O que acontece se a instituição prestadora entrar em regime de resolução?

O contrato deve prever que a tomadora conceda acesso integral ao responsável pelo regime de resolução a contratos e informações e a notifique, com pelo menos 30 dias de antecedência, antes de interromper os serviços, admitindo prorrogação de mais 30 dias se solicitado.

Qual é o papel da entidade tomadora de serviços de BaaS?

A entidade tomadora de serviços de BaaS é a pessoa jurídica estabelecida no Brasil que contrata a instituição prestadora para disponibilizar aos seus clientes os serviços financeiros e de pagamento do art. 4º; ela mantém relação contratual própria com esses clientes para serviços não financeiros.

Quais entidades estão proibidas de atuar como prestadoras ou tomadoras de serviços de BaaS?

Cooperativas de crédito e sociedades de arrendamento mercantil não podem ser prestadoras de BaaS. Já confederações de serviço de cooperativas centrais de crédito e administradoras de consórcio estão proibidas de atuar tanto como prestadoras quanto como tomadoras de serviços de BaaS (art. 19).

Quais mecanismos de acompanhamento e controle são exigidos das instituições que atuam em BaaS?

Devem ser instituídos processos, testes, trilhas de auditoria, métricas, indicadores e procedimentos para identificar e corrigir deficiências. Esses mecanismos precisam ser testados, no mínimo, uma vez por ano pela auditoria interna.

Qual é o papel do Banco Central do Brasil no contexto do BaaS?

O Banco Central pode detalhar o escopo dos serviços, exigir certificações, definir requisitos técnicos, vetar ou restringir contratações, e determinar a suspensão ou encerramento de contratos que comprometam a segurança ou a higidez do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiro.

Quais são as principais responsabilidades da instituição prestadora de BaaS?

A prestadora deve garantir confiabilidade, integridade, disponibilidade, segurança e sigilo dos serviços; cumprir toda legislação e regulamentação aplicável; manter políticas de identificação e qualificação de clientes, prevenção de fraudes e prevenção à lavagem de dinheiro; e gerir riscos e controles internos relacionados aos serviços prestados.

Existe prazo para adequação dos contratos de BaaS já vigentes?

Sim. As instituições com contratos de BaaS em vigor na data da entrada em vigor da Resolução Conjunta devem adequar-se a todas as suas exigências até 31 de dezembro de 2026.

Quais cláusulas mínimas devem constar no contrato de prestação de BaaS?

O contrato deve incluir, entre outros pontos: objeto, papéis e responsabilidades, forma de remuneração, medidas de segurança de dados, acesso da prestadora a informações e relatórios, regras para terceirização de dados, mecanismos de supervisão pelo Banco Central, tratamento de demandas de clientes, vedações de cobrança pela tomadora, critérios para encerramento antecipado e proibição de subcontratar os serviços financeiros do art. 4º.

O que caracteriza a prestação de serviços de Banking as a Service (BaaS)?

A prestação de Banking as a Service – BaaS é a contratação pela qual uma instituição autorizada pelo Banco Central do Brasil integra seus sistemas à plataforma de uma entidade tomadora, para que esta ofereça aos seus clientes serviços financeiros ou de pagamento definidos no art. 4º, permanecendo a instituição prestadora responsável por tais serviços.

Quem pode atuar como instituição prestadora de serviços de BaaS?

Podem ser prestadoras de BaaS as instituições financeiras, instituições de pagamento e demais entidades autorizadas a funcionar pelo Banco Central do Brasil, excetuadas as cooperativas de crédito e as sociedades de arrendamento mercantil, que estão proibidas de exercer essa função.

Resolução Conjunta N° 16 | Banco Central

Resumo executivo

A Resolução Conjunta nº 16, de 28 de novembro de 2025, cria um regime próprio para a prestação de serviços de Banking as a Service, usualmente tratado como BaaS, por instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil. O documento tem natureza autônoma e organiza o modelo em torno de uma relação contratual entre instituição prestadora e entidade tomadora, com serviços financeiros ou de pagamento disponibilizados ao cliente por meio da tomadora.

O eixo da norma não é apenas conceitual. Ela cria comandos operacionais relevantes para produto, tecnologia, contratos, riscos, PLD, atendimento, auditoria, governança executiva, controles de terceiros, transparência ao cliente e retenção de documentos. A curadoria tratou a resolução como retrato do documento-fonte e não incorporou normas posteriores nem consolidou regulamentações futuras. Quando a própria resolução remete a regulamentação vigente ou futura do Banco Central, isso foi registrado como referência, ponto de atenção ou item de cobertura, sem inventar prazos, sistemas, formulários ou canais não expressos.

A extração gerou requisitos principalmente para prestadoras de BaaS e, em alguns casos, para instituições autorizadas que atuem também como tomadoras. A principal limitação de roteamento é que o dicionário de segmentação não possui tags para todos os tipos possíveis de instituição autorizada pelo Banco Central. Por isso, a maior parte dos requisitos usa recorte setorial financeiro amplo, com explicação de aplicabilidade em linguagem humana. A exceção mais granular está nas vedações do art. 19, que alcançam cooperativas de crédito, sociedades de arrendamento mercantil e administradoras de consórcio, além de confederações de serviço constituídas por cooperativas centrais de crédito, para as quais não há tag própria no dicionário.

Escopo e sujeitos regulados

A norma alcança instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil que prestem serviços de BaaS. Ela também trata da entidade tomadora de serviços de BaaS, definida como pessoa jurídica legalmente estabelecida no Brasil para cujos clientes são disponibilizados os serviços especificados. O cliente, por sua vez, mantém relação contratual com a prestadora para os serviços financeiros ou de pagamento e com a tomadora para outros serviços não abrangidos pelo rol da resolução.

O art. 3º foi tratado sobretudo como conjunto de definições e exceções. Correspondentes no país, serviços de processamento e armazenamento de dados e computação em nuvem, parcerias no Open Finance e certas atividades de subcredenciadores e prestadores de serviço de rede não foram convertidos em requisitos próprios, porque a resolução os usa para delimitar o que não é BaaS. Esses pontos, porém, são importantes para produto e jurídico: ajudam a evitar que uma parceria seja indevidamente classificada como BaaS ou que um contrato tente enquadrar como BaaS uma relação que pertence a outro regime regulatório.

O art. 4º define o núcleo do escopo contratual. O contrato de BaaS deve se limitar a serviços expressamente admitidos: abertura, manutenção e encerramento de contas; serviços de pagamento por meio dessas contas; credenciamento para aceitação de instrumentos de pagamento; operações de crédito; e outros serviços que venham a ser incluídos pelo Banco Central. A curadoria separou um requisito de escopo geral e outro para a condição de prestação por instituição autorizada, dentro de seu segmento regulatório, por canal eletrônico e integração de sistemas, plataformas, interfaces ou processos. Também foi extraída a vedação de ofertar como BaaS serviços não incluídos no rol.

Principais comandos operacionais

A contratação de BaaS passa a exigir governança formal. O art. 5º obriga que políticas, estratégias e estruturas de gerenciamento de riscos contenham regras e critérios para BaaS, com aprovação do conselho de administração ou, na inexistência dele, da diretoria. Esse comando é central porque conecta o modelo de negócio a apetite de risco, critérios de contratação, alçadas e monitoramento. Em empresas que já operam BaaS, esse requisito tende a exigir revisão documental e evidência de aprovação.

O art. 6º cria vedações para contratação. A instituição não deve formalizar contrato para que a tomadora atue em seu nome como correspondente; não deve contratar tomadora que já possua contrato em vigor com outra prestadora para certos serviços de contas e pagamentos, salvo exceção de conglomerado prudencial; e deve observar restrições de nomenclatura da tomadora. A curadoria transformou esse bloco em requisito de triagem contratual, porque a principal evidência esperada é um checklist ou análise prévia antes da assinatura.

O art. 7º exige diligência antes da contratação e durante a prestação dos serviços. O requisito não se limita a due diligence inicial: inclui governança, gestão de riscos, conformidade contratual, acesso a informações, segurança e recuperação de dados, certificações quando exigidas, relatórios independentes quando existentes, recursos de gestão, qualidade de controles de acesso e capacidade financeira e técnica da tomadora. Os parágrafos do art. 7º foram tratados como requisito separado de documentação e atualização, pois pedem procedimentos documentados, recursos de gestão, dados de disponibilidade, competências internas e proporcionalidade ao porte e perfil de risco da tomadora.

O art. 8º é um dos blocos mais densos. Ele exige que o contrato de BaaS contenha cláusulas mínimas sobre objeto, papéis e responsabilidades, remuneração, segurança de dados, acesso da prestadora a informações, acesso do Banco Central, medidas por determinação do Banco Central, tratamento de demandas, vedações, encerramento antecipado e subcontratação. A curadoria criou requisitos específicos para cláusulas mínimas, papéis perante cliente e controles, notificação de terceiros e incidentes de dados, e cláusulas de regime de resolução e encerramento. Essa separação evita um requisito guarda-chuva e permite que produto, jurídico, tecnologia, atendimento, PLD e riscos acompanhem evidências distintas.

Responsabilidades, cliente e controles

Os arts. 9º a 13 concentram responsabilidades da instituição prestadora. O art. 9º torna a prestadora responsável por confiabilidade, integridade, disponibilidade, segurança e sigilo dos serviços, além do cumprimento da legislação e regulação aplicáveis. O art. 10 atribui à prestadora responsabilidade por política, procedimentos e controles de identificação, qualificação e perfil de risco dos clientes, prevenção de fraudes e PLD/FT, mesmo quando a tomadora execute tarefas acessórias. O art. 11 reforça a necessidade de mecanismos de cooperação da tomadora. O art. 12, por sua vez, trata das operações de crédito, exigindo cumprimento da regulação de crédito, controles internos e gerenciamento de riscos.

Um ponto sensível é o art. 10, § 3º. Em tarefas acessórias relacionadas a operações de crédito, a instituição deve observar o sigilo bancário e não pode disponibilizar acesso ao Sistema de Informações de Créditos nem fornecer informações ali contidas à tomadora. Esse item foi separado como requisito próprio de proibição porque exige controle tecnológico, segregação de acessos, análise de integrações e evidências específicas.

O art. 13 exige designação de diretor responsável pela observância da resolução. A curadoria classificou como requisito de governança, com criticidade média após segunda passada, porque é uma obrigação formal relevante, mas controlável por ato societário ou registro de governança. Ainda assim, para empresas que pretendam operar BaaS, a falta de designação tende a indicar fragilidade de accountability.

Nos arts. 14 a 16, a resolução trata do relacionamento com clientes. A prestadora deve assegurar identificação acessível e visível como prestadora nos canais, interfaces, contratos, documentos e instrumentos de pagamento; qualidade e tempestividade dos dados; aderência à política institucional de relacionamento; aplicação das tarifas permitidas; informação clara sobre cobrança; e responsabilidade pelo atendimento das demandas de clientes. A tomadora pode apoiar atendimento, mas a responsabilidade não se desloca da prestadora.

Evidências, controles e áreas envolvidas

A implementação prática tende a exigir um conjunto de evidências: matriz de escopo dos serviços de BaaS, dossiê de autorização e integração eletrônica, política de riscos atualizada, checklist de vedações contratuais, dossiê de diligência da tomadora, procedimento de verificação atualizado, contrato com cláusulas mínimas, matriz de responsabilidades, registros de incidentes e terceiros relevantes, cláusulas de regime de resolução, relatórios de disponibilidade e segurança, registros de KYC, fraude e PLD/FT, matriz de acessos ao Sistema de Informações de Créditos, registro de diretor responsável, evidências de transparência nos canais, tabela de tarifas, relatórios de demandas de clientes, relatório anual de teste de controles, painel de qualidade da tomadora, comprovação de atualização perante o Banco Central e página pública de tomadoras.

As áreas internas sugeridas variam conforme o requisito. Produto e canais aparecem no escopo dos serviços, oferta ao cliente e transparência. Jurídico regulatório e contratos aparecem nos blocos de contratação, vedações, cláusulas mínimas, regime de resolução e adequação de contratos vigentes. Riscos e controles aparecem em políticas, diligência, mecanismos de acompanhamento e qualidade da tomadora. Tecnologia, cibersegurança e dados aparecem nos requisitos de integração, disponibilidade, segurança, incidentes, dados e bloqueio de acesso ao Sistema de Informações de Créditos. PLD e cadastro aparecem nos controles de identificação, perfil de risco, fraude e PLD/FT. Atendimento e ouvidoria aparecem nos requisitos de relacionamento e demandas de clientes. Auditoria interna aparece de forma específica no teste anual mínimo dos mecanismos de acompanhamento e controle.

O art. 17 merece atenção especial porque traz a única recorrência normativa expressa convertida em série: os mecanismos de acompanhamento e controle devem ser submetidos a testes periódicos, com frequência mínima anual, pela auditoria interna. A curadoria incluiu RRULE anual para esse requisito. Outras rotinas como atualização de informações, monitoramento de qualidade ou revisão de contratos foram tratadas como controles sugeridos ou gatilhos, não como recorrência normativa, porque a resolução não define periodicidade fixa.

Retenção, prazo transitório e pontos de atenção

O art. 21 traz prazos mínimos de retenção. Documentação dos procedimentos do art. 7º e contratos do art. 8º devem ser mantidos por cinco anos a partir da extinção do contrato. Dados, registros e informações relativos à aplicação dos mecanismos de acompanhamento e controle devem ser mantidos por dez anos a partir de cada aplicação. Isso exige classificação documental, parametrização de guarda, trilhas de auditoria e capacidade de recuperação perante o Banco Central.

O art. 22 criou prazo transitório para contratos vigentes na data de entrada em vigor da resolução. Instituições que já tinham contrato vigente para serviços abrangidos devem se adequar até 31 de dezembro de 2026. Como a data atual do pacote é 27 de maio de 2026, esse item permanece ativo para acompanhamento. A curadoria não classificou o requisito como encerrado, pois o prazo ainda não havia terminado na data de geração.

Os arts. 23 e 24 foram mantidos como pontos de cobertura, mas não viraram requisitos empresariais autônomos. O art. 23 autoriza o Banco Central a disciplinar aspectos de execução, como detalhamento do escopo, novos serviços, certificações, relatório especializado, mecanismos de controle, forma de disponibilização de informações e requisitos técnicos e operacionais. O art. 24 trata de poderes do Banco Central para vetar, restringir, suspender ou encerrar contratos de BaaS. Esses dispositivos podem gerar efeitos empresariais quando houver ato complementar ou decisão concreta, mas, no retrato desta resolução, são principalmente comandos ao regulador.

Limitações e decisões de curadoria

A extração usou a página oficial do Banco Central para identificação do normativo e a busca oficial de normas para confirmar título, número, data e ementa. No ambiente de leitura usado na geração, a página oficial do BCB dependia de JavaScript para abertura integral. Por isso, o texto material foi conferido em espelho público do conteúdo normativo, e o manifest foi marcado como revisar. Essa marcação não impede importação; indica apenas que houve limitação técnica de acesso ao HTML oficial completo.

A curadoria não criou requisitos genéricos como cumprir a resolução ou observar a regulamentação. Definições e exceções foram mantidas como documentoPontos quando úteis à rastreabilidade. Competências do Banco Central foram classificadas como itens internos do regulador ou pontos de apoio, sem converter em obrigações empresariais diretas. Também não foram inventados formulários, canais, códigos, prazos de reporte ou periodicidades além do que o texto trouxe expressamente.

A distribuição de criticidade foi revisada. Itens estruturantes de escopo, contratação vedada, políticas de risco, diligência, cláusulas contratuais, PLD/FT, sigilo bancário, crédito, atendimento, mecanismos de controle, vedações por entidade, retenção e adequação transitória ficaram com criticidade alta. Itens relevantes porém mais documentais, formais ou controláveis, como integração eletrônica, documentação de procedimentos, regime de resolução por evento, diretor responsável, transparência operacional, tarifas, qualidade da tomadora e atualização de informações, foram calibrados como criticidade média quando a natureza do controle permitia correção operacional com menor severidade imediata.

Resolução Nº 16

RESOLUÇÃO CONJUNTA Nº 16, DE 28 DE NOVEMBRO DE 2025

Dispõe sobre a prestação de serviços de Banking as a Service – BaaS por parte das instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

O Banco Central do Brasil, na forma do art. 9º da Lei nº 4.595, de 31 de dezembro de 1964, torna público que sua Diretoria Colegiada, em sessão realizada em 17 de novembro de 2025, e o Conselho Monetário Nacional, em sessão realizada em 27 de novembro de 2025, com base nos arts. 3º, caput, inciso V, e 4º, caput, incisos VI e VIII, da Lei nº 4.595, de 31 de dezembro de 1964, 9º-A da Lei nº 4.728, de 14 de julho de 1965, 20, § 1º, da Lei nº 4.864, de 29 de novembro de 1965, 1º do Decreto-Lei nº 70, de 21 de novembro de 1966, 7º e 23, caput, alínea “a”, da Lei nº 6.099, de 12 de setembro de 1974, 1º, caput, inciso II, da Lei nº 10.194, de 14 de fevereiro de 2001, 9º, caput, incisos II e X, da Lei nº 12.865, de 9 de outubro de 2013, e 1º, § 1º, da Lei Complementar nº 130, de 17 de abril de 2009,

R E S O L V E R A M :

CAPÍTULO I
DO OBJETO E DO ÂMBITO DE APLICAÇÃO

Art. 1º Esta Resolução Conjunta dispõe sobre a prestação de serviços de Banking as a Service – BaaS por parte das instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

CAPÍTULO II
DAS DEFINIÇÕES

Art. 2º As instituições referidas no art. 1º devem observar as disposições desta Resolução Conjunta na prestação de serviços de BaaS.

Art. 3º Para efeito desta Resolução Conjunta, consideram-se:

I - prestação de serviços de BaaS: a contratação entre a instituição prestadora de serviços de BaaS e a entidade tomadora de serviços de BaaS para que os serviços financeiros e de pagamento especificados no art. 4º sejam disponibilizados ao cliente por intermédio da entidade tomadora de serviços de BaaS;

II - instituição prestadora de serviços de BaaS: a instituição referida no art. 1º que firma contrato com a entidade tomadora de serviços de BaaS para prestação dos serviços financeiros ou de pagamento especificados no art. 4º ao cliente;

III - entidade tomadora de serviços de BaaS: a pessoa jurídica legalmente estabelecida no Brasil para cujos clientes são disponibilizados os serviços financeiros e de pagamento especificados no art. 4º, prestados nos termos de contrato firmado com a instituição prestadora de serviços de BaaS; e

IV - cliente: a pessoa natural ou jurídica que possua relação contratual:

a) com a instituição prestadora de serviços de BaaS para prestação dos serviços financeiros e de pagamento especificados no art. 4º; e

b) com a entidade tomadora de serviços de BaaS para prestação de outros serviços não especificados no art. 4º.

Parágrafo único. Não se inserem na prestação de serviços de BaaS de que trata o inciso I do caput, de forma não exaustiva:

I - a prestação de serviços de correspondentes no país, na forma da regulamentação específica;

II - a prestação de serviços de processamento e armazenamento de dados e de computação em nuvem, na forma da regulamentação específica;

III - as parcerias no âmbito do Open Finance, na forma da regulamentação específica; e

IV - as atividades desempenhadas pelos subcredenciadores e pelos prestadores de serviço de rede, na forma da regulamentação que trata dos arranjos de pagamento integrantes do Sistema de Pagamentos Brasileiro.

CAPÍTULO III
DO ESCOPO DOS SERVIÇOS A SEREM PRESTADOS

Art. 4º O contrato de prestação de serviços de BaaS deve ter como escopo exclusivamente um ou mais dos seguintes serviços:

I - abertura, manutenção e encerramento de contas de:

a) depósitos à vista;

b) depósitos de poupança;

c) pagamento pré-pagas; ou

d) pagamento pós-pagas;

II - prestação de serviços de pagamento realizados por meio das contas de que trata o inciso I;

III - prestação de serviços de credenciamento à aceitação de instrumentos de pagamento em arranjos de pagamento;

IV - prestação de serviços de operações de crédito, incluindo oferta, contratação, administração e cobrança; e

V - outros serviços que vierem a ser incluídos, conforme disposto no art. 23, caput, inciso II.

§ 1º Os serviços de que trata o caput somente podem ser prestados:

I - pelas instituições referidas no art. 1º, observada:

a) a autorização de funcionamento concedida pelo Banco Central do Brasil;

b) a relação de operações, atividades e serviços previstos na regulamentação do segmento em que atua, em se tratando de instituição cuja disciplina contemple rol exaustivo de operações, atividades e serviços; e

c) a legislação e a regulamentação vigentes para o desempenho de tais operações, atividades e serviços; e

II - por meio de canal eletrônico, utilizando a integração de sistemas, plataformas, interfaces ou de processos entre a instituição prestadora de serviços de BaaS e a entidade tomadora de serviços de BaaS, observados os procedimentos definidos contratualmente, bem como o disposto nesta Resolução Conjunta, na legislação e na regulamentação em vigor.

§ 2º Para a prestação dos serviços de abertura, manutenção e encerramento de contas de que trata o inciso I do caput, as contas devem ser de titularidade do cliente na instituição prestadora de serviços de BaaS.

§ 3º A prestação de serviços de pagamento de que trata o inciso II do caput depende da compatibilidade da prestação de serviços de BaaS com as normas que disciplinam o funcionamento do arranjo de pagamento e dos serviços de pagamento referentes à respectiva transação de pagamento.

§ 4º Na prestação dos serviços de pagamento de que trata o inciso II do caput, as transações de pagamento devem ter como origem ou destino exclusivamente as contas de titularidade do cliente na instituição prestadora de serviços de BaaS.

§ 5º A prestação dos serviços de que trata o inciso IV do caput requer que o cliente seja o devedor da operação de crédito contratada com a instituição prestadora de serviços de BaaS.

§ 6º A celebração de contrato entre instituição referida no art. 1º e pessoa jurídica para a prestação de serviços financeiros ou de pagamento não previstos nos incisos I a V do caput:

I - não se sujeita ao regramento contido nesta Resolução Conjunta;

II - não consiste na prestação de serviço de BaaS; e

III - não pode ser objeto de oferta a clientes como prestação de serviço de BaaS.

CAPÍTULO IV
DA CONTRATAÇÃO DE SERVIÇOS DE BAAS

Art. 5º As instituições referidas no art. 1º devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos requeridas na regulamentação em vigor contenham regras e critérios para a prestação de serviços de BaaS, nos termos previstos nesta Resolução Conjunta.

§ 1º Caso a instituição prestadora de serviços de BaaS e a entidade tomadora de serviços de BaaS sejam instituições autorizadas a funcionar pelo Banco Central do Brasil, o disposto no caput se aplica a ambas.

§ 2º As políticas, estratégias e estruturas devem ser aprovadas pelo conselho de administração ou, na sua inexistência, pela diretoria da instituição.

Art. 6º É vedado às instituições referidas no art. 1º formalizar contrato para prestação de serviços de BaaS:

I - com o objetivo de a entidade tomadora de serviços de BaaS atuar em nome da instituição prestadora para disponibilizar a prestação dos serviços de que trata o art. 4º, na forma da regulamentação que disciplina os correspondentes no país;

II - com a entidade tomadora de serviços de BaaS que possua contrato de prestação de serviços de BaaS em vigor com outra instituição prestadora de serviços de BaaS para a disponibilização dos serviços de abertura, manutenção e encerramento de contas de depósitos à vista, incluindo os serviços de pagamento realizados por meio dessas contas;

III - com a entidade tomadora de serviços de BaaS que possua contrato de prestação de serviços de BaaS em vigor com outra instituição prestadora de serviços de BaaS para a disponibilização dos serviços de abertura, manutenção e encerramento de contas de depósitos de poupança, incluindo os serviços de pagamento realizados por meio dessas contas;

IV - com a entidade tomadora dos serviços de BaaS que possua contrato de prestação de serviços de BaaS em vigor com outra prestadora de serviços de BaaS para a prestação dos serviços de abertura, manutenção e encerramento de contas de pagamento pré-pagas, incluindo os serviços de pagamento realizados por meio dessas contas;

V - com a entidade tomadora dos serviços de BaaS que possua contrato de prestação de serviços de BaaS em vigor com outra prestadora de serviços de BaaS para a prestação dos serviços de abertura, manutenção e encerramento de contas de pagamento pós-pagas, incluindo os serviços de pagamento realizados por meio dessas contas; e

VI - com entidade tomadora de serviços de BaaS que, em sua nomenclatura, empregue termos característicos definidores da nomenclatura das instituições do Sistema Financeiro Nacional ou do Sistema de Pagamentos Brasileiro ou expressões similares em vernáculo ou em idioma estrangeiro, exceto em caso de a entidade tomadora ser instituição autorizada a funcionar pelo Banco Central do Brasil, observada a regulamentação específica.

Parágrafo único. As vedações mencionadas nos incisos II, III, IV e V do caput não se aplicam quando a entidade tomadora de serviços de BaaS for instituição referida no art. 1º integrante do mesmo conglomerado prudencial da instituição prestadora de serviços de BaaS.

Art. 7º As instituições prestadoras de serviços de BaaS, previamente à contratação e durante a prestação dos serviços de que trata o art. 4º, devem implementar procedimentos que contemplem, no mínimo:

I - a adoção de práticas de governança corporativa e de gestão de riscos compatíveis com as exposições decorrentes da contratação; e

II - a verificação da capacidade da entidade tomadora de serviços de BaaS de assegurar:

a) a conformidade contratual para o cumprimento da legislação e da regulamentação em vigor;

b) o acesso da instituição prestadora de serviços de BaaS a informações sobre a efetividade da transferência de dados e de informações relativos aos serviços prestados;

c) a confidencialidade, a integridade, a disponibilidade e a recuperação de dados e de informações sobre serviços prestados;

d) a aderência a certificações, quando exigidas pela instituição prestadora de serviços de BaaS para a execução dos serviços, observado o disposto no art. 23, caput, inciso III;

e) o acesso da instituição prestadora de serviços de BaaS a relatórios elaborados por empresa especializada independente, caso existentes, relativos aos procedimentos e aos controles utilizados pela entidade tomadora de serviços de BaaS, observado o disposto no art. 23, caput, inciso IV;

f) o provimento de informações e a existência de recursos de gestão adequados ao monitoramento dos serviços prestados;

g) a qualidade dos controles de acesso voltados à proteção de dados pessoais, observada a legislação específica, e de informações sobre os serviços prestados; e

h) a capacidade financeira e técnica para execução dos serviços previstos no contrato de prestação de serviços de BaaS.

§ 1º Os procedimentos de que trata o caput, inclusive no que diz respeito às informações relativas à verificação mencionada no inciso II do caput, devem ser documentados e permanentemente atualizados pela instituição prestadora de serviços de BaaS.

§ 2º Os recursos de gestão de que trata o inciso II, alínea "f", do caput devem conter meio de a instituição prestadora de serviços de BaaS ter acesso a dados e a informações sobre a disponibilidade dos serviços prestados por meio de plataformas ou de sistemas eletrônicos disponibilizados pela entidade tomadora de serviços de BaaS.

§ 3º A instituição prestadora de serviços de BaaS deve possuir recursos e competências necessários para a adequada gestão do contrato, inclusive para a análise de informações e para o uso dos recursos providos nos termos do inciso II, alínea "f", do caput.

§ 4º Os procedimentos de que trata o caput devem ser compatíveis com a natureza, o porte, a complexidade, a criticidade, a relevância, a estrutura, o perfil de risco e o modelo de negócio da entidade tomadora de serviços de BaaS.

§ 5º A capacidade da entidade tomadora de serviços de BaaS de que trata o inciso II do caput pode, a critério da instituição prestadora de serviços de BaaS, ser verificada mediante a comprovada aderência às certificações de que trata o inciso II, alínea "d", do caput ou atestada por auditoria independente.

Art. 8º O contrato para prestação de serviços de BaaS deve prever, no mínimo:

I - o objeto do contrato;

II - os papéis e as responsabilidades das partes contratantes;

III - a forma de remuneração entre a entidade tomadora de serviços de BaaS e a instituição prestadora de serviços de BaaS;

IV - a adoção de medidas de segurança para a recepção e o armazenamento, pela entidade tomadora de serviços de BaaS, dos dados ou informações sobre serviços ofertados aos clientes, bem como dos dados fornecidos pelos clientes;

V - o acesso da instituição prestadora de serviços de BaaS a:

a) informações fornecidas pela entidade tomadora de serviços de BaaS, visando a verificar o cumprimento do disposto no inciso IV e no art. 6º;

b) informações relativas às certificações e aos relatórios de que trata o art. 7º, caput, inciso II, alíneas "d" e "e"; e

c) informações e recursos de gestão adequados ao monitoramento dos serviços prestados de que trata o art. 7º, caput, inciso II, alínea "f";

VI - a obrigação de a entidade tomadora de serviços de BaaS notificar previamente a instituição prestadora de serviços de BaaS sobre a contratação de empresa terceira para processar ou armazenar dados ou informações considerados relevantes pela referida instituição prestadora;

VII - a permissão de acesso do Banco Central do Brasil ao contrato de que trata o caput, à documentação e às informações referentes aos dados e às informações sobre serviços prestados, aos procedimentos e códigos de acesso a tais informações, bem como a qualquer outra informação relacionada à prestação de serviços de BaaS;

VIII - a possibilidade de adoção de medidas pela instituição prestadora de serviços de BaaS em decorrência de determinação do Banco Central do Brasil;

IX - a obrigação de a entidade tomadora de serviços de BaaS manter a instituição prestadora de serviços de BaaS permanentemente informada sobre eventuais limitações que possam afetar os serviços prestados ou o cumprimento da legislação e da regulamentação em vigor;

X - os procedimentos para o tratamento de demandas encaminhadas pelo cliente;

XI - a vedação à entidade tomadora de serviços de BaaS de cobrança, em seu nome, de tarifa, comissão ou qualquer outra forma de remuneração pelo fornecimento aos clientes de produtos ou serviços ofertados pela instituição prestadora de serviços de BaaS;

XII - a declaração de que a entidade tomadora de serviços de BaaS tem pleno conhecimento de que a realização, por sua própria conta, das operações consideradas privativas de instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil ou de outras operações vedadas pela legislação vigente sujeita o infrator às penalidades previstas nas Leis ns. 7.492, de 16 de junho de 1986, e 13.506, de 13 de novembro de 2017;

XIII - as causas que justificam o encerramento antecipado do contrato e suas consequências;

XIV - a vedação à entidade tomadora de serviços de BaaS de realizar transações de pagamento, recebimentos e depósitos em conta própria de valores relacionados a serviços prestados pela instituição prestadora de serviços de BaaS aos clientes; e

XV - a vedação à subcontratação, pela entidade tomadora de serviços de BaaS, dos serviços mencionados no art. 4º.

§ 1º É vedado incluir no objeto do contrato de que trata o inciso I do caput a prestação de serviços, pela entidade tomadora de serviços de BaaS, de atendimento a clientes em nome da instituição prestadora de serviços de BaaS, na forma da regulamentação que dispõe sobre correspondentes no país.

§ 2º Os papéis e responsabilidades mencionados no inciso II do caput devem compreender:

I - os deveres de a entidade tomadora de serviços de BaaS e a instituição prestadora de serviços de BaaS informarem ao cliente que a entidade tomadora de serviços de BaaS não atua em nome da instituição prestadora de serviços de BaaS, para fins da prestação dos serviços de que trata o art. 4º;

II - a obrigação de a entidade tomadora de serviços de BaaS apresentar aos clientes a informação de que não é uma instituição autorizada a funcionar pelo Banco Central do Brasil, conforme o caso, para a prestação dos serviços contemplados no contrato de prestação de serviços de BaaS;

III - a responsabilidade pelos esclarecimentos ao cliente sobre:

a) os serviços prestados, inclusive no caso de o contrato de prestação de serviços de BaaS ser encerrado, observado o disposto no § 6º;

b) os procedimentos necessários para a portabilidade de operações de crédito contratadas perante a instituição prestadora de serviços de BaaS, conforme o interesse do cliente; e

c) as situações em que as operações de crédito contratadas com a instituição prestadora de serviços de BaaS sejam cedidas por essa instituição, com a devida clareza em relação às condições de exercício dos direitos do cliente após a cessão, e a identificação precisa do cessionário que adquiriu o crédito, incluindo informações de contato do novo credor e de eventual relação que se mantenha com a instituição prestadora de serviços de BaaS, a exemplo de manter-se responsável pela cobrança e renegociações de termos da operação;

IV - o compartilhamento, entre a entidade tomadora de serviços de BaaS e a instituição prestadora de serviços de BaaS, de dados e de informações relativos aos clientes e aos serviços prestados necessários ao cumprimento das responsabilidades descritas no Capítulo V; e

V - a obrigação de a entidade tomadora de serviços de BaaS:

a) prover informações para a execução de procedimentos sob responsabilidade da instituição prestadora de serviços de BaaS relativos à identificação e à qualificação dos clientes, bem como à análise do seu perfil de risco, à prevenção de fraudes e à política de prevenção à lavagem de dinheiro e ao financiamento do terrorismo; e

b) prestar informações aos clientes, de forma clara e precisa, sobre a cobrança de tarifas pelos serviços prestados pela instituição prestadora de serviços de BaaS.

§ 3º A relação decorrente da prestação de serviços de BaaS não deve servir como barreira para a portabilidade da operação de crédito originada nos termos do contrato, conforme interesse do cliente.

§ 4º Os parâmetros adotados pela instituição prestadora de serviços de BaaS para considerar a relevância do serviço a ser notificado, de que trata o inciso VI do caput, devem:

I - estar contemplados nos critérios para contratação com as entidades tomadoras de serviços de BaaS de que trata o art. 5º, caput; e

II - considerar, quando existente, a classificação quanto à relevância de serviços a serem contratados, estabelecida pela instituição prestadora de serviços de BaaS para o cumprimento da regulamentação vigente sobre a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem por instituições autorizadas a funcionar pelo Banco Central do Brasil.

§ 5º A obrigação de que trata o inciso IX do caput deve abranger a comunicação de incidentes de violação da segurança dos dados e informações sobre serviços prestados e as medidas adotadas pela entidade tomadora de serviços de BaaS para a sua prevenção, mitigação e solução.

§ 6º O contrato mencionado no caput deve prever:

I - para o caso da decretação, pelo Banco Central do Brasil, de regime de resolução da instituição prestadora de serviços de BaaS:

a) a obrigação de a entidade tomadora de serviços de BaaS conceder pleno e irrestrito acesso do responsável pelo regime de resolução aos contratos, aos acordos, à documentação e às informações referentes ao serviço, bem como aos procedimentos e aos códigos de acesso, mencionados no inciso VII do caput, que estejam em posse da entidade tomadora de serviços de BaaS; e

b) a obrigação de notificação prévia ao responsável pelo regime de resolução sobre a intenção de a entidade tomadora de serviços de BaaS interromper a prestação dos serviços contratados, com pelo menos trinta dias de antecedência da data prevista para a interrupção, observado que:

1. a entidade tomadora de serviços de BaaS obriga-se a aceitar eventual pedido de prazo adicional de trinta dias para a interrupção do serviço, feito pelo responsável pelo regime de resolução; e

2. a notificação prévia deverá ocorrer também na situação em que a interrupção for motivada por descumprimento da forma de remuneração estabelecida entre as partes contratantes, mencionada no art. 8º, caput, inciso III;

II - para o caso de encerramento da relação contratual:

a) a previsão da continuidade ou não da prestação dos serviços ao cliente pela prestadora de serviços de BaaS;

b) a obrigação de a entidade tomadora de serviços de BaaS assegurar a devida transparência ao cliente, incluindo esclarecimentos sobre as consequências da continuidade ou não dos serviços prestados pela instituição prestadora de serviços de BaaS; e

c) a previsão de o cliente poder optar por encerrar o seu relacionamento, no que couber, com a instituição prestadora de serviços de BaaS ou com a entidade tomadora de serviços de BaaS.

CAPÍTULO V
DAS RESPONSABILIDADES

Art. 9º A instituição prestadora de serviços de BaaS é responsável por garantir a confiabilidade, a integridade, a disponibilidade, a segurança e o sigilo dos serviços prestados nos termos desta Resolução Conjunta, bem como o cumprimento da legislação e da regulamentação aplicáveis a esses serviços.

Parágrafo único. O disposto no caput aplica-se também à entidade tomadora de serviços de BaaS que seja instituição autorizada a funcionar pelo Banco Central do Brasil, no que for de sua responsabilidade, incluindo os serviços prestados nos ambientes tecnológicos e sistemas eletrônicos por ela disponibilizados.

Art. 10. A instituição prestadora de serviços de BaaS é responsável pela política e pelos procedimentos e controles relacionados à:

I - identificação e à qualificação dos clientes, bem como à análise do seu perfil de risco;

II - prevenção de fraudes; e

III - prevenção à lavagem de dinheiro e ao financiamento do terrorismo.

§ 1º A instituição prestadora de serviços de BaaS pode valer-se da entidade tomadora de serviços de BaaS para a realização de tarefas acessórias aos procedimentos e controles de que trata o caput, sem prejuízo das responsabilidades impostas para a instituição prestadora de serviços de BaaS, nos termos desta Resolução Conjunta, da regulação e da legislação em vigor.

§ 2º A instituição prestadora de serviços de BaaS deve prover os procedimentos, mecanismos e ferramentas a serem utilizados pela entidade tomadora de serviços de BaaS para a realização das tarefas de que trata o § 1º.

§ 3º Para tarefas acessórias relacionadas à oferta, contratação, administração e cobrança de operações de crédito, de que trata o art. 4º, caput, inciso IV, deve ser observado o sigilo bancário estabelecido pela Lei Complementar nº 105, de 10 de janeiro de 2001, ficando vedados a disponibilização de acesso ao Sistema de Informações de Créditos – SCR e o fornecimento de informações contidas no SCR pela instituição prestadora de serviços de BaaS à entidade tomadora de serviços de BaaS.

Art. 11. A instituição prestadora de serviços de BaaS deve adotar mecanismos para garantir a cooperação de entidades tomadoras de serviços de BaaS na sua aderência à política e aos procedimentos e controles dispostos no art. 10, caput, observado o disposto no art. 8º, § 2º, inciso V, alínea "a".

Art. 12. Na prestação de serviços de que trata o art. 4º, caput, inciso IV, a instituição prestadora de serviços de BaaS é responsável pelo cumprimento da regulamentação vigente relativa às operações de crédito, incluindo controles internos e gerenciamento de riscos.

Art. 13. A instituição autorizada a funcionar pelo Banco Central do Brasil que atuar na condição de prestadora de serviços de BaaS ou de entidade tomadora de serviços de BaaS deve designar diretor responsável pela observância do disposto nesta Resolução Conjunta.

Parágrafo único. O diretor mencionado no caput pode desempenhar outras funções na instituição, desde que não se configure conflito de interesses.

CAPÍTULO VI
DOS ASPECTOS DE RELACIONAMENTO COM O CLIENTE

Art. 14. A instituição prestadora de serviços de BaaS deve assegurar:

I - a apresentação das informações necessárias à sua identificação como prestadora dos serviços de que trata o art. 4º, de forma acessível e visível ao cliente, nos canais e interfaces a este disponibilizados, bem como em contratos, em outros documentos e em instrumentos de pagamento relacionados aos serviços contratados;

II - a qualidade e a tempestividade dos dados e das informações repassados pela entidade tomadora de serviços de BaaS à instituição prestadora de serviços de BaaS e aos clientes, restrita ao âmbito da prestação de serviços de que trata o art. 4º; e

III - a aderência da prestação de serviços de BaaS à sua política institucional de relacionamento com clientes e usuários, conforme disposto na regulamentação vigente.

Parágrafo único. O disposto no inciso I do caput não restringe:

I - a apresentação das informações pela entidade tomadora de serviços de BaaS caso esta atue com mais de uma instituição prestadora de serviços de BaaS; e

II - a identificação da entidade tomadora de serviços de BaaS de forma acessível e visível ao cliente.

Art. 15. Aos serviços financeiros e de pagamento previstos no art. 4º, quando prestados no âmbito de um contrato de prestação de serviços de BaaS, aplicam-se as mesmas tarifas permitidas pela regulamentação vigente às instituições autorizadas a funcionar pelo Banco Central do Brasil.

Parágrafo único. A instituição prestadora de serviços de BaaS deve assegurar à entidade tomadora de serviços de BaaS a prestação de informações de forma clara e precisa sobre a cobrança de tarifas dos clientes, observado o disposto no art. 8º, § 2º, inciso V, alínea "b".

Art. 16. A instituição prestadora de serviços de BaaS é responsável pelo atendimento de demandas de seus clientes no âmbito da prestação dos serviços de que trata o art. 4º.

Parágrafo único. A instituição prestadora de serviços de BaaS pode valer-se da entidade tomadora dos serviços de BaaS para o atendimento de demandas do cliente, sem se eximir da responsabilidade de que trata o caput.

CAPÍTULO VII
DOS MECANISMOS DE ACOMPANHAMENTO E CONTROLE

Art. 17. As instituições financeiras, as instituições de pagamento e as demais instituições autorizadas a funcionar pelo Banco Central do Brasil, na condição de prestadoras de serviços de BaaS e de entidades tomadoras de serviços de BaaS, devem instituir mecanismos de acompanhamento e de controle com vistas a assegurar a efetividade do cumprimento do disposto nesta Resolução Conjunta, incluindo:

I - a definição de processos, testes e trilhas de auditoria;

II - a definição de métricas e indicadores adequados; e

III - a identificação e a correção de eventuais deficiências.

Parágrafo único. Os mecanismos de que trata o caput devem ser submetidos a testes periódicos, de frequência mínima anual, pela auditoria interna da instituição de que trata o caput.

Art. 18. As instituições prestadoras de serviços de BaaS devem instituir mecanismos de controle de qualidade da atuação da entidade tomadora dos serviços de BaaS, levando em conta, entre outros:

I - indicadores de acompanhamento de qualidade de atendimento aos clientes, considerando, inclusive, demandas e reclamações registradas; e

II - parâmetros sobre acordos de níveis de serviço dos sistemas utilizados ou integrados pela entidade tomadora.

§ 1º Os mecanismos de que trata o caput devem estar formalizados contratualmente e prever a adoção de medidas, caso identificadas irregularidades ou inobservância dos padrões estabelecidos para os indicadores, incluindo a possibilidade de suspensão da prestação dos serviços e o encerramento antecipado do contrato nos casos considerados graves.

§ 2º Os indicadores de que trata o caput e as medidas mencionadas no § 1º devem ser contemplados nos critérios estabelecidos pela instituição prestadora de serviços de BaaS para contratação com as entidades tomadoras de serviços de BaaS na forma disposta no art. 5º.

CAPÍTULO VIII
DISPOSIÇÕES GERAIS

Art. 19. Fica vedado:

I - às cooperativas de crédito e às sociedades de arrendamento mercantil atuar como instituições prestadoras de serviços de BaaS; e

II - às confederações de serviço constituídas por cooperativas centrais de crédito e às administradoras de consórcio atuar como instituições prestadoras de serviços de BaaS ou entidades tomadoras de serviços de BaaS.

Art. 20. A instituição prestadora de serviços de BaaS deve manter atualizadas as informações referentes às entidades tomadoras de serviços de BaaS com contratos vigentes:

I - perante o Banco Central do Brasil, na forma definida na regulamentação vigente; e

II - em seu sítio eletrônico na internet, em local visível e em formato legível, com a devida identificação e informações sobre os serviços prestados.

Art. 21. As instituições financeiras, as instituições de pagamento e as demais instituições autorizadas a funcionar pelo Banco Central do Brasil devem manter à disposição dessa Autarquia:

I - pelo prazo mínimo de cinco anos:

a) a documentação sobre os procedimentos de que trata o art. 7º, § 1º, contado o prazo a partir da extinção do contrato; e

b) os contratos de que trata o art. 8º, contado o prazo a partir da extinção do contrato; e

II - pelo prazo mínimo de dez anos, os dados, os registros e as informações relativas à aplicação dos mecanismos de acompanhamento e de controle de que trata o Capítulo VII, contado o prazo a partir de cada aplicação dos citados mecanismos.

Art. 22. As instituições de que trata o art. 1º que tenham contrato vigente para a prestação de serviços abrangidos por esta Resolução Conjunta na data de sua entrada em vigor devem adequar-se ao disposto nesta regulamentação até 31 de dezembro de 2026.

Art. 23. O Banco Central do Brasil poderá adotar, nos termos de suas atribuições legais, as medidas necessárias à execução do disposto nesta Resolução Conjunta, o que inclui disciplinar os seguintes aspectos:

I - o detalhamento do escopo dos serviços de que trata o art. 4º;

II - o acréscimo de outros serviços de sua competência regulatória ao escopo do BaaS, conforme art. 4º, caput, inciso V;

III - a exigência de certificações e de outros requisitos técnicos a serem requeridos das empresas tomadoras de serviços de BaaS, pela instituição prestadora de serviços de BaaS, na prestação dos serviços de que trata o art. 4º;

IV - o escopo do relatório especializado de que trata o art. 7º, caput, inciso II, alínea “e”;

V - a adequação dos mecanismos de que trata o Capítulo VII;

VI - a forma de disponibilização das informações de que trata o art. 20; e

VII - os requisitos técnicos e os procedimentos operacionais a serem observados pelas instituições prestadoras de serviços de BaaS para o cumprimento desta Resolução Conjunta.

Parágrafo único. Na regulamentação de que trata o inciso I do caput, o Banco Central do Brasil deverá observar as seguintes diretrizes gerais:

I - os serviços a serem detalhados serão aqueles necessários e adequados para a compatibilidade da prestação de serviços de BaaS nos termos desta Resolução Conjunta; e

II - o detalhamento dos serviços deverá considerar a eficiência no cumprimento dos requisitos para integração entre a instituição prestadora de serviços de BaaS e a entidade tomadora de serviços de BaaS.

Art. 24. O Banco Central do Brasil poderá, em decisão fundamentada:

I - vetar ou impor restrições para a contratação de serviços de BaaS quando constatar, a qualquer tempo, a inobservância do disposto nesta Resolução Conjunta, bem como a limitação à sua atuação, estabelecendo prazo para a adequação dos referidos serviços e dos contratos correspondentes; e

II - determinar a suspensão ou o encerramento do contrato de prestação de serviços de BaaS em casos que afetem a segurança e a higidez do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiro.

Parágrafo único. A decisão do Banco Central do Brasil deverá ser precedida de manifestação da instituição prestadora de serviços de BaaS que for parte no contrato.

Art. 25. Esta Resolução Conjunta entra em vigor na data de sua publicação.

GABRIEL MURICCA GALÍPOLO
Presidente do Banco Central do Brasil

Resolução Conjunta N° 16

Registros selecionados

Resumo

Resumo executivo

Escopo e sujeitos regulados

Principais comandos operacionais

Responsabilidades, cliente e controles

Evidências, controles e áreas envolvidas

Retenção, prazo transitório e pontos de atenção

Limitações e decisões de curadoria

Perguntas e respostas

Tags

Itens vinculados

Recomendações

Extrair pontos

Registrar aplicabilidade

Nenhum acompanhamento público.

Gere PDFs regulatórios com o Okai Pro

Você atingiu o limite de exportações

Marque itens como lidos

Desbloqueie este recurso com o Okai Pro

Continue pesquisando sem limites com o Okai Pro

Defina impacto regulatório

Gerencie pontos e requisitos

Organize achados e tratativas

Envie itens e acompanhe prazos

Crie e altere registros da sua operação

Crie requisitos rastreáveis

Crie controles operacionais

Crie riscos rastreáveis

Crie achados rastreáveis

Salve itens em coleções

Automatize fluxos de compliance com o Okai Business

Recentes

Resolução Conjunta N° 16 🏦 💻 📑

Registros selecionados

Resumo

Resumo executivo

Escopo e sujeitos regulados

Principais comandos operacionais

Responsabilidades, cliente e controles

Evidências, controles e áreas envolvidas

Retenção, prazo transitório e pontos de atenção

Limitações e decisões de curadoria

Perguntas e respostas

Tags

Itens vinculados

Recomendações

Extrair pontos

Registrar aplicabilidade

Nenhum acompanhamento público.

Resolução Conjunta N° 16