Novas Regras de BaaS no Brasil: o que muda até 2026 e como sua empresa pode se preparar sem correr riscos

 

O Banking as a Service (BaaS) deixou de ser só “um modelo comercial” e passou a ter regras formais e responsabilidades bem definidas no Brasil. Na prática, isso aumenta a segurança jurídica do setor, mas também eleva o nível de cobrança sobre governança, compliance, contratos, operação e comunicação de quem oferece ou usa BaaS.

A mudança vem com a Resolução Conjunta nº 16/2025, com vigência em 28/11/2025 e prazo de adequação até 31/12/2026. Ou seja: existe tempo para se adaptar — mas não dá para deixar para o fim.

 

O que é BaaS “pela nova regra” (e por que isso importa)

BaaS é, em termos simples, quando uma instituição autorizada (banco ou instituição de pagamento) disponibiliza sua infraestrutura regulada para que outra empresa ofereça serviços financeiros aos seus próprios clientes.

A diferença é que agora a regulação deixa claro que:

• BaaS passa a ser uma atividade regulada, com limites, controles e deveres explícitos.
• A instituição autorizada continua sendo a responsável pelo que é, de fato, serviço financeiro e de pagamento.
• A empresa integradora (que “embute” o serviço financeiro no seu produto) não vira um banco — mas também não fica “sem deveres”.

O efeito econômico aqui é direto: o mercado ganha padronização e previsibilidade, mas o custo de não conformidade aumenta — inclusive em reputação, contratos e continuidade do negócio.

 

Quem é impactado (mesmo que você não se considere “fintech”)

Você deve olhar com atenção para a norma se estiver em qualquer um destes grupos:

• Instituições financeiras autorizadas pelo Banco Central
• Instituições de pagamento habilitadas
• Empresas integradoras que usam infraestrutura de terceiros para ofertar serviços financeiros
• Fintechs que já usam BaaS ou pretendem adotar
• Lideranças de produto, tecnologia, operações, compliance e fundadores ligados a serviços financeiros digitais

Em outras palavras: se você “oferece conta”, “meios de pagamento”, “cartão”, “crédito” ou algo parecido dentro do seu app/ecossistema, vale considerar que você está dentro do radar.

 

O que muda de forma prática com a Resolução Conjunta nº 16/2025

Antes, a lógica era muito baseada em contratos privados, com pouca padronização e, em vários casos, responsabilidade difusa. Agora, o cenário muda para uma norma específica com:

• Papéis definidos
• Escopo permitido de serviços
• Responsabilidades explícitas
• Regras de transparência ao cliente final
• Reforço de controles de compliance e PLD/FT (prevenção à lavagem de dinheiro e financiamento do terrorismo)

O ponto central: a regulação reduz “zonas cinzentas”. Isso é bom para quem opera com seriedade — e perigoso para quem cresceu sem estruturar governança.

 

Definição clara de papéis: quem é quem no BaaS

A regra organiza o mercado com três figuras principais:

• Prestadora de BaaS: a instituição autorizada que presta serviços financeiros e/ou de pagamento e responde por eles.
• Tomadora de BaaS: a empresa que contrata a prestadora, integra a solução ao seu produto e distribui ao seu público.
• Cliente final: o usuário que, no dia a dia, usa o serviço (conta, pagamento, crédito etc.) oferecido pela tomadora.

Essa separação é essencial para o gerenciamento de risco: define onde começa e termina a responsabilidade de cada parte, evitando interpretações oportunistas em caso de falhas.

 

Escopo dos serviços permitidos: BaaS não é “qualquer coisa financeira”

A norma reforça que BaaS tem um escopo — e isso reduz improvisos. Entre os serviços tipicamente enquadrados no modelo, estão:

• Abertura, manutenção e encerramento de contas
• Serviços de pagamento vinculados a essas contas
• Credenciamento/aceitação de pagamentos
• Operações de crédito
• Outros serviços que venham a ser definidos pelo Banco Central

Para a estratégia do negócio, isso significa alinhar roadmap e produto ao que é permitido, para evitar retrabalho, interrupções e risco regulatório.

 

Responsabilidades no modelo BaaS: onde as empresas mais erram

Um dos maiores ganhos da regulação é tirar dúvidas como “quem responde por quê?”. Em linhas gerais:

• Quem responde pelo serviço financeiro: a responsabilidade recai na prestadora autorizada.
• Compliance e PLD/FT: a prestadora assume papel central e precisa supervisionar a tomadora no que for necessário.
• Transparência ao cliente: o cliente final deve entender quem é a instituição autorizada por trás do serviço.
• Uso de termos como “banco”: fica mais restrito o uso de nomenclaturas que possam induzir o consumidor ao erro por parte de quem não tem licença.

Do ponto de vista econômico, é uma proteção ao consumidor e ao sistema — e, para as empresas, é um lembrete de que “experiência do usuário” não pode atropelar “verdade regulatória”.

 

Riscos de não se adequar: não é só multa

Ignorar ou postergar adequação pode gerar efeitos em cadeia:

• Penalidades administrativas do Banco Central
• Responsabilização direta por falhas operacionais, de compliance e PLD/FT
• Perda de contratos e parcerias estratégicas (inclusive com instituições mais conservadoras)
• Danos reputacionais e perda de confiança do mercado e do cliente final

Na prática, o risco não é apenas financeiro. É de continuidade da operação.

 

Como se preparar até 31/12/2026 (um checklist pragmático)

O caminho mais eficiente é tratar adequação como projeto de gestão de risco, não como “ajuste jurídico de última hora”.

1) Governança e contratos

• Revisar contratos BaaS para refletir papéis, responsabilidades e SLAs (acordos de nível de serviço).
• Definir claramente quem faz o quê em incidentes, atendimento, estornos, chargebacks, fraudes e reclamações.
• Revalidar políticas de terceirização, auditoria e monitoramento.

2) Operação

• Mapear processos “fim a fim” (onboarding, transação, conciliação, suporte, contestação).
• Fortalecer controles de incidentes, continuidade e rastreabilidade de transações.
• Garantir que tecnologia e operação sustentem os controles prometidos no papel.

3) Compliance (incluindo KYC e PLD/FT)

• Reforçar KYC (conheça seu cliente) e regras de aceitação/recusa.
• Atualizar rotinas de monitoramento, alertas e tratamento de exceções.
• Treinar times e ajustar “linhas de defesa” internas para que compliance não dependa de heróis.

4) Comunicação e transparência

• Ajustar telas, termos, contratos e mensagens para deixar claro quem é a prestadora autorizada.
• Evitar nomenclaturas que possam sugerir licença bancária onde ela não existe.
• Padronizar linguagem com foco em clareza (o regulador valoriza isso, e o cliente também).

 

Se a sua empresa quer tratar essa adaptação com método e foco operacional (e não apenas com documentação), a Centralmaster pode apoiar de forma discreta e objetiva na organização do plano de adequação, integração e governança — especialmente quando há múltiplos parceiros e frentes internas envolvidas.

 

#BaaS #BankingAsAService #Regulamentacao #BancoCentral #Compliance #PLDFT #KYC #Fintech #Pagamentos #Risco #Governanca #centralmaster