ela não faz distinção entre dados brutos ou
processados. Se o score ou dado apresentado revela
"informação contida no SCR", ele recai na vedação. O texto é
restritivo quanto ao conteúdo oriundo do SCR.
O compartilhamento de um range de crédito já tomado
poderia ser compartilhado? Ex. pessoa F tem um crédito
já tomado de 400 mil, podemos compartilhar o range de
crédito de 300 a 600 mil?
A vedação recai sobre o "fornecimento de informações
contidas no SCR". A norma não traz exceção explícita para
dados transformados, scores ou "ranges" derivados dessas
informações. A proibição abrange as informações contidas
na base.
A Resolução prevê "a vedação à entidade tomadora de
serviços de BaaS de realizar transações de pagamento,
recebimentos e depósitos em conta própria de valores
relacionados a serviços prestados pela instituição
prestadora de serviços de BaaS aos clientes" . Esse ponto
vedaria a possibilidade do tomador adiantar o valor do
empréstimo ao cliente final?
Sim. O contrato de BaaS deve prever a "vedação à entidade
tomadora de serviços de BaaS de realizar transações de
pagamento, recebimentos e depósitos em conta própria de
valores relacionados a serviços prestados pela instituição
prestadora". Adicionalmente, a prestação de serviços de
crédito requer que o cliente seja o devedor da operação
contratada diretamente com a instituição prestadora. O
fluxo financeiro passando pela conta própria da tomadora
(adiantamento) contraria a vedação de trânsito de valores na
conta própria da tomadora.
Vedação de compartilhamento de dados e fluxo financeiro
Em consonância com os entendimentos da Resolução 518, há vedação em um marketplace atuar como
tomador de BaaS e receber em conta de sua titularidade recursos de um cliente final a serem usados para
pagamento de fornecedores vinculados ao marketplace? Que ação seria necessária em relação a esta
conta e de que instituição (detentora da conta pagadora/detentora da conta recebedora)?
Sim, há vedação específica na Resolução 16. O art. 8º, XIV, veda à tomadora "realizar transações de pagamento,
recebimentos e depósitos em conta própria de valores relacionados a serviços prestados pela instituição
prestadora de serviços de BaaS aos clientes".
Ação Necessária: O fluxo financeiro não deve transitar pela conta própria da tomadora (Marketplace) aberta
perante o prestador de BaaS. As transações devem ter origem ou destino exclusivamente nas contas de
titularidade do cliente na instituição prestadora. O Marketplace não pode fazer a intermediação financeira em
conta própria no âmbito do contrato de BaaS.
Contudo, não há ainda nenhuma diretriz acerca de eventual alteração em relação ao formato de marketplace
“puro”, onde o usuário pagador tem relação direta com o próprio marketplace, realizando a compra e efetua o
pagamento via Pix para a conta do marketplace, e que, após receber o valor, o marketplace repassa os recursos
ao usuário recebedor. Veja-se que, neste caso, não há uma oferta de conta pelo marketplace ao usuário
recebedor, mas tão somente uma transação operada através de mandato, em que o marketplace tem
autorização para receber recursos em conta própria e repassá-lo ao usuário recebedor em prazos acordados.
Vedação de compartilhamento de dados e fluxo financeiro
Nos casos de marketplaces em que o PIX do seller deve necessariamente estar
vinculado a uma conta de pagamento fornecida pela estrutura BaaS, essa exigência
impede que o seller opere simultaneamente com mais de um parceiro BaaS?
A norma impõe restrições de exclusividade por tipo de serviço (vedação ao "multihoming"
do tomador para o mesmo serviço). É vedado à instituição prestadora formalizar contrato
com uma entidade tomadora que já possua contrato de BaaS em vigor com outra
instituição prestadora para a disponibilização do mesmo tipo de serviço (ex: contrato vigente
com outra prestadora para abertura de contas de pagamento pré-pagas). O mesmo vale
para contas de depósitos à vista e contas de pagamento pós-pagas. Logo, se o marketplace
(tomador) opera um modelo BaaS para contas de pagamento, ele não pode ter contratos
simultâneos com múltiplas prestadoras para esse mesmo serviço de contas.
Delimitação de atuação
Os ajustes para deixar claro que a tomadora não é instituição autorizada já devem ser
realizados? O que isso se diferencia de, por exemplo, colocar o rodapé informando que a
instituição é uma correspondente bancária?
Prazo: Para novos contratos, a exigência é imediata (a norma entra em vigor na publicação).
Para contratos vigentes em 28/11/2025, a adequação deve ocorrer até 31/12/2026.
Diferença para Corban: No BaaS, é vedado que a tomadora atue "em nome da instituição
prestadora" na forma de correspondente bancário. Enquanto o correspondente atua em
nome do banco, a tomadora de BaaS atua oferecendo o serviço em sua própria interface,
mas deve informar que "não é uma instituição autorizada a funcionar pelo Banco Central do
Brasil... para a prestação dos serviços contemplados no contrato". No caso do tomador de
BaaS, deve, por exemplo, apresentar aos clientes a informação de que não é uma instituição
autorizada a funcionar pelo Banco Central do Brasil, em relação à prestação dos serviços
contemplados no contrato de prestação de serviços de BaaS. Ou seja, como o tomador de
BaaS não atua em nome da instituição prestadora, ele deve deixar claro que os serviços
objeto do contrato de BaaS são prestados por uma instituição autorizada, enquanto
eventuais serviços que não exijam autorização são prestados diretamente por ele.
Delimitação de atuação
Como delimitar, no contexto de crédito, o escopo das
atividades permitidas à tomadora de serviços de BaaS de
forma a evitar sobreposição com o modelo de
correspondente bancário, especialmente em etapas como
oferta, análise, adiantamento de valores ao cliente final e
formalização contratual?
A delimitação ocorre pelas seguintes vedações e obrigações do
BaaS:
Atuação em nome próprio vs. de terceiros: É vedado
formalizar contrato com objetivo de a tomadora atuar "em
nome da instituição prestadora" (característica do
correspondente). No BaaS, a tomadora integra o serviço, mas
não pode representar a instituição, fazendo o agenciamento
de propostas, por exemplo.
Fluxo Financeiro: É vedado à tomadora realizar transações ou
depósitos em conta própria de valores relacionados aos
serviços (vedação ao adiantamento/trânsito de recursos).
Formalização: O cliente deve ser o devedor da operação
contratada com a instituição prestadora, e a prestação deve
ocorrer via canal eletrônico com integração de sistemas.
Quando a norma prevê que “a prestação dos serviços de que
trata o inciso IV (crédito) requer que o cliente seja o devedor
da operação de crédito contratada com a instituição
prestadora de serviços de BaaS”, ela está se referindo ao
cliente que está previsto na definição do art. 3º, inciso IV? Ou
seja, aquele cliente que mantém um relacionamento tanto
com a tomadora quanto com a prestadora? Se o tomador do
crédito for a prestadora de serviços de BaaS o modelo não
precisa seguir a regra?
Sim, refere-se ao cliente definido no art. 3º, inciso IV (pessoa
natural ou jurídica com relação contratual com a prestadora
para os serviços financeiros e com a tomadora para outros
serviços). A definição de "prestação de serviços de BaaS" exige a
disponibilização de serviços "ao cliente por intermédio da
entidade tomadora". Se a própria entidade parceira fosse a
tomadora do crédito (devedora), tratar-se-ia de uma operação
de crédito tradicional e direta, entre a IF e a empresa, não se
enquadrando na definição de prestação de serviços de BaaS
para terceiros.
Delimitação de atuação
Caso haja parcerias comerciais nas quais não haja integração sistêmica, mas
mero direcionamento de clientes para contratação com a instituição
autorizada, há riscos de essas parcerias serem consideradas irregulares ou
sujeitas às normas de BaaS? Como mitigar esses riscos?
Risco/Enquadramento: A prestação de serviços de BaaS é definida, entre outros
critérios, por ocorrer "por meio de canal eletrônico, utilizando a integração de
sistemas, plataformas, interfaces ou de processos". Se não houver essa integração
e for mero direcionamento, não se enquadra tecnicamente como BaaS sob a Res.
16.
Mitigação: Deve-se assegurar que a operação não configure atuação como
correspondente bancário sem a devida formalização, nem BaaS disfarçado. Se não
há integração sistêmica e o parceiro apenas indica o cliente ("finder"), deve-se
observar se há enquadramento nas normas de correspondente no país. O BaaS
exige integração eletrônica.
Governança, riscos e responsabilidade
O fato da IF ser a responsável por: I - identificação e à
qualificação dos clientes, bem como à análise do seu
perfil de risco; II - prevenção de fraudes; e III - prevenção à
lavagem de dinheiro e ao financiamento do terrorismo,
limita os poderes do tomador de fazer sua própria análise
de acordo com seus critérios internos ou de a prestadora
exigir contratualmente que controles e análises também
sejam feitos pela tomadora?
Não limita a exigência de controles, mas define a
responsabilidade final. A instituição prestadora é a
responsável pelas políticas e pela realização dos
procedimentos, enquanto a instituição tomadora é
responsável apenas por prover à prestadora as informações
para execução destes procedimentos. Assim, verifica-se que
a norma permite que a prestadora se valha tão somente do
apoio da tomadora de serviços de BaaS para a realização de
tarefas acessórias aos procedimentos e controles. Assim, a
tomadora até pode ter procedimentos próprios e critérios
internos para decisões comerciais ou operacionais, e pode
implementar controles adicionais, contudo, eles não se
confundem com os controles regulatórios, que ficam sob
responsabilidade da prestadora.
Como a capacidade da tomadora em assegurar a
conformidade deverá ser verificada pela prestadora para
fins de adequado cumprimento da norma?
A prestadora deve implementar procedimentos
documentados para verificar a capacidade da tomadora.
Essa capacidade pode ser verificada mediante:
Comprovada aderência a certificações (quando exigidas
pela prestadora ou pelo BCB).
Atestada por auditoria independente.
Verificação de relatórios elaborados por empresa
especializada independente sobre procedimentos e
controles da tomadora.
Governança, riscos e responsabilidade
São vislumbrados critérios ou regras específicas para a
prestação de serviços de BaaS a serem previstos nas
políticas, estratégias e estruturas de gerenciamento de
riscos?
Sim. As instituições devem assegurar que suas políticas de
gerenciamento de riscos contenham "regras e critérios para a
prestação de serviços de BaaS", aprovadas pelo conselho de
administração ou diretoria. A norma não detalha quais são os
critérios técnicos do risco, mas exige que eles existam e cubram
a modalidade BaaS especificamente.
São vislumbradas práticas de governança específicas para
mitigar exposição a riscos na prestação/contratação de
serviços de BaaS?
Sim. A prestadora deve implementar procedimentos que
contemplem "a adoção de práticas de governança corporativa e
de gestão de riscos compatíveis com as exposições decorrentes
da contratação”, bem como designar um diretor responsável
pela observância da Resolução. Além disso, a norma determina
que a tomadora adote mecanismos para verificar se a tomadora
dos serviços possui condições adequadas para executar as
atividades contratadas. Essa verificação envolve assegurar que a
tomadora possui, por exemplo, capacidade financeira e técnica,
conformidade regulatória e contratual, etc.
Considerando que as entidades tomadoras podem auxiliar a
prestadora nos procedimentos de identificação e
qualificação de clientes, análise de risco, prevenção a fraudes
e cumprimento das obrigações de PLD/FT, a prestadora pode
estabelecer em contrato consequências pelo
descumprimento, pela tomadora, dessas atividades de
apoio?
Sim. Embora a responsabilidade perante o regulador seja da
prestadora, o contrato deve prever papéis e responsabilidades
das partes. A prestadora deve instituir mecanismos de controle
de qualidade da atuação da tomadora e estes devem estar
formalizados contratualmente, prevendo a adoção de medidas
em caso de irregularidades, incluindo a possibilidade de
suspensão da prestação dos serviços e o encerramento
antecipado do contrato. O contrato deve prever expressamente
as causas que justificam o encerramento antecipado e suas
consequências.
Governança, riscos e responsabilidade
Como a RC nº 16/2025 pode influenciar a
responsabilização da prestadora diante de eventuais
falhas da tomadora, especialmente quando esta atua
em atividades acessórias? Há risco de extensão da
responsabilidade regulatória e civil?
A Resolução nº 16/2025 é taxativa ao definir que a
instituição prestadora é responsável por garantir a
confiabilidade, segurança, sigilo e cumprimento da
legislação aplicável aos serviços , bem como pelas
políticas de PLD/FT, prevenção de fraudes e
identificação de clientes. Mesmo ao utilizar a tomadora
para tarefas acessórias, a prestadora mantém suas
responsabilidades. O contrato deve prever a
possibilidade de adoção de medidas pela prestadora
em decorrência de determinação do Banco Central.
Qual ação a prestadora deve tomar a partir do
reporte pela tomadora da contratação de terceiros
para processar dados relevantes?
A ação da prestadora deve ser pautada pela análise de
risco prévia. O contrato deve obrigar a tomadora a
notificar previamente a contratação de terceiros para
processar dados relevantes. A prestadora deve ter
parâmetros adotados para considerar a relevância
desse serviço , os quais devem estar contemplados nos
critérios para contratação da tomadora. Isso visa
assegurar o cumprimento da regulamentação vigente
sobre contratação de serviços de processamento,
armazenamento de dados e computação em nuvem.
Governança, riscos e responsabilidade
Qual é o grau de ingerência que o Banco Central pode exercer sobre a
estrutura e o conteúdo dos contratos firmados entre prestadoras de serviços
BaaS e entidades tomadoras? Há limites para essa intervenção regulatória e
que aspectos contratuais podem ser diretamente exigidos, revisados ou
invalidados pelo regulador?
O Banco Central possui ampla capacidade de intervenção. A norma estabelece
que o BCB poderá, em decisão fundamentada, vetar ou impor restrições para a
contratação de serviços de BaaS se constatar inobservância da Resolução,
estabelecendo prazo para adequação. Além disso, o BCB pode determinar a
suspensão ou o encerramento do contrato de BaaS em casos que afetem a
segurança e a higidez do Sistema Financeiro Nacional e do Sistema de
Pagamentos Brasileiro, devendo tal decisão ser precedida de manifestação da
instituição prestadora. A norma também exige permissão de acesso do BCB ao
contrato, documentação e informações sobre os serviços prestados.
Atendimento
Ao determinar que o atendimento ao cliente final pela
entidade tomadora deve ter caráter exclusivamente
acessório, a Resolução Conjunta nº 16/2025 impede que as
tomadoras realizem atendimento primário ao usuário final?
Não impede, mas impõe limites e responsabilidades. A
instituição prestadora é a responsável pelo atendimento de
demandas de seus clientes no âmbito da prestação dos serviços
BaaS. A norma permite que a instituição prestadora se valha da
entidade tomadora para o atendimento de demandas do
cliente, mas isso não exime a prestadora de sua
responsabilidade legal. O que é expressamente vedado é incluir
no objeto do contrato BaaS a prestação de serviços de
atendimento em nome da instituição prestadora na forma da
regulamentação de correspondentes no país.
Quais são os parâmetros mínimos de atendimento a clientes
que devem ser observados pela instituição prestadora de
BaaS? O que pode ser delegado à tomadora de acordo com o
parágrafo único do art. 16?
Parâmetros Mínimos: A prestadora deve assegurar a aderência à
sua "política institucional de relacionamento com clientes e
usuários" e deve instituir mecanismos de controle de qualidade
que levem em conta "indicadores de acompanhamento de
qualidade de atendimento" e "demandas e reclamações
registradas", bem como SLAs de sistemas.
Delegação: Pode-se valer da tomadora para o "atendimento de
demandas do cliente", mas a responsabilidade permanece
integralmente com a prestadora.
Remuneração
Apesar de o inciso XI do artigo 8º vedar à entidade tomadora a cobrança de
tarifa, comissão ou remuneração pelo fornecimento de produtos ou serviços
ofertados pela prestadora, ainda assim seria autorizada a remuneração indireta
da tomadora por meio de repasses feitos pela prestadora de BaaS?
Sim. A vedação é para a cobrança em seu nome (da tomadora) perante o cliente
pelo fornecimento do serviço da prestadora. Contudo, o contrato de BaaS deve
prever obrigatoriamente "a forma de remuneração entre a entidade tomadora de
serviços de BaaS e a instituição prestadora de serviços de BaaS". Portanto, a
remuneração entre as partes (repasse/comissão paga pela Prestadora à Tomadora) é
permitida e deve constar em contrato.
Transparência
É necessária a disponibilização de todos os clientes
tomadores de BaaS no site da instituição prestadora
de serviços? O impacto seria a abertura de todos os
clientes em canal público, o BCB planeja
disponibilizar uma opção de que tais informações
sejam compartilhadas somente com ele? Exemplo:
caso de contratação de prestador relevante.
Sim, é necessário disponibilizar todos os tomadores
com contratos vigentes. A norma exige manter
atualizadas as informações referentes às entidades
tomadoras com contratos vigentes "em seu sítio
eletrônico na internet, em local visível e em formato
legível" , além de informar ao BCB. Ou seja, são duas
divulgações diferentes: uma diretamente ao BCB,
através de procedimentos a serem definidos pela
autarquia em norma própria, e, ainda, no site da
instituição prestadora.
Quais são os potenciais impactos concorrenciais da
obrigação de transparência e como devem ser
interpretadas eventuais tensões com normas
concorrenciais aplicáveis?
A Resolução exige objetivamente a transparência. A
instituição prestadora deve manter atualizadas as
informações referentes às entidades tomadoras com
contratos vigentes em seu sítio eletrônico na internet,
em local visível e formato legível, com a devida
identificação e informações sobre os serviços
prestados. O texto da norma não aborda exceções
baseadas em segredo de negócio ou tensão
concorrencial, impondo o dever de publicidade dessa
relação.
O escritório é especializado em startups, fintechs,
scale up e empresas de tecnologia e inovação,
atuante nas áreas de Direito Empresarial, Direito
Tributário e Propriedade Intelectual, o Silva Lopes
Advogados possui um portfólio de clientes
espalhados em 18 estados brasileiros e 11 países.
Com sede em Porto Alegre, o escritório também
conta unidades localizadas em São Paulo,
Florianópolis e no Instituto Caldeira (também na
capital gaúcha).
Sobre o
Silva Lopes Advogados
Participe da nossa Comunidade
no WhatsApp para receber em
primeira mão todas as novidades
e atualizações regulatórias!
clique para participar
A ABBAAS (Associação Brasileira de Banking as a Service)
reúne empresas que atuam no ecossistema de BaaS, com
o objetivo de fortalecer e impulsionar esse ecossistema no
Brasil.
Nosso propósito é desenvolver o setor com base nas
melhores práticas regulatórias, promovendo inovação,
inclusão financeira e a modernização do mercado, além de
ampliar o diálogo institucional e posicionar o Brasil como
referência global em Banking as a Service.
Para saber como se associar, entre em contato
com secretariado@abbaas.org ou acesse nosso
site: https://abbaas.org/
Sobre a
Associação Brasileira de Banking as a Service
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.
Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.
Acesso Exclusivo para Assinantes
Cadastre-se ou faça login com sua conta do Radar Finsiders Brasil para visualizar esta regulação na íntegra, fazer download dos arquivos e ter acesso a relatórios exclusivos do mercado financeiro.
