A publicação da Resolução Conjunta nº 16/2025 pelo Banco Central (BC) e pelo Conselho Monetário Nacional (CMN) redefine as bases do modelo Banking as a Service (BaaS) no Brasil. Ao reforçar que a instituição prestadora permanece primariamente responsável pela confiabilidade, integridade, disponibilidade, segurança e sigilo dos serviços — bem como pelo cumprimento da legislação e da regulamentação aplicáveis — o regulador sinaliza um ponto de inflexão: a terceirização transfere a execução de atividades, mas não transfere a responsabilidade regulatória nem o dever de diligência perante clientes e supervisor. Além disso, fica vedada, pela entidade tomadora, a subcontratação de serviços centrais do escopo do BaaS.
Para conselhos, comitês e lideranças sêniores, a diretriz é inequívoca: é indispensável monitorar a cadeia de serviços com evidências auditáveis, sob pena de a continuidade operacional e a confiança no ecossistema restarem comprometidas.
Além da eficiência, sobrevivência
O novo marco eleva o custo de conformidade e acelera a seleção natural. Modelos de BaaS que cresceram sem uma estrutura consistente de controles internos enfrentarão barreiras crescentes. Isso seja pelo escrutínio regulatório, seja pela demanda de clientes corporativos por garantias tangíveis de continuidade e robustez de controles.
A lógica é direta: quanto maior a interdependência, maior o potencial de contágio. Um incidente em um provedor pode interromper a liquidação, paralisar fluxos críticos e afetar a confiança não apenas na instituição, mas na segurança e higidez do sistema financeiro.
Além disso, para contratos já existentes, o prazo de adequação vai até 31/12/2026. Isso impõe uma agenda executiva com marcos, evidências e trilhas de auditoria desde já.
Nesse contexto, a liderança sênior deve atuar em frentes prioritárias:
• Blindagem jurídica: implementação de cláusulas claras de responsabilidades, segregação patrimonial, direitos de auditoria (right to audit) e gatilhos de intervenção em todos os contratos de parceria, reduzindo “zonas cinzentas” na alocação de deveres;
• Viabilidade econômica: reavaliar a sustentabilidade do modelo sob o novo custo regulatório e de supervisão. A operação se mantém rentável após internalizar o custo de controles, monitoramento, auditoria e resiliência?
• Consolidação (M&A): movimentos de fusão e aquisição podem surgir como resposta à pressão por capital e governança, a fim de garantir capacidade de absorver os custos de conformidade e sustentar escala.
• Investimento em resiliência: automação de compliance, testes de estresse cibernético e métricas de disponibilidade como parte central da gestão de riscos, com evidência e não apenas intenção.
Governança: foco em riscos
Para conselhos, comitês e lideranças sêniores, o dever de vigilância não pode se limitar aos controles intramuros. É necessário garantir a segurança da cadeia de terceiros e subcontratados e a efetividade dos mecanismos de acompanhamento e controle. Quatro pilares merecem atenção:
Leia também
Risco de conformidade e regulatório
Monitorar a aderência à RC nº 16/2025 e à regulamentação vigente de segurança cibernética aplicável. O foco é assegurar que (i) a responsabilidade primária da prestadora esteja refletida de forma explícita nos contratos e nos mecanismos de controle; (ii) não haja subcontratação, pela tomadora, de serviços centrais do escopo do BaaS em desconformidade; e (iii) a alocação de responsabilidades não contenha zonas cinzentas — especialmente em onboarding, KYC/PLD (“conheça seu cliente” e prevenção à lavagem de dinheiro), prevenção a fraudes, liquidação e gestão de incidentes.
Quando tarefas acessórias forem executadas pela tomadora, deve estar claro que isso não reduz a responsabilidade da prestadora nem dispensa evidências e supervisão contínua.
Risco estratégico e de posicionamento
Reavaliar a proposta de valor à luz do arcabouço normativo. A partir de agora, escala e maturidade de controles provavelmente diferenciarão vencedores e perdedores. Isso tende a elevar o nível de exigência de clientes corporativos, que passarão a demandar garantias formais de continuidade como condição para contratar.
Risco de execução e TI
Exigir planos de contingência e exercícios que simulem a indisponibilidade de canais críticos e seus impactos operacionais e financeiros. É recomendável incorporar métricas tangíveis (MTTR e SLAs de provedores) e traduzir o risco técnico em linguagem de negócios: qual o impacto financeiro e de liquidez de cada hora de indisponibilidade?
A governança da interconectividade requer due diligence contínua em subcontratados (n-th parties), monitoramento de APIs e gestão de mudanças para reduzir dependências não mapeadas e lacunas de monitoramento na cadeia.
Risco de reputação
A comunicação requer exatidão, especialmente em incidentes. Em BaaS, quem aparece para o cliente final muitas vezes não é quem detém os controles críticos, o que pode amplificar o dano de imagem quando há falhas na cadeia.
Planos de crise devem prever responsabilidades claras, tempos de resposta, critérios de escalonamento, reporte e evidências. No novo ciclo, reputação estará intrinsecamente ligada à capacidade de demonstrar resiliência de forma objetiva e auditável.
Resiliência operacional
O avanço do BaaS amplia oportunidades, mas também expõe vulnerabilidades com potencial sistêmico. Em 2026, a resiliência operacional passa a funcionar como condição material para preservar solvência e liquidez sob condições de estresse. Isso porque não basta ter capital se a instituição não consegue manter funções críticas quando mais importa.
Para conselhos, comitês e liderança sênior, isso significa agir agora. Ou seja, transformar conformidade em diferencial competitivo, garantir transparência e exercer o dever de vigilância além dos controles intramuros. A inovação só será sustentável se vier acompanhada de governança consistente. No novo ciclo regulatório, não basta parecer seguro; é preciso ser resiliente.
*Conselheiro independente, especialista em Governança e Riscos; ex-Banco Central, BIS e PwC
