Última atualização: 14 de julho de 2026
Principais lições deste artigo
-
A Resolução Conjunta nº 16/2025 define um marco regulatório para operações de crédito via BaaS/CaaS, com prazo de adequação até 31 de dezembro de 2026.
-
Avaliar um provedor de credit as a service exige verificar cinco pilares: autorização BCB, segurança de APIs, conformidade LGPD/Open Finance, KYC/PLD e continuidade operacional.
-
Erros comuns incluem terceirização sem due diligence estruturada, ausência de DRP/BCP testado e APIs sem mTLS ou OAuth 2.0, o que expõe empresas a sanções regulatórias e falhas operacionais.
-
Uma empresa sem licença BCB pode oferecer crédito, desde que contrate um provedor autorizado que assuma a responsabilidade regulatória integral.
-
A infraestrutura de crédito da Celcoin já cobre os cinco pilares regulatórios e técnicos descritos neste guia; veja como ela funciona na prática.
1. Mercado de crédito e transformação digital no Brasil
O mercado de crédito brasileiro passa por uma transformação estrutural impulsionada pela digitalização, pela expansão do Open Finance e pela entrada de varejistas, ERPs e fintechs na oferta de produtos financeiros. Empresas de diferentes setores enxergam o crédito como alavanca de receita e fidelização. Essa demanda exige infraestruturas que combinem agilidade tecnológica com conformidade regulatória rigorosa.
A escolha de um provedor de CaaS é uma decisão estratégica de alto risco. Falhas na avaliação de segurança e conformidade expõem empresas a penalidades do Banco Central, vazamentos de dados, interrupções operacionais e perda de confiança do mercado. Antes de contratar qualquer provedor, uma empresa precisa entender os conceitos regulatórios que estruturam o mercado de CaaS no Brasil.
2. Conceitos fundamentais: SCD, IP, Resolução Conjunta 16/2025, LGPD e Open Finance
A Sociedade de Crédito Direto, ou SCD, é uma instituição financeira autorizada pelo BCB para conceder crédito com recursos próprios, emitir CCBs e realizar cessão de crédito. A Instituição de Pagamento, ou IP, opera contas de pagamento e serviços correlatos. Juntas, essas licenças formam a base regulatória de um provedor de CaaS completo.
A Resolução Conjunta nº 16/2025, publicada em novembro de 2025 pelo BCB e pelo Conselho Monetário Nacional, criou um marco regulatório específico para o modelo BaaS, que inclui operações de crédito em sua lista taxativa de serviços permitidos. A instituição prestadora autorizada assume a responsabilidade regulatória integral perante o BCB, incluindo governança, KYC, PLD/FT, segurança da informação e monitoramento contínuo dos clientes da entidade tomadora.
A LGPD, Lei nº 13.709/2018, exige consentimento livre, informado e inequívoco para o tratamento de dados pessoais em operações de crédito, com multas de até 2% da receita anual no Brasil, limitadas a R$ 50 milhões por infração. O Open Finance amplia o ecossistema de dados financeiros compartilhados mediante consentimento granular do consumidor, com validade máxima indefinida, ou superior a 12 meses, e revogação a qualquer momento.
3. Como avaliar um provedor de CaaS na prática?
Com esses conceitos definidos, uma empresa pode estruturar o processo de due diligence de um provedor de credit as a service em seis etapas:
-
Verificação de licenças: confirme se o provedor possui autorização BCB ativa como SCD e/ou IP, consultando o cadastro público do Banco Central.
-
Auditoria de segurança de APIs: solicite documentação sobre protocolos OAuth 2.0, mTLS, TLS 1.2 ou superior, gestão de certificados e conformidade com o perfil FAPI do Open Finance Brasil.
-
Avaliação de controles para LGPD/Open Finance: verifique políticas de consentimento, trilhas de auditoria, base legal para cada tratamento de dados e mecanismos de portabilidade.
-
Revisão de KYC/PLD: analise fluxos de onboarding, monitoramento contínuo, reporte ao COAF e aderência à Circular BCB 3.978/2020.
-
Teste de continuidade operacional: exija evidências de DRP/BCP testados, RTO/RPO documentados e resultados de simulações de desastre.
-
Gestão de terceiros: avalie como o provedor monitora seus próprios fornecedores de tecnologia, nuvem e infraestrutura crítica.
Depois de revisar esses seis passos, vale conferir como a infraestrutura full stack da Celcoin já cobre esses requisitos na prática. Conheça a solução de crédito da Celcoin.
4. Panorama do ecossistema e tendências regulatórias
O ecossistema de CaaS no Brasil envolve originadores, correspondentes bancários, gestoras de fundos, fintechs, varejistas e ERPs, todos dependentes de infraestruturas licenciadas para operar com segurança jurídica. As tendências regulatórias de 2025 e 2026 apontam para maior responsabilização das instituições prestadoras e para a eliminação de estruturas de contas agregadas, as chamadas contas-bolsão, com exigência de identificação individual de cada cliente final, conforme determinado pela Resolução Conjunta 16/2025 já mencionada.
As Resoluções BCB nº 538/2025 e CMN nº 5.274/2025, publicadas em dezembro de 2025 com prazo de adequação até 1º de março de 2026, elevaram o padrão de resiliência operacional exigido. Elas passam a demandar capacidade demonstrada de manutenção de serviços essenciais sob condições adversas, não apenas documentação de planos.
5. Cinco pilares de conformidade em credit as a service
Com o panorama regulatório traçado, cada um dos cinco pilares abaixo detalha o que uma empresa deve verificar ao avaliar um provedor.
Pilar 1: autorização do BCB, SCD ou IP
O provedor deve possuir licença ativa de SCD e/ou IP. Sob a Resolução Conjunta 16/2025, a entidade tomadora não precisa de licença própria, desde que contrate uma instituição prestadora autorizada que retenha a responsabilidade regulatória integral. A ausência de licença válida invalida toda a operação de crédito.
Perguntas para due diligence:
-
Qual é o número de autorização do BCB e qual a data da última renovação?
-
O provedor possui tanto SCD quanto IP, ou apenas uma das licenças?
-
Como o provedor documenta sua responsabilidade regulatória perante o BCB?
A escala de maturidade abaixo ajuda a posicionar o provedor avaliado.
|
Nível |
Descrição |
|---|---|
|
1 |
Sem licença BCB |
|
2 |
Licença em processo de obtenção |
|
3 |
Licença ativa, IP ou SCD, não ambas |
|
4 |
Licença ativa, SCD e IP, com governança documentada |
|
5 |
SCD e IP, participação direta no Pix e no Open Finance, com trilhas de auditoria regulatória completas |
Pilar 2: segurança de APIs com OAuth 2.0, mTLS e TLS 1.2 ou superior
O perfil FAPI-1-Advanced do Open Finance Brasil exige OAuth 2.0 com OpenID Connect, Pushed Authorization Requests e autenticação via private_key_jwt como base para autenticação segura. O mTLS complementa esse modelo ao garantir confiança mútua entre os sistemas que trocam esses tokens em operações financeiras críticas. Certificações como PCI-DSS e ISO 27001, por sua vez, atestam que esses controles técnicos estão implementados de forma consistente.
Perguntas para due diligence:
-
As APIs utilizam OAuth 2.0 e mTLS com TLS 1.2 ou superior?
-
O provedor possui certificação PCI-DSS e/ou ISO 27001 vigente?
-
Existe gestão documentada de ciclo de vida de certificados, incluindo emissão, rotação e revogação?
Pilar 3: conformidade com LGPD e Open Finance
Cada dado consumido via Open Finance deve ter consentimento válido, finalidade registrada e rastreabilidade completa. O provedor precisa manter trilhas de auditoria acessíveis para suportar decisões automatizadas de crédito perante reguladores, clientes ou tribunais, conforme exigido pela LGPD e pelo fortalecimento da supervisão da ANPD via Lei nº 15.352/2026.
Perguntas para due diligence:
-
Como o provedor registra e gerencia o consentimento granular do consumidor final?
-
Existe DPO nomeado e política de DPIA para modelos de crédito de alto risco?
-
As trilhas de auditoria de tratamento de dados são imutáveis e acessíveis para auditoria regulatória?
Pilar 4: KYC e PLD contínuos
A Circular BCB 3.978/2020 define três níveis de diligência: simplificada para baixo risco, normal e reforçada para PEPs, países de alto risco e operações atípicas. O monitoramento deve ser contínuo, com atualização do perfil de risco sempre que houver mudança no comportamento do cliente. Relatórios ao COAF devem ser enviados em até 24 horas após a detecção de operação suspeita.
Perguntas para due diligence:
-
O provedor realiza screening contínuo contra listas OFAC, ONU e UE?
-
Como é feita a identificação e o monitoramento reforçado de PEPs?
-
O sistema de KYC detecta deepfakes e identidades sintéticas?
Pilar 5: continuidade operacional com DRP e BCP
As Resoluções CMN 4.893 e BCB 85 exigem BIA formal, RTO/RPO documentados, backups criptografados com testes semestrais e simulações completas de desastre. A Resolução BCB 538/2025 reforça a exigência de isolamento físico e lógico de ambientes críticos e testes periódicos de penetração independentes.
Perguntas para due diligence:
-
Com que frequência o DRP/BCP é testado e quais são os resultados documentados?
-
Quais são os RTO e RPO definidos para os serviços de crédito?
-
Como o provedor gerencia riscos de concentração em fornecedores de nuvem e tecnologia?
6. Erros comuns e pontos de atenção
Muitas falhas de conformidade em CaaS têm origem na terceirização sem due diligence estruturada. Contratar um provedor sem verificar sua cadeia de fornecedores de tecnologia expõe a empresa a riscos regulatórios indiretos, e a dependência excessiva de fornecedores sem avaliação de risco adequada é considerada fragilidade crítica pelo BCB.
Essa falta de verificação costuma se repetir em outras frentes. Planos de DRP/BCP documentados mas não testados não atendem às exigências regulatórias e não garantem recuperação real em caso de incidente. Da mesma forma, autenticação por chave de API isolada ou HTTP Basic é insuficiente para operações financeiras reguladas, o que expõe dados sensíveis a interceptação.
Estruturas de conta agregada, as contas-bolsão, são proibidas pela Resolução Conjunta 16/2025, com prazo de adequação até 31 de dezembro de 2026, já citado neste artigo. Na mesma linha, modelos white-label que ocultam a instituição licenciada não são mais permitidos após esse prazo de adaptação.
7. Aplicações por perfil de empresa
A avaliação dos cinco pilares deve ser calibrada conforme o perfil da empresa.
-
Fintechs e bancos digitais priorizam o pilar de autorização BCB, usando a licença do provedor, e a segurança de APIs para lançamento ágil de produtos. A ausência de licença própria torna a escolha do provedor a decisão regulatória mais crítica.
-
Varejistas e ERPs concentram o foco na integração técnica, com APIs modulares e white-label, e na conformidade LGPD, dado o volume de dados de clientes finais tratados em operações de BNPL e crédito consignado.
-
Gestoras de fundos e originadores exigem máxima atenção ao pilar de KYC/PLD, com rastreabilidade de recebíveis e identificação de beneficiários finais, e à continuidade operacional, pois falhas afetam diretamente a integridade da carteira e a relação com investidores.
8. Celcoin: solução full-stack de CaaS
A Celcoin não oferece empréstimos para consumidores. A empresa fornece a infraestrutura tecnológica para que outras empresas ofereçam produtos de crédito aos seus clientes.
A Celcoin opera como SCD e IP, é participante direta no Pix e Iniciadora de Pagamentos no Open Finance, atendendo aos cinco pilares regulatórios descritos neste guia em uma única plataforma full stack. A solução abrange toda a jornada de crédito, da originação à cobrança, com APIs modulares, KYC/AML integrados, conformidade LGPD, monitoramento baseado em IA e infraestrutura escalável em nuvem. A neutralidade é um princípio operacional: a Celcoin não favorece nenhuma gestora de fundos em detrimento de outra, garantindo equidade no acesso a originação e taxas competitivas.
A tabela abaixo resume como cada funcionalidade da plataforma se traduz em benefício prático para empresas que avaliam um provedor de CaaS.
|
Funcionalidade da Celcoin |
Benefício para sua empresa |
|
APIs modulares |
Integrações mais rápidas, reduzindo custos e prazos de desenvolvimento. |
|
Experiência e suporte ao desenvolvedor |
Documentação, SDKs e sandboxes reduzem ciclos de integração e custos de engenharia. |
|
Capacidade de lançamento rápido |
Módulos pré-construídos e entrega via SaaS aceleram lançamentos, melhorando o tempo para geração de receita. |
|
Distribuição white-label e embutida |
Suporte a produtos financeiros com marca própria. |
|
Escalabilidade com confiabilidade |
Alta disponibilidade e escala em nuvem mantêm os serviços funcionando mesmo com altos volumes. |
|
Cobertura de pagamentos, incluindo crédito |
Oferecer pagamentos e crédito na mesma plataforma aumenta conversão, ARPU e fidelização. |
|
Acesso a dados e personalização |
Dados via Open Finance permitem ofertas personalizadas, melhorando conversão e retenção. |
|
Compliance como princípio |
KYC, AML e relatórios integrados reduzem risco regulatório e aceleram ciclos de vendas. |
|
Prevenção de fraude e controles de risco |
Monitoramento baseado em IA e autenticação robusta reduzem estornos, perdas e exposição regulatória. |
|
Ecossistema de parceiros da Celcoin |
Parcerias e integrações com bancos, redes e fintechs garantem melhor cobertura e velocidade de entrada no mercado. |
9. FAQ
O que muda para operações de crédito com a Resolução Conjunta 16/2025?
Como mencionado, a norma exige que a instituição prestadora autorizada pelo BCB assuma responsabilidade integral por governança, KYC, PLD/FT, segurança da informação e monitoramento dos clientes finais, mesmo quando o crédito é ofertado por uma entidade tomadora sem licença própria. Contratos existentes devem ser adaptados até 31 de dezembro de 2026; após essa data, operações não conformes ficam sujeitas a suspensão pelo Banco Central. A norma também proíbe contas-bolsão e exige identificação individual de cada cliente final pela instituição licenciada.
Quais protocolos de segurança são obrigatórios para APIs de crédito no Brasil?
Para operações integradas ao Open Finance, o perfil FAPI-1-Advanced exige OAuth 2.0 com OpenID Connect, Pushed Authorization Requests, autenticação via private_key_jwt e assinatura de mensagens com o algoritmo PS256. O mTLS é recomendado para comunicação segura entre serviços em operações financeiras críticas. Toda comunicação deve usar TLS 1.2 ou superior, com gestão documentada de certificados. Para operações com dados de cartão, o PCI-DSS impõe requisitos adicionais de criptografia, segmentação de rede e monitoramento contínuo. Certificações como ISO 27001 e SOC 2 validam a maturidade do programa de segurança do provedor.
Como a LGPD se aplica ao compartilhamento de dados em operações de crédito via Open Finance?
O tratamento de dados pessoais para análise de crédito requer consentimento livre, informado e inequívoco, sem caixas pré-marcadas, com especificação clara de finalidade, uso e prazo de armazenamento. No Open Finance, o consentimento deve ser granular por categoria de dado, com validade máxima indefinida, ou superior a 12 meses, e revogável a qualquer momento pelo consumidor. A instituição receptora dos dados deve usá-los exclusivamente para a finalidade declarada, manter rastreabilidade completa e suportar o direito de portabilidade. Para modelos de crédito baseados em IA, a LGPD exige um Relatório de Impacto à Proteção de Dados antes do início do processamento.
Quais são os requisitos mínimos de KYC e PLD para provedores de credit as a service?
A Circular BCB 3.978/2020 define três pilares obrigatórios de KYC: identificação do cliente, verificação da autenticidade de documentos e avaliação de risco. O monitoramento deve ser contínuo, com atualização do perfil de risco sempre que houver mudança no comportamento do cliente. Operações suspeitas devem ser reportadas ao COAF em até 24 horas após a detecção. Para pessoas jurídicas, o KYB exige validação do CNPJ, análise do quadro societário e identificação do beneficiário final, a pessoa física que efetivamente controla a empresa. PEPs e clientes de países de alto risco exigem diligência reforçada, com aprovação de alta gestão e monitoramento intensificado. Documentos sujeitos a obrigações de PLD/FT devem ser retidos por 10 anos.
O que deve conter um plano de continuidade operacional para operações de crédito reguladas pelo BCB?
As Resoluções CMN 4.893 e BCB 85 exigem uma Análise de Impacto nos Negócios formal, com identificação de processos críticos e definição de RTO e RPO. O plano deve incluir backups criptografados com testes de restauração semestrais, comitê de crise com autoridade de decisão documentada e simulações completas de failover para ambiente secundário ou nuvem. As Resoluções BCB 538/2025 e CMN 5.274/2025 elevaram esse padrão ao exigir capacidade demonstrada, não apenas documentada, de manutenção de serviços essenciais, além de testes periódicos de penetração independentes e trilhas de auditoria seguras. Planos desatualizados ou não testados expõem o provedor a sanções regulatórias do Banco Central.
Uma empresa sem licença BCB pode oferecer crédito usando a infraestrutura de um provedor de CaaS?
Sim. A empresa pode oferecer crédito sem possuir licença própria, desde que contrate uma instituição prestadora autorizada, com SCD e/ou IP ativa, que assuma a responsabilidade regulatória integral perante o BCB. Essa instituição responde por governança, KYC, PLD/FT e segurança da informação, enquanto a entidade tomadora foca na distribuição do produto ao cliente final.


