As novas regras do Banco Central e do CMN não encerram o BaaS. Elas encerram o uso do BaaS como atalho regulatório: licença emprestada, conta-bolsão e baixa visibilidade operacional deixam de ser premissas viáveis.
Por anos, o Banking as a Service permitiu que empresas não autorizadas pelo Banco Central oferecessem serviços financeiros apoiadas na infraestrutura de uma instituição regulada. O modelo acelerou a criação de fintechs, carteiras digitais, contas de pagamento, programas de cartões e experiências de embedded finance.
Também criou uma zona de risco. Em muitos arranjos, o cliente final enxergava a marca da tomadora, mas a responsabilidade regulatória ficava na instituição prestadora. A operação financeira acontecia sobre uma arquitetura nem sempre visível para o usuário, para o regulador e, em alguns casos, para a própria cadeia de controles.
A Resolução Conjunta nº 16/2025 muda esse equilíbrio. O Banco Central e o CMN passaram a disciplinar a prestação de BaaS por instituições financeiras, instituições de pagamento e demais instituições autorizadas. A regra define papéis, responsabilidades, requisitos de governança, controles internos, segurança, conduta, contratação e transparência.
O ponto central é simples: o serviço financeiro continua sob responsabilidade da instituição autorizada. Ela responde pela identificação e qualificação do cliente, análise de risco, prevenção a fraudes, PLD/FTP, controles, documentação e experiência do usuário final. Atividades acessórias podem ser delegadas. A responsabilidade regulatória permanece na prestadora.
Isso não é o fim do BaaS. É o fim do BaaS tratado como arbitragem regulatória. O modelo continua válido quando a parceria distribui serviços financeiros com governança, conta individualizada, rastreabilidade, evidência e clareza para o cliente. O que perde espaço é a arquitetura em que a marca captura a experiência, mas a operação regulada fica opaca.
Conta-bolsão perde espaço
A norma também pressiona estruturas que dependiam de conta-bolsão. Contas abertas, mantidas ou encerradas no modelo BaaS devem ter titularidade individualizada. A movimentação precisa estar vinculada ao cliente final. Isso reduz espaço para arranjos em que recursos de vários usuários circulavam em uma estrutura única, com baixa granularidade operacional.
Outro efeito relevante está na relação entre tomadora e prestadora. A empresa que contrata BaaS passa a depender de uma relação contratual mais densa, com obrigações claras, documentação disponível ao Banco Central e maior capacidade de auditoria. O custo de governança sobe, e operações construídas sobre improviso terão custo de reconstrução ainda maior.
Marca também entra no escopo
A Resolução Conjunta nº 17/2025 fecha outra frente: nomenclatura, marca e apresentação ao público. Instituições e parceiras não podem usar termos que sugiram uma autorização que não possuem. Nome empresarial, nome fantasia, marca, domínio e canais de comunicação entram no escopo. Para o usuário, precisa ficar claro quem é a instituição autorizada e qual serviço está sendo prestado.
Para empresas que se beneficiavam do BaaS como uma forma rápida de parecer instituição financeira sem carregar a estrutura regulatória correspondente, o impacto é direto:
- revisão de marca, domínio e linguagem pública;
- reestruturação de contratos com prestadoras autorizadas;
- individualização de contas e trilhas operacionais;
- reforço de KYC, antifraude, PLD/FTP e monitoramento;
- aumento de exigência sobre ledger, conciliação, reporte e rastreabilidade;
- dependência maior da qualidade técnica da infraestrutura usada pela prestadora.
Os impactos aparecem rápido em operações concretas. Uma fintech white-label que usava a licença da prestadora como fachada precisa deixar explícito quem presta o serviço regulado, separar responsabilidades e provar controles. Uma carteira digital apoiada em conta-bolsão precisa migrar para contas de titularidade do cliente final, com saldo, origem, destino e trilha de movimentação individualizados. Um programa de cartões ou marketplace financeiro precisa tratar onboarding, KYC, PLD/FTP, chargebacks, conciliação e reporte como operação regulada auditável, não como detalhe escondido atrás da API.
O mesmo recado aparece em PSTI e Pix
O movimento regulatório preserva o BaaS, mas aumenta o padrão operacional exigido. A instituição autorizada precisa conseguir provar o que aconteceu, quem fez, em nome de quem, com qual autorização, em qual conta, com qual risco e com qual evidência.
As mudanças em PSTI e Pix reforçam a mesma direção. A Resolução BCB nº 498/2025, ajustada pela Resolução BCB nº 547/2026, elevou requisitos para provedores de tecnologia que dão acesso à RSFN, incluindo capital mínimo, segregação, gestão de riscos, segurança, continuidade, auditoria e comunicação de incidentes. A Resolução BCB nº 559/2026 ampliou mecanismos de supervisão no Pix, incluindo auditoria independente para atestar aderência ao regulamento e novas hipóteses de perda da condição de participante.
O recado regulatório é consistente: o Banco Central quer inovação operando dentro de estruturas auditáveis. Instituições que usam BaaS como camada de distribuição ainda têm espaço. Instituições que usavam BaaS como substituto de governança terão trabalho.
Na prática, o diferencial passa a estar na infraestrutura: ledger de dupla entrada, trilha de auditoria, conciliação automatizada, segregação de dados, controles de acesso, reporte regulatório, antifraude integrado e capacidade de operar Pix, TED, SPB e rotinas Bacen com evidência.
Essa é a tese da Lerian. Infraestrutura financeira precisa sustentar ledger, conciliação, trilha de auditoria, reporte e evidência regulatória como parte da operação. Quando a regulação exige clareza, a arquitetura precisa sustentar essa clareza.