O bisturi e a marreta: como o BACEN calibra a supervisão baseada em risco para fintechs menores

Imagine abrir uma fintech de crédito corporativo numa sala alugada na Faria Lima e, no dia um da operação, o regulador exigir que você tenha a mesma estrutura de compliance e capitalização do Itaú ou do Bradesco. Isso mataria a inovação antes mesmo do primeiro aporte seed. O Banco Central do Brasil sabe perfeitamente disso.

Acompanhamos a evolução do ecossistema financeiro brasileiro há mais de 15 anos e vimos o cemitério de startups que tentaram navegar regras draconianas. A velha guarda da regulação operava com uma marreta: regras iguais para todos, independentemente do tamanho. O resultado prático era uma barreira de entrada intransponível que protegia o oligopólio bancário.

Aqui a história muda. O BACEN guardou a marreta e pegou o bisturi. A supervisão baseada em risco não é apenas um jargão técnico de Brasília; é o motor que permitiu o boom das Sociedades de Crédito Direto (SCD), Sociedades de Empréstimo entre Pessoas (SEP) e Instituições de Pagamento (IP) no Brasil.

Se você opera uma fintech em estágio de tração ou investe no setor, preste atenção aqui. Entender como o regulador calibra as exigências conforme o seu porte dita o ritmo da sua queima de caixa (burn rate) e define se a sua empresa vai sobreviver ao próximo ciclo econômico.

A anatomia da proporcionalidade: O sistema de escada (S1 a S5)

A revolução regulatória começou a ganhar corpo real com as Resoluções do Conselho Monetário Nacional (CMN), específicamente quando o modelo de segmentação foi desenhado para bancos e, mais recentemente (via Resolução CMN 4.955/2021 e BCB 197/2022), adaptado com precisão para as Instituições de Pagamento.

O regulador fatiou o mercado em cinco degraus. O S1 é a elite sistêmica — os bancões tradicionais e gigantes que já cruzaram a linha de 10% do PIB em ativos ou possuem forte complexidade internacional. O Nubank, por exemplo, escalou esses degraus agressivamente e hoje joga na liga principal.

Na outra ponta, temos o S5. Este é o berçário e a pista de testes para a inovação. Fintechs que se enquadram no S5 possuem um porte inferior a 0,1% do PIB e um perfil de risco simplificado.

O que muda na prática para o S5

Para uma fintech no S5, a exigência de capital regulatório é brutalmente menor. O cálculo do Patrimônio de Referência (PR) e os requerimentos de capital para cobertura de risco de crédito e risco operacional são simplificados. A frequência de envio de relatórios — a famosa burocracia regulatória — cai drasticamente.

Em vez de reportar o Demonstrativo de Limites Operacionais (DLO) mensalmente com milhares de quebras de dados, a exigência passa a ser trimestral ou semestral, com planilhas mais enxutas. Isso significa que uma SCD iniciante não precisa de um time de compliance de 30 pessoas; um diretor estatutário e uma equipe de dois ou três especialistas dão conta do recado inicial.

O abismo do crescimento: A transição do S5 para o S4 e S3

Observamos uma armadilha clássica no mercado brasileiro. A fintech acerta o produto (Product-Market Fit), traciona forte, capta uma Série B e, de repente, cruza a linha de corte do regulador. Ela acorda no segmento S4 ou S3.

A transição de S5 para S4 ou S3 é o que chamamos de "abismo do crescimento". A proporção de capital exigido sobe. A régua de governança corporativa fica mais pesada. A empresa passa a precisar de comitês de auditoria independentes, políticas de remuneração aprovadas em conselho e testes de estrêsse de liquidez mais robustos.

Vimos recentemente players como a Stark Bank e a Pomelo navegando essas águas de crescimento. O BACEN monitora a velocidade de expansão da carteira de crédito e do volume total de pagamentos (TPV). Se a sua IP dobra de tamanho a cada seis meses, o radar do regulador apita. A supervisão baseada em risco significa exatamente isso: quanto mais você cresce e se interconecta com o Sistema Financeiro Nacional (SFN), mais intensa será a fiscalização.

A lupa do regulador: Onde o BACEN não perdoa

Existe um mito perigoso rondando os corredores de coworkings e hubs de inovação: a ideia de que o segmento S5 é uma "terra sem lei" ou que o compliance pode ser deixado para depois. Isso é letal.

A proporcionalidade alivia o custo do capital e a frequência de relatórios, mas existem duas áreas onde o Banco Central aplica tolerância zero, seja você o Bradesco ou uma IP com 500 clientes.

Prevenção à Lavagem de Dinheiro (PLD/CFT)

A Circular 3.978/2020 não faz distinção amigável para amadores. O risco de uma pequena fintech ser usada como duto para lavagem de dinheiro por facções criminosas ou fraudadores é altíssimo. Startups financeiras geralmente têm onboarding digital automatizado e frictionless (sem atrito), o que atrai golpistas.

O BACEN e o COAF exigem que a fintech, mesmo no S5, tenha matrizes de risco de clientes, regras de monitoramento de transações atípicas e capacidade de bloquear contas rápidamente. Se uma fintech menor apresentar falhas sistêmicas no reporte ao COAF, o Banco Central não vai mandar uma carta de advertência; ele vai aplicar multas milionárias ou liquidar a instituição extrajudicialmente.

Resiliência Cibernética e Risco de Nuvem

Outro pilar inegociável é a segurança da informação (Resolução CMN 4.893 e BCB 85/2021). A maioria das fintechs nasce 100% na nuvem (AWS, Azure, Google Cloud). O BACEN exige contratos específicos com esses provedores, garantindo o direito de auditoria e a localização dos dados.

Se o seu aplicativo de pagamentos ficar fora do ar por um ataque de ransomware e comprometer o saldo dos clientes, a sua licença de operação entra na guilhotina. O regulador entende que falhas cibernéticas em pequenos players minam a confiança geral no sistema Pix e no Open Finance.

O impacto financeiro: Redução de Burn Raté e atração de VC

Na nossa análise, a segmentação S1-S5 foi o maior catalisador de Venture Capital para o setor financeiro na última década. Antes dessa clareza regulatória, os fundos de VC precisavam reservar uma fatia absurda do cheque de investimento apenas para compor o capital regulatório mínimo exigido pelo BACEN.

Hoje, com a regra do jogo clara, o capital do investidor vai para onde realmente importa: aquisição de clientes (CAC), desenvolvimento de tecnologia e atração de talentos. O compliance deixa de ser um buraco negro de dinheiro e passa a ser uma despesa previsível, escalável em degraus.

Se a sua fintech capta R$ 20 milhões numa rodada inicial, você sabe exatamente quanto desse caixa precisa ficar travado em Títulos Públicos no BACEN e quanto pode ser injetado em marketing. Essa previsibilidade é o que permite o surgimento de nichos específicos: fintechs focadas apenas no agro, IPs exclusivas para motoristas de aplicativo ou SCDs voltadas para antecipação de recebíveis de clínicas médicas.

O futuro da supervisão: Open Finance e a chegada do Drex

Olhando para o horizonte de 2025 e 2026, a supervisão baseada em risco passará pelo seu maior teste de estrêsse com a consolidação do Open Finance e o lançamento oficial do Drex (o Real Digital).

Fintechs menores atuarão como nós (nodes) interconectados em redes de contratos inteligentes. O risco deixará de ser apenas financeiro (inadimplência da carteira de crédito) e passará a ser fortemente tecnológico e operacional.

O BACEN já sinalizou que a tecnologia blockchain e a tokenização exigirão novas matrizes de risco. Uma pequena IP que opere como carteira (wallet) de Drex terá que comprovar controles criptográficos de ponta. A proporcionalidade continuará existindo, mas a barra técnica mínima para entrar no jogo será elevada.

O mercado brasileiro hoje é reconhecido globalmente (ao lado da Índia com o UPI) como o estado da arte em pagamentos instantâneos. Para manter esse título, o Banco Central continuará usando seu bisturi: operando cirurgicamente para cortar os maus atores e deixar as boas fintechs respirarem e crescerem. A regra de ouro para os fundadores permanece simples: não subestime o regulador e construa sua arquitetura de compliance pensando no degrau de cima.