O BCB - Banco Central do Brasil e o CMN - Conselho Monetário Nacional estabeleceram o primeiro marco regulatório dedicado ao modelo de BaaS - Banking as a Service.
A norma, que entra em vigor imediatamente, define quem pode prestar o serviço, como deve funcionar a relação entre instituições autorizadas e empresas parceiras, e quais garantias são necessárias para proteger clientes e manter a integridade do sistema financeiro.
Com isso, o regulador busca reduzir riscos, aumentar a previsibilidade jurídica e assegurar competição e eficiência neste mercado em rápida expansão.
De acordo com Christian Squassoni, sócio da área de Direito Bancário do Barcellos Tucuduva Advogados e membro da Comissão de Direito Bancário da OAB/SP, o movimento já era esperado.
"O BaaS ganhou escala e passou a envolver milhões de clientes e transações; tratá-lo apenas como um arranjo contratual deixou de fazer sentido. Existia essa necessidade de regras mais claras para equilibrar inovação e segurança", afirma.
A nova regulamentação esclarece o papel de cada parte no modelo: instituições autorizadas pelo BCB atuarão como prestadoras de serviços financeiros e de pagamento, enquanto empresas dos mais variados setores — varejo, tecnologia, serviços e fintechs — poderão ofertá-los como tomadoras dos serviços de BaaS.
O texto estabelece exigências sobre governança corporativa, gerenciamento de riscos, controles internos, conduta, contratação e responsabilização, além de reforçar critérios de prevenção à lavagem de dinheiro e fraude.
Um dos pontos centrais é a transparência. "As instituições prestadoras deverão garantir que sua identificação esteja sempre visível ao cliente, seja em canais digitais, contratos, documentos ou instrumentos de pagamento. O consumidor não pode descobrir só no momento do problema qual instituição realmente responde pelo produto", destaca.
O regulador também determinou que prestadores mantenham dados e documentações acessíveis ao BCB, fortalecendo a supervisão e padronizando práticas de monitoramento e reporte. Para Squassoni, esse rigor deve elevar o nível de segurança. "A vedação a estruturas opacas e a exigência de controles mais robustos dificultam o uso do BaaS para atividades ilícitas", comenta.
As empresas que já operam em estruturas similares terão até 31/12/26 para adequar contratos e revisar processos. De acordo com Thiago Amaral, sócio da área de Meios de Pagamento e Fintechs do escritório, o desafio inclui atualizações tecnológicas, revisão de integrações, reestruturação de rotinas de KYC, monitoramento e troca de informações.
"Em muitos casos, será necessário repensar o desenho da parceria e revisar sistemas legados", observa o especialista, reforçando que a adaptação tende a exigir esforço jurídico e operacional significativo.