A Resolução Conjunta nº 16, de 28 de novembro de 2025 (“Resolução Conjunta 16”), editada conjuntamente pelo Conselho Monetário Nacional (“CMN”) e pelo Banco Central do Brasil (“BCB”), representa um marco na regulamentação da prestação de serviços de Banking as a Service (“BaaS”) no país, direcionado às instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo BCB.

A norma surge na esteira do crescimento acelerado de modelos de “banco como serviço” no país, muitas vezes estruturados em zona cinzenta regulatória, e visa mitigar riscos de transparência, fragilidades de governança e lacunas em prevenção à lavagem de dinheiro e financiamento do terrorismo (“PLD/FT”), em linha com a agenda recente de reforço da integridade do Sistema Financeiro Nacional (“SFN”).

A Resolução Conjunta 16, de início, traz uma delimitação conceitual e define prestação de serviços de BaaS como a contratação entre instituição prestadora (instituição autorizada pelo BC) e entidade tomadora (pessoa jurídica estabelecida no Brasil) para que determinados serviços financeiros e de pagamento sejam disponibilizados aos clientes desta entidade tomadora, por seu intermédio. Também exclui, de forma expressa, a atuação de correspondentes bancários no país, os contratos de processamento e armazenamento de dados e computação em nuvem, as parcerias no âmbito do Open Finance e as atividades de subcredenciadores e prestadores de serviço de rede no SFN da definição de BaaS.

Além disso, a Resolução Conjunta nº 16 restringe o BaaS a um rol específico de serviços:

• abertura, manutenção e encerramento de contas de depósitos à vista, de poupança, e pagamento pré e pós-pagas;
• prestação de serviços de pagamento realizados por meio dessas contas;
• prestação de serviços de credenciamento à aceitação de instrumentos de pagamento; e
• serviços relacionados a operações de crédito, abrangendo oferta, contratação, administração e cobrança.

Importante destacar que, em todos os casos, o cliente deve manter relação contratual direta com a instituição prestadora de BaaS. Assim, as contas bancárias devem ser de sua titularidade nessa instituição, e as transações devem ter como origem ou destino exclusivamente essas contas, tendo o próprio cliente como remetente/destinatário. Trata-se de importante avanço regulatório, que confere maior robustez e segurança ao SFN, evitando a implementação de estruturas como as “contas-bolsão”, em que as entidades tomadoras mantinham conta bancária junto à prestadora, em seu próprio nome, movimentando dinheiro de seus clientes de forma não identificada – prática que foi amplamente utilizada para lavagem de dinheiro e outras atividades ilícitas no Brasil.

Um bloco central da regulamentação trata das condições de contratação, governança e gestão de riscos. As instituições prestadoras devem incorporar o BaaS às suas políticas, estratégias e estruturas de gerenciamento de riscos já exigidas pela regulação, e estabelecer critérios específicos para a contratação de entidades tomadoras. Antes da contratação e ao longo da relação, exige-se a realização de due diligence robusta sobre a tomadora, contemplando capacidade técnica e financeira, observância a requisitos de segurança da informação, confidencialidade e integridade de dados, aderência a certificações eventualmente requeridas, qualidade de controles de acesso e recursos de gestão que permitam o monitoramento contínuo dos serviços prestados.

No plano contratual, a Resolução Conjunta nº 16 estabelece conteúdo mínimo detalhado para os contratos de BaaS, incluindo definição precisa de objeto, papéis e responsabilidades das partes, forma de remuneração, medidas de segurança para tratamento de dados, mecanismos de acesso a informações pela instituição prestadora, obrigação de comunicação prévia sobre uso de terceiros relevantes para processamento ou armazenamento de dados, regras para tratamento de demandas de clientes e disciplina para hipóteses de encerramento da relação contratual e de decretação de regimes especiais pela autoridade supervisora.

Destaca-se a vedação à entidade tomadora de cobrar tarifas ou outras remunerações em nome da instituição prestadora pelos produtos e serviços por ela ofertados, bem como a proibição de subcontratação dos serviços enquadrados como BaaS. A norma também impede que esses contratos sejam utilizados, na prática, para replicar a figura do correspondente no país, reforçando que, no arranjo de BaaS, cada parte atua em nome próprio, ainda que interdependente.

Há ainda vedações relevantes que impactam diretamente a estrutura de parcerias no mercado. A instituição prestadora não pode contratar BaaS com entidade tomadora que mantenha contrato de BaaS em vigor com outra prestadora, para a disponibilização de serviços de abertura, manutenção e encerramento de contas, sejam elas de depósitos à vista, poupança ou de pagamento pré ou pós-pagas, incluídos os serviços de pagamento a elas associados, salvo quando se tratar de instituições de um mesmo conglomerado prudencial. Busca-se, assim, evitar estruturas de múltiplas camadas (“cadeias” de BaaS) que dificultem a supervisão e ampliem o risco operacional. Também é vedado contratar BaaS com entidade tomadora cuja denominação utilize termos característicos de instituições SFN ou do Sistema de Pagamentos Brasileiro (“SPB”), a não ser que ela própria seja instituição autorizada, reforçando a proteção ao consumidor e coibindo a impressão de que a tomadora é um “quase banco”.

No campo das responsabilidades regulatórias, a resolução reafirma a centralidade da instituição prestadora de serviços de BaaS. Cabe a ela garantir a confiabilidade, segurança e sigilo dos serviços prestados, bem como o cumprimento integral da legislação e regulamentação aplicáveis, inclusive em temas de controles internos, gestão de riscos, crédito e relacionamento com clientes. Em matéria de PLD/FT e prevenção a fraudes, a prestadora é responsável pela política, procedimentos e controles. Essa medida fortalece a capacidade de supervisão do BCB, que mantém contato mais direto e estreito com as instituições prestadoras reguladas, ao passo que tem pouca ingerência contato com as inúmeras instituições tomadoras, que muitas vezes operam na forma de fintechs com negócios pouco conhecidos e definidos.

O relacionamento com o cliente é outro eixo disciplinado. A instituição prestadora deve assegurar que sua identificação como efetiva prestadora dos serviços financeiros e de pagamento seja clara e visível em todos os canais, contratos, documentos e instrumentos de pagamento, evitando confusão com a entidade tomadora. A esta, por sua vez, cabe informar que não é instituição autorizada pelo BCB, quando aplicável, e garantir transparência sobre tarifas cobradas pela prestadora.

Quanto ao atendimento, a prestadora é a responsável final pela tratativa das demandas dos clientes, podendo se apoiar operacionalmente na tomadora, mas mantendo a obrigação de garantir qualidade e tempestividade das respostas.

No que diz respeito a mecanismos de acompanhamento, controle e supervisão, a Resolução Conjunta nº 16 exige que prestadoras e, quando aplicável, tomadoras instituam processos, testes, métricas e indicadores específicos para monitorar a efetividade do cumprimento da norma e identificar deficiências, com testes periódicos, ao menos anuais, pela auditoria interna. A prestadora deve implementar controles de qualidade da atuação da tomadora, com indicadores de atendimento e de nível de serviço dos sistemas integrados, e prever contratualmente medidas proporcionais em caso de irregularidades, incluindo suspensão de serviços e encerramento antecipado do contrato. O BCB, por sua vez, passa a contar com poderes expressos para vetar ou restringir contratos de BaaS, determinar sua suspensão ou encerramento quando a prestação colocar em risco a segurança e a higidez do SFN ou do SPB.

A norma entra em vigor na data da publicação, mas concede prazo até 31 de dezembro de 2026 para que instituições com contratos já vigentes se adaptem às novas exigências.

Nossa equipe acompanha de perto a implementação da Resolução Conjunta nº 16/2025 e permanece à disposição para analisar os impactos específicos sobre modelos de BaaS e discutir oportunidades estratégicas decorrentes do novo marco regulatório.