O que motivou o BACEN a intervir no mercado de Banking-as-a-Service?

O principal motivador foi o risco sistêmico e as brechas em PLD (Prevenção à Lavagem de Dinheiro). A proliferação de contas abertas por terceiros através de APIs de BaaS dificultava a rastreabilidade de fraudes (especialmente no PIX), criando um cenário onde a responsabilidade ficava diluída entre o banco patrocinador, o provedor de tecnologia e a marca final.

O modelo de BaaS vai deixar de existir no Brasil?

Não. O modelo continuará existindo, mas passará por uma forte consolidação. O BACEN não proibiu o BaaS, apenas exigiu que a instituição financeira patrocinadora (que detém a licença) assuma a responsabilidade integral e solidária pelas falhas de segurança e compliance de toda a cadeia de parceiros.

Como essa regulação afeta as pequenas fintechs e marcas de varejo?

Os custos operacionais e as barreiras de entrada subirão drasticamente. As pequenas fintechs enfrentarão auditorias mais rigorosas (due diligence) por parte dos provedores de BaaS e bancos patrocinadores. Muitas operações que não têm rentabilidade clara serão encerradas devido ao alto custo de manutenção do compliance.

O que é responsabilidade solidária no contexto do BaaS?

Significa que perante o regulador (BACEN) e a justiça, o banco que fornece a licença regulatória responde igualmente por qualquer infração cometida pelo provedor de tecnologia ou pela empresa que atende o cliente final. O banco não pode usar a terceirização da tecnologia como desculpa para falhas no controle de fraudes ou vazamentos de dados.

Regulação de Banking-as-a-Service: O BACEN Coloca Limites na Infraestrutura Invisível

Você acorda, abre o aplicativo da sua rede de varejo favorita para pagar uma conta de luz e o saldo sumiu. Tenta acessar a carteira digital do seu time de futebol para comprar um ingresso. Fora do ar. Testa o sistema financeiro do seu condomínio. Nada funciona. Nenhum desses aplicativos tem relação comercial direta entre si, mas todos compartilham um segredo invisível: rodam sobre a mesma infraestrutura de Banking-as-a-Service (BaaS). Se o provedor dessa infraestrutura espirrar, dezenas de 'bancos digitais' pegam pneumonia.

Nós acompanhamos de perto a explosão do embedded finance no Brasil. Entre 2019 e 2023, a promessa de que 'qualquer empresa pode ser um banco' virou o mantra da Faria Lima. Vimos varejistas, empresas de software ERP, clubes de futebol e até influenciadores lançarem suas próprias contas digitais. O motor por trás disso? Plataformas de BaaS que fornecem APIs conectadas diretamente ao Sistema Financeiro Nacional.

O Banco Central do Brasil (BACEN) observou essa proliferação com uma mistura de entusiasmo pela inclusão financeira e terror absoluto pelo risco sistêmico. Quando a fundação de um prédio sustenta não apenas um, mas cinquenta arranha-céus diferentes, uma rachadura nessa base pode causar um colapso em cadeia. Agora em 2025, o regulador decidiu puxar o freio de mão. A era da terceirização irrestrita de responsabilidade acabou.

A Era de Ouro e a Arquitetura do Risco

Para entender a mudança regulatória atual, precisamos olhar para como o mercado se estruturou. O modelo de BaaS no Brasil operou por anos sob uma lógica de 'Bin Sponsor' ou patrocínio de licença. De um lado, você tem um banco tradicional ou uma instituição de pagamento autorizada pelo BACEN. Do outro, uma empresa de tecnologia (o provedor BaaS) que constrói as APIs.

Na ponta final, estão as empresas clientes — as chamadas fintechs não reguladas ou marcas de varejo que colocam seu logotipo no aplicativo. O cliente final acredita estar abrindo uma conta no 'Banco do Varejista X', mas o dinheiro repousa nos cofres da instituição patrocinadora, trafegando pelos dutos tecnológicos do provedor BaaS.

O problema dessa arquitetura? O telefone sem fio do compliance. O banco patrocinador detém a licença, mas quem faz o onboarding do cliente, captura a selfie e verifica o documento é o aplicativo da ponta. Operadores de mercado criaram camadas e mais camadas de sub-adquirência e sub-contas. Quando o Conselho de Controle de Atividades Financeiras (COAF) detectava uma transação atípica, a rastreabilidade esbarrava em um labirinto de contratos. O banco culpava o provedor BaaS, que culpava a fintech da ponta.

O BACEN, conhecido por seu pragmatismo técnico, perdeu a paciência com esse jogo de empurra.

A Lupa do COAF e o Pesadelo do PLD

A Prevenção à Lavagem de Dinheiro e Financiamento ao Terrorismo (PLD/FT) é o calcanhar de Aquiles do modelo de BaaS desregulado. Regras como a Circular 3.978 exigem que as instituições financeiras conheçam seus clientes (KYC - Know Your Customer) e monitorem transações suspeitas.

Nossa análise direta com fontes dentro do órgão regulador revela que a gota d'água foram os casos repetidos de contas laranjas abertas em massa através de parceiros BaaS com controles frouxos. Quadrilhas de fraudadores do PIX migraram rápidamente para essas fintechs de fachada, aproveitando-se da fricção quase nula para abertura de contas.

Se você opera um e-commerce ou uma startup que usa BaaS, preste atenção aqui. A mudança de postura do regulador estabelece que a instituição que detém a licença no BACEN é solidariamente e integralmente responsável por cada CPF ou CNPJ aprovado por seus parceiros. A terceirização da tecnologia não exime a terceirização da responsabilidade regulatória.

Na prática, o banco patrocinador agora precisa auditar ativamente os algoritmos de biometria facial, os motores de regras de fraude e as políticas de bloqueio cautelar do provedor BaaS e das empresas na ponta. Se uma fintech parceira fácilitar a lavagem de dinheiro, a multa milionária do BACEN — e as eventuais sanções penais — cairão no colo dos diretores estatutários do banco patrocinador.

Risco Cibernético e a Resolução CMN 4.893

Outra frente de ataque do regulador foca na infraestrutura de nuvem e segurança cibernética. A Resolução CMN 4.893 (e sua equivalente para instituições de pagamento, a Resolução BCB 85) estabeleceu requisitos rigorosos para o processamento e armazenamento de dados em nuvem.

O mercado de BaaS brasileiro é altamente concentrado em provedores gigantes como AWS, Azure e Google Cloud. O BACEN exige um mapeamento completo da cadeia de dependência tecnológica. O provedor BaaS não é mais visto apenas como um fornecedor de software, mas como uma extensão crítica da infraestrutura do banco.

Testes de Estrêsse Obrigatórios

As instituições reguladas agora precisam provar que suas parceiras de BaaS conseguem suportar ataques de negação de serviço (DDoS), vazamentos de dados e falhas de redundância. Não basta um contrato de Service Level Agreement (SLA) genérico de 99,9% de uptime. O regulador exige planos de continuidade de negócios (PCN) integrados.

Se o provedor BaaS cair, como o banco patrocinador garante o acesso dos clientes finais aos seus recursos? O BACEN quer respostas arquiteturais, não jurídicas. Isso obriga os provedores a investirem pesadamente em infraestrutura multi-cloud e arquiteturas ativas-ativas, elevando drasticamente o custo de operação.

Implicações Práticas: O Fim do 'BaaS de Garagem'

O que isso significa para o leitor que trabalha no setor ou investe em fintechs? Uma consolidação brutal do mercado. A infraestrutura invisível vai ficar muito mais cara de se manter.

Até recentemente, o custo de montar uma operação de BaaS era relativamente baixo. Pequenas empresas de tecnologia compravam acesso a APIs de um banco médio, empacotavam isso em uma interface bonita e vendiam para dezenas de clientes. Esse modelo de 'BaaS de garagem' está com os dias contados.

Observamos três movimentos claros no mercado brasileiro hoje:

Internalização de Licenças: Empresas que cresceram usando BaaS terceirizado (como ocorreu com o Mercado Pago e Nubank lá no início, antes de obterem suas próprias licenças) estão correndo para tirar licenças próprias de Sociedade de Crédito Direto (SCD) ou Instituição de Pagamento (IP). O custo de compliance interno tornou-se menor que o prêmio de risco cobrado pelos patrocinadores.
Aumento de Preços: Provedores consolidados como Dock, Celcoin e FitBank estão repassando os custos da nova carga regulatória. O ticket médio para lançar um banco digital via BaaS saltou significativamente. As exigências de capital de giro e depósitos de garantia (collateral) impostas pelos bancos patrocinadores secaram a liquidez das fintechs menores.
Morte das Fintechs Zumbis: Aplicativos de nicho que ofereciam contas digitais apenas como 'perfumaria' (sem monetização real) estão devolvendo as carteiras. O custo de manter um cliente inativo, monitorar seu comportamento e garantir a segurança cibernética ultrapassou qualquer benefício de marketing.

A Nova Due Diligence: Uma Colonoscopia Corporativa

Fechou uma parceria de BaaS? Prepare-se para abrir a caixa preta da sua empresa. Os bancos patrocinadores estão instituindo comitês de risco que operam com o rigor de uma auditoria de M&A.

Eles exigem acesso aos logs de sistema, relatórios de testes de intrusão (pentest) independentes, cópias das políticas de segurança da informação e, principalmente, a capacidade de realizar auditorias in loco sem aviso prévio. A relação entre banco, provedor BaaS e marca final deixou de ser uma mera integração via REST API e tornou-se um casamento com separação total de bens, onde o banco tem as chaves da casa.

O mercado subestimou a capacidade do Banco Central de enxergar através da complexidade tecnológica. O regulador brasileiro, que construiu o PIX e está moldando o Drex, entende de tecnologia melhor que muito CTO da Faria Lima. Eles sabem exatamente onde os riscos estão escondidos nas chamadas de API.

O Futuro da Infraestrutura Invisível

Apesar do aperto regulatório, o modelo de Banking-as-a-Service não vai desaparecer. Pelo contrário, ele vai amadurecer. A limpeza do mercado deixará apenas players robustos, com balanços sólidos e culturas de compliance inegociáveis.

O embedded finance continuará crescendo no Brasil. Grandes varejistas, montadoras de veículos e conglomerados de agronegócio continuarão oferecendo serviços financeiros embarcados. A diferença é que a fundação será muito mais sólida.

Para os provedores de BaaS que sobreviverem ao choque regulatório, o prêmio será gigantesco. Eles deixarão de ser vistos como meras empresas de software e passarão a ser reconhecidos como infraestruturas críticas do Sistema Financeiro Nacional, com valuations correspondentes à sua importância sistêmica.

Resumo rápido da ópera: o faroeste do BaaS acabou. O xerife chegou, inspecionou as fundações e exigiu concreto armado onde antes havia apenas código mal documentado. Quem não aguentar o peso do compliance, terá que desligar os servidores.