Fintechs

Guia completo de como se adequar às exigências para a contratar ou prestar o serviço de BaaS (Banking as a Service) da Resolução BCB nº 16 de 2025

Escrito por Ketlen Gomes, advogada especializada em regulatório para empresas de tecnologia e fintechs na NDM Advogados.

Há mais de 10 anos oferecemos assessoria jurídica e contábil completa para empresas tech crescerem com segurança e poderem focar no que importa.

Atualizado em 08/12/2025

Nos últimos anos, o modelo Banking as a Service (BaaS) se tornou peça-chave do ecossistema financeiro brasileiro: varejistas, fintechs, marketplaces e diversas plataformas digitais passaram a oferecer contas, cartões, crédito e pagamentos “embutidos” em suas jornadas, usando a infraestrutura regulada de Instituições Financeiras ou de Pagamento.

Esse crescimento trouxe ganhos de inclusão e inovação, mas também riscos: assimetria de informações para o cliente final (que muitas vezes não sabe qual é o “banco por trás”), dúvidas sobre responsabilidades em casos de fraude, incidentes de dados, falhas operacionais e uso indevido de nomes e marcas típicas de Instituições Financeiras.

A Consulta Pública 108/2024 já sinalizava que o Banco Central caminharia para uma regulação própria de BaaS.

A Resolução Conjunta nº 16, de 28 de novembro de 2025, inaugura o primeiro marco regulatório específico para Banking as a Service (BaaS) no Brasil, ao disciplinar como Instituições Financeiras, Instituições de Pagamento e demais instituições autorizadas pelo Banco Central podem estruturar esse modelo de negócios.

A Resolução Conjunta nº 16 é, na prática, a consolidação desse processo: ela transforma o BaaS em um modelo regulado, com definição clara de papéis, limites, responsabilidades e requisitos de governança.

Figuras do Modelo BaaS (Banking as a Service)

A norma define quatro figuras centrais (art. 3º):

  • Instituição Prestadora de Serviços de BaaS →  É a instituição autorizada pelo Banco Central (banco, instituição de pagamento, etc.) que oferece os serviços financeiros e de pagamento.
  • Entidade Tomadora de Serviços de BaaS →  É a empresa (pessoa jurídica estabelecida no Brasil) que contrata a instituição prestadora para que, disponibilize aos seus clientes os serviços financeiros e de pagamento.
  • Cliente → É a pessoa física ou jurídica que tem relação contratual com a instituição prestadora pelos serviços financeiros (conta, pagamentos, crédito, etc.), e assim, simultaneamente, tem relação contratual com a entidade tomadora por outros serviços.

O que não é BaaS ?

A Resolução Conjunta nº 16 fez questão de deixar claro que nem toda parceria entre instituição regulada e empresa de tecnologia é BaaS. O art. 3º, parágrafo único, lista alguns modelos que ficam fora da norma e que continuam sendo regulados por regras próprias.

  • Correspondentes no país → Os correspondentes no país são empresas contratadas por instituições financeiras para realizar atendimento a clientes em nome da instituição, em pontos físicos ou digitais, conforme a regulamentação específica (Resolução CMN nº 4.935/2021).
  • Prestadores de processamento, armazenamento de dados e computação em nuvem → Se a instituição regulada só entrega APIs e quem as consome é outra instituição regulada que usa isso internamente, sem oferecer serviços ao seu cliente final, também não estamos falando de BaaS.
  • Parcerias no âmbito do Open Finance → O Open Finance é um ecossistema próprio, com regras específicas de compartilhamento de dados (mediante consentimento do cliente), iniciação de transações de pagamento e de padrões técnicos, governança e responsabilidades dos participantes. No BaaS, a tomadora usa a infraestrutura da prestadora para oferecer produtos da prestadora aos seus próprios clientes (contas, pagamentos, crédito, credenciamento etc.). Já no Open Finance, o foco é interoperabilidade e troca de informações entre instituições já reguladas.
  • Subcredenciadores → São figuras que participam do arranjo de pagamento e que desempenham atividades relacionadas à captação de transações e ao credenciamento de estabelecimentos comerciais online ou digitais. Diante disso, o Banco Central do Brasil considerou que as regras aplicáveis e a mudança de liquidação centralizada (Resolução BCB nº 522/25) são suficientes até o presente momento para garantir segurança jurídica ao mercado financeiro.

O Banco Central do Brasil reforçou que a lista de figuras que não são BaaS não é exaustiva e a outros modelos que podem seguir a intenção do BaaS como as PSVAS (Prestadoras de Serviços de Ativos Virtuais) e recomenda-se que utilizem as exigências apresentadas na Resolução BCB nº 16 como parâmetro para exigir obrigações e direito das partes envolvidas.

Como obter autorização para  Sociedades Prestadoras de Serviços de Ativos Virtuais (PSAVs/Exchanges), Resolução BCB nº 519, 520 e 521 de 2025

O que pode (e o que não pode) ser oferecido via Banking as a Service

O art. 4º da Resolução BCB nº 16/2025 delimita o escopo que é permitido e regulado a ser seguido como uma contratação de BaaS, os quais são:

Contas – abertura, manutenção e encerramento de:

  • conta de depósitos à vista;
  • conta de poupança;
  • conta de pagamento pré-paga;
  • conta de pagamento pós-paga.

Os serviços de pagamento realizados por meio dessas contas serão considerados uma extensão das atividades de manutenção das contas e poderão ser ofertados na modalidade de BaaS. Outro ponto mencionado que será permitido é o credenciamento para aceitação de instrumentos de pagamento (serviços típicos de adquirência).

As operações de crédito , como a oferta, contratação, administração e cobrança também poderão ser serviços ofertados e contratados pelos tomadores de serviços.

Alguns pilares críticos:

  • A conta é sempre do cliente na instituição prestadora: O § 2º do art. 4º exige que as contas sejam de titularidade do cliente na instituição prestadora. Isso, na prática, afasta o uso de “contas-bolsão” em nome da tomadora para concentrar recursos de vários clientes, prática que vinha preocupando o regulador.
  • Fluxo de pagamentos: As transações de pagamento devem ter como origem ou destino exclusivamente as contas do cliente na instituição prestadora (art. 4º, §§ 3º e 4º). Isso reforça a rastreabilidade e o alinhamento com os arranjos de pagamento regulados.
  • Crédito: No caso de operações de crédito, o cliente deve ser o devedor perante a instituição prestadora (art. 4º, § 5º). A tomadora não pode “emprestar em seu próprio nome” usando a infraestrutura do banco, isso seria atividade privativa de instituição financeira.

Serviços fora do art. 4º não são BaaS. Isso significa que, se uma instituição contratar quaisquer serviços financeiros ou de pagamento que não estejam listados nos incisos I a V deste artigo, o contrato resultante não se sujeita à Resolução Conjunta nº 16, não é juridicamente enquadrado como BaaS e, portanto, não pode ser ofertado ou comunicado ao mercado como uma solução de “Banking as a Service”.

Atenção: Restrições nas Contratações

A norma deixa bem evidente que é proibido firmar contrato de BaaS com o objetivo de a tomadora atuar, de fato, como correspondente da instituição prestadora (art. 6º, I). Ou seja, não é permitido usar o rótulo de BaaS para driblar a regulamentação de correspondentes.

O tomador de serviços poderá ter mais um prestador de serviços de BaaS desde que seja para produtos distintos, cada um dos serviços financeiros terá que ter apenas 1 prestadora de serviços de BaaS. Na prática, isso força empresas tomadoras a escolherem um parceiro principal por tipo de conta, reduzindo estruturas de multi-banking para o mesmo produto.

A tomadora não pode empregar, em sua denominação, termos próprios das instituições do Sistema Financeiro Nacional (SFN) ou do Sistema de Pagamentos Brasileiro  (SPB) (como “banco”, “financeira”, “cooperativa de crédito”, etc.), em português ou em outros idiomas, salvo se ela mesma for instituição autorizada (art. 6º, VI). Essa medida conversa com discussões anteriores do BC sobre o uso de denominações que possam confundir o consumidor quanto à natureza regulatória da empresa e com a Resolução BCB nº 17/2025.

guia completo para fintech de crédito fintech e e-financeira

Governança, Risco e Due Diligence da Tomadora de Serviços de BaaS

A Resolução Conjunta nº 16 deixa claro que BaaS não é apenas um contrato comercial ou tecnológico é um modelo que precisa estar integrado ao arcabouço de gestão de riscos e governança da instituição prestadora. É isso que os arts. 5º e 7º fazem: exigem que o BaaS esteja dentro das políticas institucionais de risco, compliance, operacional, tecnologia e continuidade de negócios.

O art. 5º determina que a instituição prestadora incorpore critérios específicos para a prestação de BaaS nas suas políticas, estratégias e estruturas de gerenciamento de riscos exigidas pela regulamentação vigente. Em outras palavras, BaaS passa a ser um risco mapeado formalmente, com apetite, limites, controles e indicadores próprios, não é algo tratado à margem da governança. 

Quando a entidade tomadora também for instituição autorizada pelo Banco Central, a exigência se duplica, pois as duas devem refletir essas regras em suas estruturas de risco. Essas políticas precisam ser aprovadas pelo conselho de administração ou, na ausência deste, pela diretoria, o que eleva o tema à alta administração e reforça a responsabilidade dos administradores sobre o modelo.

Já o art. 7º funciona como um verdadeiro roteiro de due diligence e monitoramento contínuo da tomadora. A instituição prestadora deve implementar procedimentos que avaliem, de forma prévia e recorrente, se a entidade tomadora é capaz de sustentar o modelo de BaaS com segurança. Essa avaliação abrange, no mínimo:

PilarO que a norma exige
Implicações práticas para a instituição prestadora
Políticas e estruturas de risco (art. 5º)Incluir regras e critérios específicos para BaaS nas políticas, estratégias e estruturas de gerenciamento de riscos, com aprovação do conselho de administração ou diretoria.Criar ou ajustar políticas de risco, compliance, operacional, tecnologia e PLD/FT para tratar BaaS como um risco mapeado, com apetite, limites e controles próprios.
Tomadora também autorizada (art. 5º, §1º)Quando a tomadora também for instituição autorizada pelo BC, ambas devem refletir essas regras em suas estruturas de risco.Alinhar políticas entre prestadora e tomadora do mesmo ecossistema, garantindo visão convergente de riscos, responsabilidades e limites do arranjo.
Governança e gestão de riscos da relação (art. 7º, I)Adoção de práticas de governança e gestão de riscos compatíveis com as exposições decorrentes do contrato de BaaS.Tratar BaaS como relacionamento material de terceiros: com responsáveis nomeados, comitês, indicadores, planos de ação e reporte à alta administração.
Due diligence da tomadora (art. 7º, II, “a” a “h”)Verificar capacidade da tomadora em: cumprir legislação e contratos; garantir segurança da informação; manter controles de acesso; sustentar operação; preservar dados; transferir informações; manter certificações e estrutura financeira/técnica.Estruturar um “KYC da tomadora”: checklists, análises documentais, visitas (quando cabível), avaliação de InfoSec, revisão de contratos, análise econômico-financeira e de modelo de negócio.
Recursos de gestão e monitoramento (art. 7º, II, “f” e §2º)Tomadora deve prover informações e recursos de gestão que permitam monitorar os serviços (SLA, disponibilidade, incidentes, etc.), com acesso da prestadora a dados e informações relevantes.Exigir dashboards, relatórios periódicos, trilhas de auditoria, indicadores de desempenho e disponibilidade, integrados à rotina de acompanhamento da prestadora.
Documentação e atualização contínua (art. 7º, §1º)Procedimentos de avaliação e monitoramento devem ser documentados e permanentemente atualizados.Manter dossiês da tomadora, registrar análises, pareceres e decisões, revisar periodicamente o risco da relação e atualizar a documentação sempre que houver mudanças relevantes.
Proporcionalidade (art. 7º, §4º)Procedimentos devem ser compatíveis com natureza, porte, complexidade, criticidade, relevância, estrutura, perfil de risco e modelo de negócio da tomadora.Calibrar o nível de rigor: operações maiores, mais críticas ou com escopo mais amplo exigem due diligence e monitoramento mais profundos e frequentes.
Certificações e auditoria independente (art. 7º, §5º)Capacidade da tomadora pode ser comprovada por aderência a certificações ou atestada por auditoria independente.Usar certificações (ex.: segurança da informação) e relatórios de auditoria como insumos formais para a avaliação, sem substituir o julgamento da prestadora.
Competências internas da prestadora (art. 7º, §3º)Prestadora deve possuir recursos e competências necessários para a adequada gestão do contrato, análise das informações e uso doTer equipe qualificada (risco, jurídico, compliance, técnico e negócios) para interpretar dados, identificar desvios, decidir sobre medidas corretivas e, se necessário, rever ou encerrar a parceria.

A norma ainda reforça que esses procedimentos devem ser compatíveis com a natureza, o porte, a complexidade, a criticidade, a relevância, a estrutura, o perfil de risco e o modelo de negócio da tomadora (art. 7º, § 4º), introduzindo o princípio da proporcionalidade: uma grande plataforma com milhões de clientes e forte dependência tecnológica exige um nível de escrutínio bem diferente de uma operação menor e menos crítica.

Toda essa análise deve ser documentada e permanentemente atualizada (art. 7º, § 1º), formando um dossiê vivo da relação com a tomadora, e a instituição prestadora precisa ter recursos e competências internas para interpretar essas informações e utilizá‑las na gestão do contrato (art. 7º, § 3º). 

A norma ainda admite que a verificação da capacidade da tomadora possa ser apoiada em certificações reconhecidas ou em auditoria independente (art. 7º, § 5º), mas sempre sob responsabilidade final da prestadora.

Em resumo, a Resolução transforma o relacionamento com a tomadora em um relacionamento de risco estruturado, iniciando antes de assinarem o contrato e ao longo de toda a sua vigência, a instituição prestadora deve tratar a tomadora como um ponto crítico do seu ecossistema de riscos, com processos formais de due diligence, monitoramento, documentação e revisão periódica, aprovados pela alta administração e integrados às políticas corporativas.

COMO IDENTIFICAR RISCOS OPERACIONAIS NA SUA EMPRESA

O contrato de BaaS: cláusulas mínimas obrigatórias

O art. 8º funciona como um “manual de montagem” do contrato de BaaS, ou seja, ele menciona exatamente o que não pode faltar para que a relação entre instituição prestadora e entidade tomadora esteja aderente à Resolução Conjunta nº 16.

Checklist: O que precisa conter no seu contrato de Baas

☐ Objeto claramente descrito (serviços do art. 4º) 

☐ Papéis e responsabilidades definidos (incluindo deveres de informação e compartilhamento de dados) 

☐ Modelo de remuneração, critérios e prazos 

☐ Hipóteses de rescisão antecipada e suas consequências

☐ Medidas de segurança para dados na tomadora 

☐ Acesso da prestadora a informações, certificações e relatórios 

☐ Acesso a recursos de gestão/monitoramento (SLAs, relatórios, painéis) 

☐ Cláusulas sobre notificação de incidentes e medidas de mitigação

☐ Obrigação de notificação prévia à prestadora para contratação de terceiros relevantes 

☐ Critérios de relevância alinhados às políticas de risco e às regras de nuvem/outsourcing da prestadora

☐ Acesso do BC ao contrato, dados, procedimentos e sistemas ligados ao BaaS 

☐ Previsão de adoção de medidas pela prestadora conforme determinação do BC

☐ Procedimentos para tratamento de demandas do cliente 

☐ Vedação à tomadora cobrar em seu próprio nome por serviços da prestadora 

☐ Cláusulas de transparência sobre tarifas 

☐ Dever de informar que a tomadora não atua em nome da prestadora e, quando for o caso, que não é instituição autorizada pelo BC

☐ Declaração de ciência da tomadora sobre riscos de realizar operações privativas 

☐ Vedação de movimentar valores em conta própria relacionados aos serviços da prestadora 

☐ Vedação à subcontratação dos serviços do art. 4º 

☐ Exclusão de atendimento em nome da prestadora do objeto contratual (sem “correspondente disfarçado”)

☐ Regras específicas para regime de resolução da prestadora (acesso do responsável, aviso prévio de interrupção, possibilidade de prorrogação) 

☐ Regras para encerramento da parceria, com definição sobre continuidade ou não dos serviços aos clientes 

☐ Cláusulas de transparência ao cliente e opção de encerramento de relacionamento com prestadora e/ou tomadora 

☐ Garantia de que a relação não será barreira à portabilidade de crédito e à comunicação em caso de cessão de crédito.

Prazos de adequação 

A Resolução entra em vigor na data de sua publicação (art. 25), hoje dia 28 de novembro de 2025. No entanto, temos um período de adaptação, no qual as Instituições que já tiverem contratos de serviços abrangidos pela norma precisam se adaptar até 31 de dezembro de 2026 (art. 22).

Conclusão: Direcionamento Regulatório 

A Resolução Conjunta nº 16/2025 consolida o entendimento do Banco Central de que o BaaS veio para ficar, mas não pode operar em “zona cinzenta” regulatória. Ao definir com precisão quem faz o quê, o que pode ser oferecido, como os riscos devem ser geridos e como o cliente deve ser informado, a norma tende a:

  • aumentar a segurança jurídica do modelo;
  • proteger o consumidor final;
  • mitigar riscos operacionais e de imagem; e
  • elevar a barra de governança e compliance para prestadoras e tomadoras.

Para quem já atua em BaaS, o período até 31 de dezembro de 2026 é, ao mesmo tempo, desafio e oportunidade, quem souber transformar exigências regulatórias em oferta mais robusta, transparente e confiável provavelmente sairá na frente em um mercado que tende a ficar mais seletivo, profissional e supervisionado.

 Vale destacar que a atuação como Instituição Prestadora de Serviços de BaaS impacta diretamente o capital regulatório exigido. Em termos práticos, isso pode representar um aumento de capital na faixa de R$ 2.500.000,00 (dois milhões e quinhentos mil reais) a R$ 5.000.000,00 (cinco milhões de reais), a depender do caso concreto e do enquadramento regulatório da instituição.

Por isso, se houver interesse em ofertar BaaS, é fortemente recomendável contar com apoio jurídico especializado, para avaliar os impactos regulatórios, de capital e de governança antes da implementação do modelo.

Nós da NDM Advogados somos um escritório especializado em Direito Regulatório e Fintechs, com atuação estratégica no assessoramento jurídico de Instituições Financeiras e de Pagamento, desde a estruturação societária e regulatória até o processo completo de autorização junto ao Banco Central.

Nossa equipe combina expertise técnica e visão de negócio, auxiliando fintechs e empresas de tecnologia a crescerem com segurança jurídica, eficiência regulatória e posicionamento competitivo no mercado financeiro, entre em contato conosco.

Por Ketlen Gomes

Advogada Especialista em Regulatório para Fintechs

Quer conversar com especialistas que entendem do seu negócio? Entre em contato com a NDM pelo nosso WhatsApp!

NDM Advogados especializados em fintechs e empresas de tecnologia
Compartilhe esse conteúdo

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Você também pode se interessar

Fique por dentro das nossas novidades!

Inscreva-se para receber atualizações exclusivas.

Entre em
contato conosco

Estamos prontos para ajudar sua startup a crescer. Agende uma consulta e saiba mais!

Estamos prontos para ajudar sua startup a crescer. Agende uma consulta e saiba mais!