Segurança e tecnologia

Regulamentação BaaS: o que mudou com a Resolução Conjunta nº 16/2025

Publicado em . Atualizado em
Por Fernando Chagas . Tempo de leitura: 17 mins
Empreendedor em reunião pelo computador, entendendo a regulamentação BaaS com seus clientes.

O Banking as a Service (BaaS) permite que a sua empresa usufrua de serviços bancários, como pagamentos, contas digitais ou crédito, com infraestrutura de terceiros. Porém, para garantir o acompanhamento desse modelo de negócio, o Banco Central regulamentou a prática por meio da Resolução Conjunta nº 16/25.

Ela surgiu após o Edital de Consulta Pública (ECP nº108/24), que levantou pontos importantes no entendimento e na prática dos serviços de BaaS (tanto por parte das provedoras, quanto das tomadoras).

Como responsável pelo setor de tecnologia do Asaas, meu papel é entender essas mudanças e trazê-las para a prática da nossa empresa. Neste conteúdo, explico em detalhes a regulamentação BaaS, o que mudou e o porquê. Vamos lá?

O que é considerado BaaS na Resolução Conjunta nº 16/2025?

Até antes da regulamentação, o modelo Banking as a Service (BaaS) era usado de forma ampla para descrever qualquer integração com serviços financeiros. Na prática, isso incluía desde APIs de pagamento até estruturas mais completas de conta digital.

Essas integrações poderiam, inclusive, ser feitas sem mostrar a empresa provedora por trás da operação. Então, funcionava assim: o Asaas (o provedor), que oferece a infraestrutura BaaS, disponibilizava o serviço para seus clientes utilizarem, sem aparecer por trás dos processos.

Com a Resolução Conjunta nº 16/2025 do Banco Central, a situação agora é outra. 

Por meio deste marco regulatório, o BC implementou uma série de regras a respeito desse serviço.

Isso acarreta mais obrigações no fornecimento e manutenção do modelo de negócio tanto para a Instituição Provedora, quanto para as empresas tomadoras. Vamos explicar cada ponto ao longo deste conteúdo.

Qual o papel do Banco Central do Brasil na regulação de BaaS?

O Banco Central do Brasil é responsável pelo Sistema Financeiro Nacional (SFN). No contexto de BaaS, o papel do órgão é ditar as regras, fiscalizar os participantes e garantir a estabilidade econômica.

O BC não regula a tecnologia “BaaS” em si (pois BaaS é um modelo de negócio em nuvem), mas sim as operações financeiras que rodam por trás dessas APIs.

Assim, regula também sobre arranjos de pagamento (como o Pix, cartões de crédito e débito) e emite as licenças de funcionamento para quem vai custodiar o dinheiro do cliente final.

Dessa maneira, com a Resolução nº 16, qualquer empresa que ofereça serviços bancários via BaaS está sob a fiscalização do Bacen, direta ou indiretamente.

Por que a regulamentação BaaS é necessária?

Embora a estabilidade do SFN seja o pilar de qualquer regulação do Banco Central, a Resolução Conjunta nº 16/25 foi impulsionada por objetivos mais amplos, focados na proteção do consumidor e na integridade do mercado financeiro.

Com o crescimento acelerado do mercado de embedded finance (finanças embarcadas), milhares de empresas que não são bancos (ou financeiras), passaram a oferecer contas digitais e cartões.

E isso acaba gerando instabilidade por falta de fiscalização. Como um dos deveres é garantir a segurança do dinheiro da população, o Bacen criou as novas regras do BaaS , que se baseiam em três pontos cruciais:

  • Transparência e clareza para o consumidor: a obrigatoriedade de identificar a Instituição Prestadora garante que o cliente saiba exatamente quem é o responsável legal por seus fundos e serviços;
  • Combate a fraudes: ao centralizar o gerenciamento de riscos, KYC (Know Your Customer) e PLD/FT (Prevenção à Lavagem de Dinheiro e Financiamento ao Terrorismo) na instituição autorizada, o Bacen busca elevar os padrões de segurança em todo o arranjo;
  • Clareza na responsabilidade regulatória: a norma define que a responsabilidade final perante o regulador é da Instituição Prestadora (a autorizada pelo Bacen). Isso evita o risco sistêmico e garante que as operações de BaaS sigam os mesmos critérios de conformidade exigidos das instituições financeiras tradicionais. 

Saiba mais sobre o sistema antifraude.

Quais são as definições das partes envolvidas no arranjo BaaS?

A Resolução Conjunta nº 16 discorre sobre algumas definições a respeito das partes envolvidas na prestação de serviços do BaaS.

E também garante uma definição clara sobre o que é a prestação de serviços do BaaS, a fim de manter a uniformidade do conceito e o entendimento para as demais determinações da RC. Veja o que diz o Art. 3º:

I – prestação de serviços de BaaS: a contratação entre a instituição prestadora de serviços de BaaS e a entidade tomadora de serviços de BaaS para que os serviços financeiros e de pagamento especificados no art. 4º sejam disponibilizados ao cliente por intermédio da entidade tomadora de serviços de BaaS;

Nesse modelo existem três principais sujeitos: a empresa que oferece a funcionalidade, a que usufrui e o cliente final. Entenda a definição:

II – instituição prestadora de serviços de BaaS: a instituição referida no art. 1º que firma contrato com a entidade tomadora de serviços de BaaS para prestação dos serviços financeiros ou de pagamento especificados no art. 4º ao cliente;

III – entidade tomadora de serviços de BaaS: a pessoa jurídica legalmente estabelecida no Brasil para cujos clientes são disponibilizados os serviços financeiros e de pagamento especificados no art. 4º, prestados nos termos de contrato firmado com a instituição prestadora de serviços de BaaS; e

IV – cliente: a pessoa natural ou jurídica que possua relação contratual: a) com a instituição prestadora de serviços BaaS para prestação dos serviços financeiros e de pagamento especificados no art. 4º; e com a entidade tomadora de serviços de BaaS para prestação de outros serviços não especificados no art. 4º.

Além de definir quem são os sujeitos envolvidos nas operações, o Bacen também define o escopo das prestações de serviços, que explicarei a seguir.

Quais são os serviços de BaaS regulamentados pelo Banco Central?

A fim de delimitar o escopo da prestação de serviços do BaaS, foram definidos quais são os serviços que podem ser oferecidos por meio deste modelo de negócio.

Assim, é preciso ter no escopo exclusivamente um ou mais de um dos seguintes serviços listados no art. 4º:

  • Abertura, manutenção e encerramento de contas de: depósitos à vista; depósitos de poupança; pagamento pré-pagas; ou pagamento pós-pagas;
  • Prestação de serviços de pagamento realizados por meio das contas listadas acima;
  • Prestação de serviços de credenciamento à aceitação de instrumentos de pagamento em arranjos de pagamento
  • Prestação de serviços de operações de crédito, incluindo oferta, contratação, administração e cobrança;
  • E outros serviços que vierem a ser incluídos na normativa. 

A partir destas definições, fica claro que todos os serviços listados acima só podem ser prestados por instituições financeiras com autorização do Banco Central.

O que define a Resolução Conjunta 16/2025?

Além de definir os responsáveis nos arranjos e o escopo de atuação do BaaS, a RC traz outros marcos regulatórios da prestação deste serviço.

Com isso, busca explicitar regras entre as instituições, que vão desde prestação de serviços, contratos, exclusividade, compliance, entre outras.

O Bacen foi meticuloso em suas exigências e definições. E é exatamente por isso que é tão importante que você entenda o que mudou, visando adaptar o seu serviço e buscar uma instituição regulamentada, como o Asaas, por exemplo.

Nas próximas linhas, vou te explicar em detalhes o que este marco regulatório retrata, e as mudanças que ele trouxe consigo:

1. Regras entre instituição prestadora e entidade tomadora

Com a normativa, a relação entre a instituição prestadora de serviço e as entidades tomadoras ficou mais rigorosa.

Os contratos de prestação de serviço devem ser detalhados em funções, critérios de segurança, responsabilidades, formas de remuneração, compartilhamento de dados, etc., segundo o Art. 8º da normativa.

Além disso, existe um ponto muito importante desta Resolução: a instituição provedora também não pode prestar serviços às entidades tomadoras que, em sua nomenclatura, deixem entender que são instituições financeiras (como Banco, Bank, Banking, etc.), quando não possuem autorização do Banco Central:

VI – com entidade tomadora de serviços de BaaS que, em sua nomenclatura, empregue termos característicos definidores da nomenclatura das instituições do Sistema Financeiro Nacional ou do Sistema de Pagamentos Brasileiro ou expressões similares em vernáculo ou em idioma estrangeiro, exceto em caso de a entidade tomadora ser instituição autorizada a funcionar pelo Banco Central do Brasil, observada a regulamentação específica.

2. Regulamentação sobre governança e gestão de risco

No novo marco regulatório, também fica claro que a responsabilidade da operação fica com a instituição financeira prestadora, que deve ser autorizada pelo Banco Central.

Isso vale também para operações terceirizadas. Os serviços são delegados e podem ser utilizados, mas a responsabilidade, não.

Art. 5º As instituições referidas no art. 1º devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos requeridas na regulamentação em vigor contenham regras e critérios para a prestação de serviços de BaaS, nos termos previstos nesta Resolução Conjunta.

Além disso, todas as instituições prestadoras de serviços BaaS devem adotar práticas de governança corporativa e gestão de risco compatíveis com o contrato de serviços (Art. 7º).

Fica sob responsabilidade das prestadoras, também, a verificação da capacidade da entidade tomadora de estar em conformidade, com aderência às certificações (quando possuir) e a disponibilização de recursos adequados aos serviços prestados (ao cliente final).

Com isso, ainda no âmbito da gestão, os controles ficam sob competência exclusiva da prestadora, como:

  • Identificação e qualificação de clientes (política de KYC);
  • Análise de perfil;
  • Prevenção a fraudes e controles de Prevenção a Lavagem de Dinheiro e Financiamento ao Terrorismo (PLD/FT);
  • Comunicação direta com o órgão regulador;
  • Entre outros organismos regulatórios e de compliance da prestadora.

3. Exclusividade da prestação de serviços pela instituição prestadora

A Resolução discorre, em momentos diferentes, sobre o caráter exclusivo da operação. Ou seja, a entidade tomadora só pode usufruir dos serviços de BaaS de uma única instituição.

Essa instituição permanecerá como a única titular, responsável pelas obrigações regulatórias do serviço perante ao Banco Central.

Isso porque, em caso de erros ou falhas, quem responde integralmente é a prestadora, independente de qual seja a operação.

4. Detalhes a respeito do relacionamento com o cliente

Um ponto muito importante é que, agora, toda instituição prestadora deve ser facilmente identificada na operação, em todos os canais de comunicação, contratos e instrumentos de pagamentos (boletos, cartões, comprovantes).

Com isso, o formato conhecido como “white label” não é mais permitido, e passa pela adequação dos serviços. O produto ainda será integrado à plataforma do tomador, mas agora devidamente identificado quem é o prestador do serviço financeiro.

Todas as empresas financeiras que oferecem esse serviço devem adequar suas jornadas até o fim do prazo determinado pelo Banco Central, em 31/12/2026. Veja:

Art. 14. A instituição prestadora de serviços de BaaS deve assegurar:

I – a apresentação das informações necessárias à sua identificação como prestadora dos serviços de que trata o art. 4º, de forma acessível e visível ao cliente, nos canais e interfaces a este disponibilizados, bem como em contratos, em outros documentos e em instrumentos de pagamento relacionados aos serviços contratados;

Essa norma, porém, não restringe a entidade tomadora de ser identificada de forma acessível e visível ao cliente.

Ou seja, se uma empresa (marketplace, SaaS) contrata os serviços financeiros de BaaS, embora ela tenha que mostrar quem é a instituição prestadora, ela também pode continuar atrelando o serviço à sua marca.

Veja nossa Central de Ajuda sobre BaaS.

5. Sanções e penalidades para quem não se adequar à regulamentação BaaS

O descumprimento das regras estabelecidas pela Resolução Conjunta nº 16/25, incluindo as obrigações de identificação, governança e gestão de riscos, sujeita a Instituição Prestadora de BaaS e a Entidade Tomadora às sanções administrativas previstas na legislação aplicável.

Como fiscalizador máximo SFN, o Banco Central do Brasil tem competência para aplicar penalidades que variam de advertências e multas pecuniárias até a inabilitação de administradores e a cassação de autorização para funcionamento, dependendo da gravidade e reincidência da infração.

Esse regime de penalidades reforça a seriedade do marco regulatório e a necessidade de compliance rigoroso por parte de todos os envolvidos no arranjo BaaS.

Utilize um sistema BaaS adequado e regulado

A Resolução Conjunta nº 16/25 consolida uma nova era no Banking as a Service no Brasil, exigindo que a Instituição Prestadora de Serviços assuma integralmente a responsabilidade pela governança, gestão de risco e compliance regulatório perante o Banco Central.

Com a obrigatoriedade da identificação e o prazo final para o fim do white label, as Entidades Tomadoras precisam garantir que o parceiro tecnológico escolhido esteja não apenas preparado, mas já operando dentro dos mais rigorosos padrões.

Todas as instituições que oferecem este serviço têm até o dia 31/12/2026 para adequarem suas operações com os parceiros.

Por isso, mais que nunca , a escolha do provedor é crucial para evitar as sanções administrativas e a insegurança regulatória.

Funcionalidades BaaS do Asaas

O Asaas, que já atua no mercado de BaaS com infraestrutura robusta, garante que você integre serviços financeiros ao seu produto com total segurança e conformidade. E está adequando toda sua operação seguindo as determinações do Bacen.

Ao optar por uma solução BaaS regulada pelo Asaas, sua empresa garante:

  • Conformidade imediata: tranquilidade em relação ao gerenciamento de riscos, KYC e PLD/FT, que são de responsabilidade exclusiva da Instituição Prestadora;
  • Transparência regulamentada: adequação à regra do Art. 14, que exige a correta identificação da Prestadora em todos os canais, contratos e instrumentos de pagamento;
  • Foco no seu core business: você se concentra em seu produto e cliente, enquanto o Asaas cuida da complexidade regulatória do SFN.

Não arrisque a conformidade do seu negócio. Escolha um parceiro que já está se movimentando para se adaptar à Resolução Conjunta nº 16/25.

Conheça a tecnologia da API de pagamentos do Asaas.

Perguntas frequentes sobre a Regulamentação BaaS

O que muda na prática com a Resolução Conjunta nº 16/25?

A principal mudança é a exigência de transparência e centralização de responsabilidades. Agora, a instituição financeira autorizada pelo Banco Central (prestadora) deve ser claramente identificada para o cliente final em todos os canais e comprovantes.

Além disso, a gestão de riscos, PLD/FT (Prevenção à Lavagem de Dinheiro) e KYC (Conheça seu Cliente) passam a ser responsabilidade exclusiva e inegociável dessa instituição autorizada.

O modelo white label de BaaS deixou de existir?

O modelo White Label, no qual o cliente final não sabia qual banco estava operando por trás do aplicativo, não é mais permitido.

Sua empresa (entidade tomadora) ainda pode usufruir normalmente dos serviços prestados e estampar a própria marca no aplicativo e no cartão.

Mas é obrigatório que a identidade da Instituição Prestadora (quem detém a licença do Bacen, como o Asaas) esteja visível e acessível em contratos, termos de uso e comprovantes.

Minha empresa precisa de licença do Banco Central para oferecer serviços financeiros agora?

Não, se a sua empresa é uma “Entidade Tomadora” (um ERP, marketplace ou varejista, por exemplo), você não precisa de licença do Banco Central, desde que contrate uma Instituição Prestadora de BaaS devidamente autorizada e regulada, como o Asaas. Toda a carga regulatória fica sob a responsabilidade do seu parceiro tecnológico.

Qual é o prazo para as empresas se adequarem à nova regulamentação?

Todas as empresas que operam com Banking as a Service têm até o dia 31 de dezembro de 2026 para adequar totalmente suas jornadas, contratos e interfaces de identificação visual às regras da Resolução Conjunta nº 16/25.

Após este prazo, as empresas não reguladas estarão sujeitas à suspensão da utilização dos serviços.

A Instituição Prestadora. O marco regulatório deixa claro que as operações terceirizadas não isentam o parceiro regulado. A empresa autorizada pelo Bacen é a responsável final por garantir os critérios de segurança, compliance e combate a fraudes.

Toda a sua rotina financeira e operacional em um só lugar. Asaas, sua empresa lá em cima. Abra sua conta
Compartilhar:

Escrito por

Fernando Chagas

Fernando Chagas é Chief Technology Officer (CTO) do Asaas e especialista em Segurança e Tecnologia. Ele é o cérebro por trás das soluções robustas que impulsionam o Asaas no mercado de fintechs. Com vasta experiência em liderança, ele garante que a estratégia tecnológica esteja alinhada aos objetivos de negócio. No blog, ele compartilha insights sobre segurança e tendências, desmistificando conceitos complexos. Ele afirma: "Minha paixão é criar tecnologia que não só resolva problemas, mas que também inspire confiança e segurança." Confie na expertise de Fernando Chagas.

Enviar um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Notebook e celular exibindo a interface do Asaas e a frente deles um cartão do Asaas.

Asaas: conta digital completa para sua empresa

Emita cobranças, faça transferências, pague contas e gerencie seu negócio em um único lugar.
Conhecer o Asaas