A Resolução Conjunta nº 16/2025 não apenas define o BaaS como forma de prestação de serviços regulados, mas também explicita o que não se enquadra nesse regime. Essa delimitação é especialmente relevante em um ambiente em que contratos, produtos e parcerias frequentemente combinam, em um mesmo arranjo contratual, componentes de BaaS, correspondente, subcredenciamento, Open Finance e outsourcing de tecnologia.
Trata-se de um tema com impacto direto sobre responsabilidades regulatórias, exposição a penalidades e apetite a risco de instituições.
Estrutura básica: instituição prestadora, tomadora e cliente
A Resolução Conjunta nº 16/2025 parte de uma estrutura triangular:
- Instituição prestadora de BaaS: instituição autorizada a funcionar pelo Banco Central que presta, diretamente ao cliente, serviços regulados de conta, pagamento, credenciamento ou crédito;
- Entidade tomadora de BaaS: pessoa jurídica estabelecida no Brasil que integra esses serviços à sua própria jornada, ofertando-os aos seus clientes por meio de contratos e sistemas conectados à instituição prestadora;
- Cliente: pessoa natural ou jurídica que mantém relação contratual direta com a instituição prestadora para os serviços regulados e, em paralelo, relação contratual com a tomadora para os demais serviços da plataforma.
A tomadora, portanto, não atua “em nome” da instituição prestadora e mantém relação própria com o cliente; o que é central para distinguir BaaS de correspondente, outsourcing tecnológico, Open Finance e subcredenciamento.
BaaS e Corban
A disciplina de correspondentes no País (Corban), prevista na Resolução CMN nº 4.935/2021, parte de uma lógica praticamente oposta à do BaaS.
No Corban, o correspondente presta serviços em nome da instituição financeira ou de pagamento, em regime de mandato, com poderes e limites previamente definidos, atuando como representante da instituição perante o cliente.
Já a Resolução Conjunta nº 16/2025 veda que o contrato de BaaS tenha por objeto a prestação, pela tomadora, de atendimento a clientes em nome da instituição prestadora, justamente para evitar que o BaaS seja utilizado como mecanismo indireto de contornar a disciplina de correspondentes.
Na prática, isso implica um critério de separação relativamente claro:
- modelos em que o parceiro atende, origina propostas e formaliza operações em nome da instituição devem ser tratados como correspondência bancária, não como BaaS;
- modelos em que o parceiro atua em nome próprio, com jornada e interface próprios com o cliente, integrando serviços da instituição regulada à sua solução, podem ser estruturados como tomadora de BaaS.
Essa distinção é especialmente sensível nos arranjos de “bancarização” ou Credit as a Service (CaaS) em que uma instituição autorizada (banco, SCD) concede crédito e emite CCB que, posteriormente, é cedida a FIDC ou securitizadora. A Resolução nº 16/2025 não trata expressamente desse tipo de modelo, de modo que o enquadramento entre BaaS e correspondência dependerá, em grande medida, de como se estrutura a relação entre originador, instituição e cliente. Em termos práticos:
- Quando o originador capta clientes, coleta documentos, estrutura propostas e formaliza contratos em nome da instituição, sendo remunerado por ela, o arranjo se aproxima do regime de correspondente no País;
- Quando a plataforma mantém relação contratual própria com o cliente e, dentro dessa jornada, integra a oferta de crédito de uma instituição autorizada que figura claramente como credora e prestadora do serviço regulado, há o enquadramento como tomadora de BaaS de crédito, desde que as funções de PLD/FT estejam alocadas de forma aderente à Resolução nº 16/2025.
BaaS e outsourcing tecnológico
A contratação de tecnologia por instituições autorizadas – core bancário, antifraude, KYC, CRM, módulos de crédito, serviços de computação em nuvem – é disciplinada por normas específicas de segurança cibernética e outsourcing (Resolução CMN nº 4.893/2021, Resolução BCB nº 85/2021 e atos complementares).
Essas normas estabelecem, respectivamente:
- requisitos para política de segurança cibernética, avaliação e monitoramento de fornecedores, comunicação ao Banco Central para serviços relevantes, trilhas de auditoria, etc.;
- como a instituição autorizada pode contratar serviços relevantes de processamento e armazenamento de dados e computação em nuvem, mas não transformam o fornecedor de tecnologia em “instituição regulada”.
Do ponto de vista do BaaS:
- O fornecedor de tecnologia não é, juridicamente, entidade tomadora de BaaS pelo simples fato de prover infraestrutura ou APIs;
- O BaaS se caracteriza pela prestação de serviços regulados ao cliente pela instituição autorizada, por meio de integração com a tomadora, e não pela mera contratação de um SaaS ou de um serviço de cloud.
BaaS e Open Finance
O Open Finance é regido pela Resolução Conjunta nº 1/2020 e se estrutura em torno de:
- Compartilhamento padronizado de dados e serviços, baseado em consentimento do cliente;
- Papéis específicos das Instituições (transmissora, receptora, detentora de conta, iniciadora de transação de pagamento);
- Requisitos próprios de governança, segurança, consentimento e experiência do usuário.
A Resolução Conjunta nº 16/2025 deixa claro que:
- Parcerias no âmbito do Open Finance não integram a prestação de serviços de BaaS;
- Um mesmo modelo pode combinar BaaS e Open Finance, mas cada camada permanece sujeita à sua regulação específica.
Na prática, essa combinação tende a ocorrer em duas camadas distintas:
- Camada regulatória: é a instituição autorizada – e a instituição prestadora de BaaS – que figura como participante do Open Finance, nos termos da Resolução Conjunta nº 1/2020, assumindo os papéis de transmissora, receptora, detentora de conta ou iniciadora de pagamento, conforme o caso.
- Camada de jornada: a entidade tomadora de BaaS incorpora essas funcionalidades na sua interface (aplicativo, website, super app), permitindo que o cliente, a partir de um único front, autorize o compartilhamento de dados ou a iniciação de transações em outras instituições.
Em outras palavras, a tomadora pode disponibilizar, em sua própria jornada, funcionalidades baseadas em Open Finance, porém a posição regulatória nesse ambiente continua atribuída às instituições participantes, e não à tomadora. Por isso, contratos, integrações e comunicações com o cliente precisam deixar expresso:
- O que é serviço prestado via BaaS;
- O que é serviço prestado no escopo do Open Finance;
- Quais instituições figuram formalmente como participantes de Open Finance e quais atuam apenas como camada de distribuição e integração.
BaaS, subcredenciadores e prestadores de serviço de rede
Subcredenciadores e prestadores de serviço de rede são figuras típicas da regulação de arranjos de pagamento (geralmente relacionada a cartão de crédito e débito), disciplinadas pela Resolução BCB nº 150/2021. Em linhas gerais:
- Prestador de serviço de rede: entidade que disponibiliza infraestrutura de rede para captura e direcionamento de transações de pagamento, atuando na camada de conectividade e roteamento.
- Subcredenciador: participante do arranjo que habilita exclusivamente o usuário final recebedor para aceitar instrumentos de pagamento emitidos por instituições participantes, sem participar da liquidação como credor perante o emissor.
A Resolução Conjunta nº 16/2025:
- Exclui expressamente essas atividades do conceito de prestação de serviços de BaaS;
- Remete sua disciplina à regulação específica de arranjos de pagamento.
Na prática, muitos modelos de negócio combinam, no mesmo sistema:
- Subcredenciamento (habilitação e captura de transações);
- BaaS (conta, pagamento ou crédito associados ao usuário ou ao estabelecimento);
- Serviços de tecnologia (gateway, reconciliação, relatórios, antifraude).
No entanto, BaaS não substitui o regime de arranjos de pagamento; pois cada um possui regime regulatório distinto.
Modelos híbridos, atividades não abarcadas e necessidade de segmentação contratual
A Resolução Conjunta nº 16/2025 deixa claro que o rol de atividades não abrangidas pelo BaaS é não exaustivo, e que o próprio escopo de BaaS (art. 4º) é taxativo. Isso tem algumas consequências práticas:
1 - Existem atividades que não são BaaS, nem correspondente, nem subcredenciamento, nem Open Finance; e nem por isso são proibidas, como:
- Prestadores de tecnologia (motores de crédito, reconciliação, CRM, módulos de KYC);
- Gateways de pagamento que apenas roteiam transações dentro das regras de arranjos;
- Programas de fidelidade ou benefícios que não envolvem conta de pagamento regulada;
- Parcerias de indicação, sem prestação direta de serviço financeiro regulado.
2 - O fato de não serem BaaS significa que:
- não se submetem à Resolução Conjunta nº 16/2025, e não podem ser ofertadas ou rotuladas como BaaS;
- continuam sujeitos às suas normas setoriais próprias (LGPD, CDC etc.);
3 - O risco relevante surge quando:
- Uma estrutura situada fora do BaaS passa, na prática, a concentrar atividades privativas de instituição financeira ou de pagamento em entidade não autorizada;
- Nesse cenário, o problema não é “não ser BaaS”, mas sim configurar potencial exercício irregular de atividade privativa, com repercussões nas Leis nº 7.492/1986 e nº 13.506/2017.
No entanto, é perfeitamente possível que uma mesma entidade:
- Atue como tomadora de BaaS em determinada linha de produto;
- Seja correspondente em outra;
- Opere como subcredenciadora em certos arranjos; e, simultaneamente,
- Seja fornecedora de tecnologia para outros players.
A Resolução Conjunta nº 16/2025 não proíbe essa multiplicidade de papéis, mas impõe, na prática, uma exigência de segmentação jurídica, contratual e operacional, com:
- Contratos mais bem estruturados, com seções ou instrumentos distintos para cada regime;
- Mapeamento claro de responsabilidades, obrigações de compliance e fluxos de informação;
- Governança interna que valide o “rótulo regulatório” de cada parceria.
