No dia 28 de novembro de 2025, o Banco Central do Brasil (“BC”) e o Conselho Monetário Nacional (“CMN”) publicaram a Resolução Conjunta nº 16, com o objetivo de regulamentar a prestação de serviços de “Banking as a Service” (“BaaS”) por parte das instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo BC.
As novas regras criam um regime regulatório específico para a prestação de serviços de BaaS por instituições financeiras, instituições de pagamento e demais entidades autorizadas pelo BC. O normativo delimita o escopo de serviços elegíveis, fixa responsabilidades regulatórias, impõe requisitos de governança, segurança e monitoramento, e disciplina a relação contratual entre a instituição prestadora e a entidade tomadora.
A seguir, destacamos os aspectos mais relevantes da Resolução Conjunta nº 16.
Definições
| Prestação de serviços de BaaS |
Consiste na celebração de contrato entre a instituição prestadora de serviços de BaaS e a entidade tomadora de serviços de BaaS para que os serviços financeiros e de pagamento específicos sejam disponibilizados ao cliente por intermédio da entidade tomadora de serviços de BaaS; não se inserem nessa definição as seguintes combinações operacionais:
- prestação de serviços de correspondentes no Brasil;
- prestação de serviços de processamento e armazenamento de dados e de computação em nuvem;
- parcerias no Open Finance; e
- atividades desempenhadas pelos subcredenciadores e prestadores de serviço de rede, na forma da regulamentação dos arranjos de pagamento integrantes do Sistema de Pagamentos Brasileiro.
|
| Instituição prestadora de BaaS |
São as instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo BC que firmam contratos com entidades tomadoras de serviços de BaaS para prestação dos serviços financeiros ou de pagamento específicos ao cliente. |
| Entidade tomadora de BaaS |
São pessoas jurídicas legalmente estabelecidas no Brasil para cujos clientes são disponibilizados os serviços financeiros e de pagamento específicos, prestados nos termos de contrato firmado com a instituição prestadora de serviços de BaaS. |
| Cliente |
É a pessoa natural ou jurídica que possua relação contratual com a:
- instituição prestadora de BaaS para prestação dos serviços financeiros e de pagamento específicos; e
- entidade tomadora de BaaS para prestação de outros serviços.
|
Prestadores de BaaS
As instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo BC estão habilitadas a atuar como prestadoras de BaaS, desde que observem estes requisitos:
- contem com autorização de funcionamento concedida pelo BC;
- a sua prestação insira-se entre as operações, atividades e serviços previstos na regulamentação do segmento em que atuam, no caso de instituições cuja disciplina contemple rol exaustivo de operações, atividades e serviços; e
- atendam à legislação e à regulamentação vigentes para o desempenho de tais operações, atividades e serviços.
Os serviços serão prestados por meio de canal eletrônico, utilizando a integração de sistemas, plataformas, interfaces ou de processos entre a instituição prestadora de serviços de BaaS e a entidade tomadora de serviços de BaaS, observados os procedimentos definidos contratualmente, bem como o disposto na Resolução Conjunta nº 16, na legislação e na regulamentação em vigor.
Escopo de Serviços de BaaS
| Escopo de Serviços de BaaS |
Observação |
| Abertura, manutenção e encerramento de contas de depósitos à vista, depósitos de poupança, pagamento pré-pagas ou pagamento pós-pagas. |
Para a prestação dos serviços de abertura, manutenção e encerramento de contas, tais contas devem ser de titularidade do cliente na instituição prestadora de BaaS. |
| Prestação de serviços de pagamento realizados por meio das contas de depósitos à vista, depósitos de poupança, pagamento pré-pagas ou pagamento pós-pagas. |
Na prestação dos serviços de pagamento, as transações de pagamento devem ter como origem ou destino exclusivamente as contas de titularidade do cliente na instituição prestadora de BaaS. |
| Prestação de serviços de credenciamento à aceitação de instrumentos de pagamento em arranjos de pagamento. |
Os estabelecimentos credenciados deverão ser clientes diretos da instituição de prestadora de BaaS. |
| Prestação de serviços de operações de crédito, incluindo oferta, contratação, administração e cobrança. |
A prestação dos serviços requer que o cliente seja o devedor da operação de crédito contratada com a instituição prestadora de BaaS. |
| Outros serviços que vierem a ser incluídos. |
|
Contratação dos Serviços de BaaS
| Políticas, estratégias e estruturas |
As prestadoras de BaaS devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos requeridas na regulamentação em vigor contenham regras e critérios para a prestação de serviços de BaaS.
- Caso a instituição prestadora de BaaS e a entidade tomadora de BaaS sejam instituições autorizadas a funcionar pelo BC, ambas devem fazê-lo.
- As políticas, estratégias e estruturas devem ser aprovadas pelo conselho de administração ou, na sua inexistência, pela diretoria da instituição autorizada pelo BC.
|
| Vedações |
As instituições não podem formalizar contrato de prestação de serviços de BaaS nas seguintes hipóteses (excetuadas as situações em que a entidade tomadora de BaaS for instituição do mesmo conglomerado prudencial da instituição prestadora de BaaS):
- Com o objetivo de a entidade tomadora de BaaS atuar em nome da instituição prestadora para disponibilizar a prestação dos serviços de BaaS, na forma da regulamentação que disciplina os correspondentes no Brasil.
- Com entidades tomadoras de BaaS que possuam contrato de prestação de serviços de BaaS em vigor com outra instituição prestadora de BaaS para a disponibilização dos serviços de abertura, manutenção e encerramento de contas de depósitos à vista, incluindo os serviços de pagamento realizados por meio dessas contas.
- Com entidades tomadoras de BaaS que possuam contrato de prestação de serviços de BaaS em vigor com outra instituição prestadora de BaaS para a disponibilização dos serviços de abertura, manutenção e encerramento de contas de depósitos de poupança, incluindo os serviços de pagamento realizados por meio dessas contas.
- Com entidades tomadoras de BaaS que possuam contrato de prestação de serviços de BaaS em vigor com outra prestadora de BaaS para a prestação dos serviços de abertura, manutenção e encerramento de contas de pagamento pré-pagas, incluindo os serviços de pagamento realizados por meio dessas contas.
- Com entidades tomadoras de BaaS que possuam contrato de prestação de serviços de BaaS em vigor com outra prestadora de BaaS para a prestação dos serviços de abertura, manutenção e encerramento de contas de pagamento pós-pagas, incluindo os serviços de pagamento realizados por meio dessas contas.
- Com entidades tomadoras de BaaS que, em sua nomenclatura, empreguem termos característicos definidores da nomenclatura das instituições do Sistema Financeiro Nacional ou do Sistema de Pagamentos Brasileiro ou expressões similares em vernáculo ou em idioma estrangeiro, exceto em caso de a entidade tomadora ser instituição autorizada a funcionar pelo BC, observada a regulamentação específica.
|
| Requisitos para contratação por prestadora de serviço de BaaS |
As instituições prestadoras de BaaS, previamente à contratação e durante a prestação dos serviços devem implementar procedimentos que contemplem, no mínimo:
- a adoção de práticas de governança corporativa e de gestão de riscos compatíveis com as exposições decorrentes da contratação; e
- a verificação da capacidade da entidade tomadora de BaaS de assegurar:
- conformidade contratual para o cumprimento da legislação e da regulamentação em vigor;
- o acesso da instituição prestadora de BaaS a informações sobre a efetividade da transferência de dados e de informações relativos aos serviços prestados;
- a confidencialidade, a integridade, a disponibilidade e a recuperação de dados e de informações sobre serviços prestados;
- a aderência a certificações, quando exigidas pela instituição prestadora de BaaS para a execução dos serviços;
- o acesso da instituição prestadora de BaaS a relatórios elaborados por empresa especializada independente, caso existentes, relativos aos procedimentos e aos controles utilizados pela entidade tomadora de BaaS;
- o provimento de informações e a existência de recursos de gestão adequados ao monitoramento dos serviços prestados;
- a qualidade dos controles de acesso voltados à proteção de dados pessoais, observada a legislação específica, e de informações sobre os serviços prestados; e
- a capacidade financeira e técnica para execução dos serviços previstos no contrato de prestação de serviços de BaaS.
|
| Itens necessários no contrato de prestação de serviços de BaaS |
Deverão obrigatoriamente constar do contrato os seguintes aspectos:
- objeto do contrato;
- os papéis e as responsabilidades das partes contratantes;
- a forma de remuneração entre a tomadora de BaaS e a instituição prestadora de BaaS;
- a adoção de medidas de segurança para a recepção e o armazenamento, pela tomadora de BaaS, dos dados ou informações sobre serviços ofertados aos clientes, bem como dos dados fornecidos pelos clientes;
- o acesso da instituição prestadora de BaaS a:
- informações fornecidas pela tomadora de BaaS, visando a verificar se possui contrato de prestação de serviços de BaaS em vigor com outra prestadora de BaaS para a prestação dos serviços de abertura, manutenção e encerramento de contas de pagamento pré-pagas, incluindo os serviços de pagamento realizados por meio dessas contas;
- informações relativas às certificações e aos relatórios; e
- informações e recursos de gestão adequados ao monitoramento dos serviços prestados;
- a obrigação de a tomadora de BaaS notificar previamente a instituição prestadora de serviços de BaaS sobre a contratação de empresa terceira para processar ou armazenar dados ou informações considerados relevantes pela referida instituição prestadora;
- a permissão de acesso do BC ao contrato, à documentação e às informações referentes aos dados e às informações sobre serviços prestados, aos procedimentos e códigos de acesso a tais informações, bem como a qualquer outra informação relacionada à prestação de serviços de BaaS;
- a possibilidade de adoção de medidas pela instituição prestadora de serviços de BaaS em decorrência de determinação do BC;
- a obrigação de a tomadora de serviços de BaaS manter a instituição prestadora de serviços de BaaS permanentemente informada sobre eventuais limitações que possam afetar os serviços prestados ou o cumprimento da legislação e da regulamentação em vigor;
- os procedimentos para o tratamento de demandas encaminhadas pelo cliente;
- a vedação à tomadora de serviços de BaaS de cobrança, em seu nome, de tarifa, comissão ou qualquer outra forma de remuneração pelo fornecimento aos clientes de produtos ou serviços ofertados pela instituição prestadora de serviços de BaaS;
- a declaração de que a tomadora de serviços de BaaS tem pleno conhecimento de que a realização, por sua própria conta, das operações consideradas privativas de instituições financeiras e demais instituições autorizadas a funcionar pelo BC ou de outras operações vedadas pela legislação vigente sujeita o infrator às penalidades previstas nas Leis nºs 7.492, de 16 de junho de 1986, e 13.506, de 13 de novembro de 2017;
- as causas que justificam o encerramento antecipado do contrato e suas consequências;
- a vedação à tomadora de serviços de BaaS de realizar transações de pagamento, recebimentos e depósitos em conta própria de valores relacionados a serviços prestados pela instituição prestadora de serviços de BaaS aos clientes;
- a vedação à subcontratação, pela tomadora de serviços de BaaS;
- para o caso da decretação, pelo BC, de regime de resolução da instituição prestadora de serviços de BaaS:
- a obrigação de a tomadora de serviços de BaaS conceder pleno e irrestrito acesso do responsável pelo regime de resolução aos contratos, aos acordos, à documentação e às informações referentes ao serviço, bem como aos procedimentos e aos códigos de acesso, que estejam em posse da entidade tomadora de serviços de BaaS; e
- a obrigação de notificação prévia ao responsável pelo regime de resolução sobre a intenção de a tomadora de serviços de BaaS interromper a prestação dos serviços contratados, com pelo menos trinta dias de antecedência da data prevista para a interrupção, observado que:
- a tomadora de serviços de BaaS obriga-se a aceitar eventual pedido de prazo adicional de trinta dias para a interrupção do serviço, feito pelo responsável pelo regime de resolução; e
- a notificação prévia deverá ocorrer também na situação em que a interrupção for motivada por descumprimento da forma de remuneração estabelecida entre as partes contratantes.
- para o caso de encerramento da relação contratual:
- a previsão da continuidade ou não da prestação dos serviços ao cliente pela prestadora de serviços de BaaS;
- a obrigação de a tomadora de serviços de BaaS assegurar a devida transparência ao cliente, incluindo esclarecimentos sobre as consequências da continuidade ou não dos serviços prestados pela instituição prestadora de serviços de BaaS; e
- a previsão de o cliente poder optar por encerrar o seu relacionamento, no que couber, com a instituição prestadora de serviços de BaaS ou com a entidade tomadora de serviços de BaaS.
|
Responsabilidades
A instituição prestadora de BaaS é responsável por:
| Obrigação |
Prestador de BaaS |
Tomador de BaaS |
| Garantir a confiabilidade, a integridade, a disponibilidade, a segurança e o sigilo dos serviços prestados nos termos da Resolução Conjunta nº 16, bem como o cumprimento da legislação e da regulamentação aplicáveis a esses serviços. |
Sim |
Sim, caso seja instituição autorizada a funcionar pelo BC, no que for de sua responsabilidade, incluindo os serviços prestados nos ambientes tecnológicos e sistemas eletrônicos por ela disponibilizados. |
Responsável pela política e pelos procedimentos e controles relacionados à:
- identificação e à qualificação dos clientes, bem como à análise do seu perfil de risco;
- prevenção de fraudes; e
- prevenção à lavagem de dinheiro e ao financiamento do terrorismo.
|
Sim, a instituição prestadora de BaaS pode valer-se da tomadora de BaaS para a realização de tarefas acessórias aos procedimentos e controles de que trata o caput da Resolução Conjunta nº 16, sem prejuízo das responsabilidades impostas à instituição prestadora de BaaS.
A instituição prestadora de BaaS deve prover os procedimentos, mecanismos e ferramentas a serem utilizados pela tomadora de BaaS para a realização das tarefas. |
Não |
| Adotar mecanismos para garantir a cooperação de entidades tomadoras de BaaS na sua aderência à política e aos procedimentos e controles |
Sim |
Não |
| Cumprimento da regulamentação vigente relativa às operações de crédito, incluindo controles internos e gerenciamento de riscos |
Sim |
Não |
| Designar diretor responsável pela observância do disposto nesta Resolução Conjunta. |
Sim |
Sim, caso atue como instituição autorizada a funcionar pelo BC |
Assegurar:
- a apresentação das informações necessárias à sua identificação como prestadora dos serviços de que trata o art. 4º, de forma acessível e visível ao cliente, nos canais e interfaces a este disponibilizados, bem como em contratos, em outros documentos e em instrumentos de pagamento relacionados aos serviços contratados;
- a qualidade e a tempestividade dos dados e das informações repassados pela entidade tomadora de serviços de BaaS à instituição prestadora de BaaS e aos clientes, restrita ao âmbito da prestação de serviços; e
- a aderência da prestação de serviços de BaaS à sua política institucional de relacionamento com clientes e usuários, conforme disposto na regulamentação vigente.
|
Sim |
Não |
| Atendimento de demandas de seus clientes no âmbito da prestação dos serviços |
Sim, podendo valer-se da tomadora de BaaS para o atendimento de demandas do cliente, sem se eximir da responsabilidade |
Não |
Instituir mecanismos de acompanhamento e de controle com vistas a assegurar a efetividade do cumprimento do disposto na Resolução Conjunta, incluindo:
- a definição de processos, testes e trilhas de auditoria;
- a definição de métricas e indicadores adequados; e
- a identificação e a correção de eventuais deficiências.
|
Sim |
Sim, caso atue como instituição autorizada a funcionar pelo BC |
Instituir mecanismos de controle de qualidade da atuação da tomadora de BaaS, levando em conta, entre outros:
- indicadores de acompanhamento de qualidade de atendimento aos clientes, considerando, inclusive, demandas e reclamações registradas; e
- parâmetros sobre acordos de níveis de serviço dos sistemas utilizados ou integrados pela tomadora.
|
Sim |
Não |
Considerações finais
- As cooperativas de crédito e as sociedades de arrendamento mercantil não poderão atuar como instituições prestadoras de serviços de BaaS.
- As confederações de serviço constituídas por cooperativas centrais de crédito e as administradoras de consórcio não poderão atuar como instituições prestadoras de BaaS ou tomadoras de BaaS.
- As instituições que tenham contrato vigente para a prestação de serviços abrangidos pela Resolução Conjunta nº 16 na data de sua entrada em vigor devem adequar-se ao disposto nessa regulamentação até 31 de dezembro de 2026.
- A Resolução Conjunta nº 16 entrou em vigor na data de sua publicação.
A equipe de Bancário e Financeiro do Demarest está acompanhando a evolução do tema e permanece à disposição para auxiliar clientes e parceiros com os esclarecimentos que se façam necessários.
