Artigo
04/03/2026

Tomadora de BaaS: limites de atuação e aspectos controvertidos

Analisa restrições, deveres e desafios regulatórios da Tomadora em arranjos de Banking as a Service segundo a Resolução Conjunta nº 16/2025.

Avatar Thiago do Amaral Santos

Registros selecionados

Imagem de capa do artigo

A Resolução Conjunta nº 16/2025 consolida uma abordagem regulatória que reconhece a Tomadora de BaaS como elemento estrutural dos arranjos “Banking as a Service”.

A norma preserva a tomadora como agente de distribuição, canal e experiência do usuário, mas impõe limites e deveres orientados à mitigação de riscos de conduta, prudenciais e operacionais, com ênfase em:

  1. regime de remuneração e transparência tarifária
  2. vedação de trânsito de recursos em contas de titularidade da tomadora
  3. delimitação do perímetro de responsabilidades do prestador

Tomadora como interface, sem substituição do papel regulatório do Prestador

A tomadora é a pessoa jurídica estabelecida no Brasil que contrata instituição autorizada ("Prestadora") para que produtos e serviços financeiros e de pagamento sejam disponibilizados ao cliente por intermédio da Tomadora, por integração de canais, interfaces e processos. A Tomadora, portanto, pode exercer papel relevante na jornada do usuário: onboarding, UX, suporte e serviços complementares; mas não pode deslocar para si o papel institucional inerente ao Prestador de BaaS.

O arranjo pressupõe uma segmentação contratual: o cliente contrata com a Prestadora os serviços regulados (núcleo do BaaS) e contrata com a tomadora os serviços de natureza não regulada (p.ex., ERP, marketplace, logística, fidelização, gestão). Essa segmentação, além de organizar a alocação de responsabilidades, é essencial para reduzir o risco de confusão do usuário quanto ao fornecedor efetivo do serviço regulado e para impedir a criação de aparência institucional incompatível com a condição da Tomadora.

Padrões recorrentes no mercado de pagamentos

Na prática, a tomadora tende a ser o agente que detém (i) o canal de distribuição, (ii) a marca de relacionamento e (iii) a experiência do usuário, mas se vale da infraestrutura regulada da Prestadora para serviços financeiros e de pagamento. Isso inclui, tipicamente, "fintechs" que oferecem conta e cartão em interface própria; marketplaces que integram contas e pagamentos para sellers; aplicativos de mobilidade/delivery com funcionalidades transacionais; varejistas e programas de fidelidade com wallet; plataformas ERP B2B que integram serviços financeiros; e empresas não financeiras que incorporam serviços transacionais ao seu ecossistema.

Obrigações da tomadora: a lógica dos “deveres reflexos”

Embora a norma atribua formalmente inúmeras responsabilidades à Prestadora, diversos comandos se projetam sobre a tomadora por meio do contrato e do desenho operacional. As obrigações da tomadora se concentram em:

  1. transparência e conformidade informacional perante o cliente;
  2. segurança da informação, gestão de incidentes e governança de terceiros;
  3. cooperação em mecanismos de identificação, prevenção a fraude e PLD/FT;
  4. atendimento e tratamento de demandas, com escalonamento e preservação da responsabilidade final do Prestador no perímetro do serviço regulado.

Essa projeção é relevante porque, para fins de supervisão e responsabilidade, a Prestadora deve demonstrar governança e controle, o que usualmente exige da tomadora evidências documentais e operacionais (SLAs, logs, métricas de disponibilidade, procedimentos de escalonamento, trilhas de auditoria e protocolos de gestão de incidentes).

Vedações e limites de atuação da tomadora

Para fins de conformidade, o ponto de partida é reconhecer três categorias de vedações que delimitam a atuação da tomadora e condicionam o desenho do produto.

a) Vedação de cobrança ao cliente, em nome próprio, por serviços ofertados pela prestadora

A tomadora não pode cobrar do cliente, em seu próprio nome, tarifa, qualquer remuneração pela disponibilização de produtos e serviços ofertados pela Prestadora. Trata-se de comando de natureza eminentemente de conduta, voltado à preservação da integridade do regime tarifário do prestador e à mitigação de opacidade econômica.

b) Vedação de trânsito de recursos em conta de titularidade da Tomadora

A arquitetura do arranjo não pode implicar que recursos associados ao serviço regulado transitem, permaneçam ou sejam liquidados em conta de titularidade da tomadora, inclusive em estruturas funcionalmente equivalentes (p.ex., conta de passagem, conta centralizadora ou segregação meramente contábil em plataforma). O objetivo é evitar a centralização de recursos de terceiros pela tomadora e a criação de estruturas com natureza funcional análoga a "contas bolsão".

c) Vedação de configuração de correspondente por via transversa

O arranjo não pode ser estruturado de modo a caracterizar prestação, pela tomadora, de atendimento a clientes “em nome” do Prestador na forma típica de Correspondentes no País (Correspondente Bancário - Corban). O atendimento pela tomadora é admissível enquanto suporte e triagem; entretanto, decisões finais e atos característicos do perímetro regulado devem ser assegurados pela Prestadora, com controles e escalonamento.

Remuneração

A forma tecnicamente mais segura de estruturar a monetização do arranjo é separar três planos:

  1. Tarifas cobradas do cliente pelo serviço regulado: devem seguir o regime aplicável ao Prestador, e o cliente deve receber informação clara quanto ao prestador como sujeito ativo da cobrança.
  2. Remuneração interempresarial (B2B) prestador → tomador: é admissível, inclusive em formato de fee de aquisição, revenue share ou comissão por indicação, desde que prevista contratualmente, regras de estorno e mecanismos de auditoria, e sem ser transladada ao cliente como cobrança “em nome próprio”.
  3. Preço de serviços próprios da Tomadora: é permitido, desde que haja contraprestação autônoma (objeto, entregáveis e utilidade próprios), sem que o preço funcione como condição econômica para acesso ao serviço regulado.

Crédito, dados e bancarização

a) Compartilhamento de dados financeiros sob sigilo

A disciplina de sigilo bancário não impede, por si só, o compartilhamento de dados financeiros com a Tomadora, desde que haja consentimento expresso do titular, delimitado por finalidade, extensão e temporalidade, nos estritos limites do regime estabelecido pela Lei Complementar nº 105/2001. Em termos técnicos, trata-se de hipótese de afastamento legítimo do dever de sigilo por manifestação expressa do interessado, o que exige desenho documental e governança compatíveis com a natureza sensível das informações.

Duas ressalvas são relevantes para o desenho do BaaS:

  1. O consentimento não substitui a necessidade de minimização e de finalidade determinada, com trilhas de auditoria e controles de acesso; e
  2. O consentimento não deve ser utilizado para produzir equivalência funcional a vedações regulatórias específicas do arranjo BaaS (vedação de compartilhamento das informações do SCR sem consentimento).

b) Serviços de crédito e “bancarização”

No contexto de crédito, há estruturas em que a “bancarização” é operacionalmente necessária para viabilizar a originação, como em operações em que a instituição prestadora emite Cédula de Crédito Bancário (CCB) e, em seguida, promove a cessão do crédito para um FIDC ou para uma Securitizadora (ou estruturas equivalentes de aquisição de direitos creditórios).

Nesses casos, é tecnicamente adequado compreender o arranjo como BaaS/Credit as a Service voltado à originação regulada do crédito, desde que o núcleo regulatório permaneça com a Prestadora: contratação/constituição formal do crédito, controles prudenciais e de conduta aplicáveis, e governança de risco sob responsabilidade do ente autorizado.

Nessa modelagem, a Tomadora pode atuar como integradora da jornada (captação de lead, interface, coleta de dados e documentação, suporte operacional e serviços próprios), mas sem assumir, em nome próprio, funções que descaracterizem o perímetro do Prestador.

c) Distinção com o regime de correspondente (Corban)

A qualificação como correspondente não decorre, isoladamente, da existência (ou não) de remuneração por indicação/originação. O elemento determinante é a execução, por conta e em nome da instituição, de atividades típicas previstas na regulamentação de correspondentes, tais como recebimento e encaminhamento de propostas, realização de recebimentos, pagamentos e transferências, e demais atos de atendimento que, pela sua natureza, aproximam a tomadora do papel operacional da instituição contratante.

Assim, o modelo de originação via CCB para posterior cessão a FIDC/securitizadora tende a permanecer no campo do BaaS, e não do correspondente, quando a tomadora não pratica:

  1. atos de movimentação financeira por conta da instituição;
  2. execução de atividades típicas de atendimento “em nome” do prestador na forma de correspondente; e
  3. substituição do prestador nos atos nucleares do crédito, limitando-se a tarefas acessórias, integração tecnológica e serviços próprios, com governança e trilhas adequadas.

Atendimento ao cliente

O arranjo deve permitir que a tomadora realize atendimento inicial e suporte operacional, desde que o modelo preserve a responsabilidade final do Prestador no perímetro do serviço regulado e evite atuação representativa “em nome” do prestador nos moldes característicos de correspondentes.

A robustez do desenho costuma depender de:

  1. matriz de responsabilidades;
  2. SLAs e scripts;
  3. trilhas de escalonamento; e
  4. logs e evidências auditáveis.

Exclusividade do Prestador e contingência

A disciplina do arranjo impõe, na prática, restrições à manutenção de dois Prestadores simultaneamente habilitados para o mesmo tipo de serviço, sobretudo quando há conta subjacente e serviços transacionais correlatos. Essa restrição repercute diretamente em estratégias de resiliência que buscam “redundância” por múltiplos provedores.

Alternativamente, discute-se no mercado a adoção de contingência não simultânea, mediante arquitetura contratual condicionada: definição de gatilhos objetivos, cláusulas de ativação sob condição suspensiva, procedimentos de comprovação do evento, governança de ativação e planejamento operacional de transição.

É crucial notar que “contingência” envolve elementos concretos de migração e continuidade: migração de contas e saldos, gestão de chaves (Pix), substituição de cartões, manutenção de extratos e histórico e continuidade mínima de serviços ao cliente, com comunicação adequada.

Isto é: é possível que sejam celebrados dois contratos com Prestadores distintos, mas só um produzirá efeitos imediatos. O segundo contrato será contratado como contingência e permanecerá suspenso; e somente produzirá efeitos se for necessária a migração dos serviços, de acordo com as condições previstas na Res. 16/25.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Thiago do Amaral Santos

Thiago do Amaral Santos

Sócio BTLaw | Professor FGV e Insper | Fintech, Meios de Pagamento, Bancos Digitais

Tags

Itens vinculados

Nenhum item vinculado a este artefato.

Recomendações

Artigo

BaaS: distinções em relação a Corban, Open Finance, Outsourcing e Subcredenciamento

Artigo

Compliance para Fintechs

Artigo

Principais Temas da Consulta Pública do Banking as a Service: Parte 2