Resolução Conjunta nº 16/2025 – Regulamentação do Banking as a Service entra em vigor
A Resolução Conjunta nº 16, datada de 28 de novembro de 2025 e publicada no DOU em 01 de dezembro de 2025 (“RC 16”), editada em conjunto pelo Banco Central do Brasil (“BCB”) e pelo Conselho Monetário Nacional (“CMN”), representa um marco regulatório abrangente para a oferta de serviços de Banking as a Service (“BaaS”) por instituições financeiras, instituições de pagamento e demais entidades autorizadas a funcionar pelo BCB (denominadas na RC 16 como prestadoras de serviços de BaaS). A norma surge em um momento de forte expansão dos modelos de negócios baseados na integração tecnológica entre instituições reguladas e empresas que buscam disponibilizar serviços financeiros e de pagamento a seus usuários, reforçando a segurança jurídica e a padronização das práticas de mercado.
A RC 16 reflete os aprimoramentos discutidos durante o processo de Edital de Consulta Pública (“ECP”) nº 108/2024, cujo prazo para recebimento de comentários foi posteriormente prorrogado pelo ECP nº 115/2025. A minuta então submetida para discussão apresentava estrutura regulatória mais principiológica do que sua versão final, que se mostra mais objetiva e operacional.
A nova regulamentação consolida definições e estabelece o escopo dos serviços que podem ser prestados no modelo BaaS, incluindo abertura, manutenção e encerramento de contas transacionais, serviços de pagamento, credenciamento para aceitação de instrumentos de pagamento e operações de crédito. A norma delimita, ainda, o que não se enquadra como BaaS, como p.ex., serviços de correspondentes no país, computação em nuvem, integrações no âmbito do Open Finance e as atividades desempenhadas pelos subcredenciadores e pelos prestadores de serviço de rede, na forma da regulamentação que trata dos arranjos de pagamento integrantes do Sistema de Pagamentos Brasileiro, afastando interpretações ampliadas que vinham sendo utilizadas pelo mercado.
No campo contratual, a RC 16 introduz regras detalhadas que passam a disciplinar a relação entre a instituição prestadora e a entidade tomadora de serviços de BaaS. O contrato deve prever papéis e responsabilidades de cada parte, mecanismos de segurança da informação, condições de remuneração, regras para compartilhamento de dados, procedimentos de atendimento a clientes e obrigações específicas relacionadas à transparência. A norma reforça que a tomadora não pode atuar em nome da instituição regulada, devendo sempre indicar ao cliente a natureza de sua atuação.
A RC 16 também fortalece substancialmente as exigências de governança e gestão de riscos. As instituições prestadoras devem incorporar o BaaS às suas políticas internas, garantindo que a contratação pelos tomadores esteja sujeita à avaliação de capacidade técnica, financeira e operacional, bem como à análise de controles de segurança, prevenção a fraudes e aderência às regras de prevenção à lavagem de dinheiro e ao financiamento do terrorismo. A tomadora, por sua vez, deve demonstrar capacidade de prover informações adequadas para monitoramento, manter padrões de segurança e disponibilizar relatórios e certificações sempre que exigidos.
A referida resolução estabelece a vedação para a contratação junto a tomadoras de serviço de BaaS que empreguem, em sua nomenclatura, termos caracterizadores de instituições integrantes do Sistema Financeiro Nacional ou do Sistema de Pagamentos Brasileiro ou expressões similares, em quaisquer idiomas (e.g. “bank”), ressalvado os casos em que a tomadora de serviços for instituição autorizada a funcionar pelo BCB.
A responsabilidade da instituição prestadora permanece fundamental: cabe a ela assegurar conformidade regulatória, sigilo, integridade, confiabilidade e segurança dos serviços prestados, além de manter o atendimento ao cliente final de forma tempestiva, ainda que possa utilizar a tomadora como apoio operacional para a realização de tarefas acessórias aos procedimentos e controles que são de atribuição da prestadora de serviços de BaaS, tal como atendimento ao cliente.
Do ponto de vista prático, a nova regulamentação exigirá ajustes significativos de instituições financeiras, de pagamento, fintechs e plataformas digitais. Eventuais relações contratuais atualmente existentes e cujo objeto abranja os serviços identificados na RC 16, devem ser revistas para garantir a aderência às novas exigências até 31 de dezembro de 2026.
Vale destacar, ainda, a necessidade de designação de um diretor responsável pela observância da RC 16, o qual poderá cumular funções com outras já exercidas, desde que não haja conflito de interesses.
Considerando que o normativo passa a produzir efeitos a partir de sua data de publicação oficial, i.e., em 01 de dezembro de 2025, recomenda-se que instituições e empresas envolvidas em contratações no modelo BaaS revisem seus contratos, mapeiem processos impactados, avaliem requisitos de governança e segurança e atualizem procedimentos de atendimento e comunicação com clientes, de forma a minimizar riscos operacionais e regulatórios, além de preservar a continuidade dos serviços e a conformidade perante o BCB.
