Segurança em BaaS e Core Banking: como escolher em 2025

Alternativas seguras às plataformas de Banking as a Service

Última atualização: 10 de julho de 2026

Principais lições deste artigo

  • A Resolução Conjunta nº 16/2025 impõe prazo até 31/12/2026 para adequação total ao BaaS, exigindo que haja contas individualizadas e proibindo estruturas em camadas.

  • As empresas precisam avaliar um parceiro com licença Bacen, automação de relatórios regulatórios e jornada clara de migração para Core Banking.

  • O uso de contas-bolsão e de modelos “BaaS do BaaS” está vedado, o que aumenta o risco de sanções para quem não se adequar.

  • ERPs, varejistas e fintechs podem lançar produtos financeiros com marca própria usando infraestrutura white-label ou embedded, desde que mantenham a conformidade regulatória.

  • Para implementar uma solução completa e em conformidade, acesse a Celcoin.

Introdução contextual no ambiente regulado brasileiro

A Resolução Conjunta nº 16/2025 mudou o padrão de operação de serviços financeiros no Brasil. Antes dela, muitas empresas atuavam com estruturas de baixa rastreabilidade e responsabilidades regulatórias pouco claras entre prestadores e tomadores de banking as a service. Em agosto de 2024, a Polícia Federal desarticulou uma organização criminosa que movimentou R$ 7,5 bilhões por meio de duas fintechs ilegais que usavam estruturas de BaaS e contas-bolsão coletivas para ocultar a titularidade dos recursos. Esse caso acelerou a resposta regulatória.

A nova resolução define um rol taxativo de serviços permitidos no modelo BaaS, exige individualizar contas, proíbe estruturas em camadas, conhecidas como “BaaS do BaaS”, e determina que todas as operações existentes estejam em conformidade até 31 de dezembro de 2026, sob pena de suspensão e sanções administrativas. Para empresas que dependem de infraestrutura terceirizada, esse prazo é curto e as exigências são amplas.

Definição dos principais conceitos

Banking as a service: modelo em que uma instituição financeira autorizada pelo Banco Central disponibiliza, por meio de APIs, sua infraestrutura regulatória e tecnológica para que empresas não licenciadas ofereçam serviços financeiros sob sua própria marca. Sob a Resolução Conjunta nº 16/2025, os serviços permitidos no banking as a service limitam-se a abertura, manutenção e encerramento de contas de depósito, poupança, pagamento pré-pago e pós-pago, serviços de pagamento, credenciamento de instrumentos de pagamento e operações de crédito.

Core Banking: infraestrutura bancária completa que suporta operações de instituições com licença própria, incluindo gestão de contas (Ledger), liquidação, tesouraria, relatórios regulatórios automatizados e integração direta ao Sistema de Pagamentos Brasileiro. Esse modelo representa a evolução natural do banking as a service para empresas em crescimento.

Contas vinculadas (individualizadas): contas abertas em nome de cada cliente final, com segregação de recursos e registro de titularidade. A Resolução Conjunta nº 16/2025 passou a exigir esse formato em substituição às contas-bolsão.

Um banco liquidante: instituição homologada que atua como intermediária no processo de liquidação de pagamentos dentro de arranjos como o Sistema de Liquidação de Credenciadoras da Nuclea.

Open Finance: ecossistema regulado pelo Banco Central que permite o compartilhamento de dados financeiros, com consentimento do usuário, entre instituições participantes. O Open Finance brasileiro atingiu mais de 100 milhões de clientes ou contas conectadas e 154 milhões de consentimentos ativos em fevereiro de 2026, tornando-se o maior ecossistema de Open Finance do mundo.

Como funciona na prática?

O modelo de banking as a service permite que a empresa tomadora integre APIs da instituição prestadora para oferecer produtos como contas digitais, Pix, cartões e pagamentos de contas. A prestadora assume a responsabilidade regulatória perante o Banco Central, incluindo KYC, PLD/FT, relatórios obrigatórios e liquidação.

O Core Banking atende empresas que já possuem licença própria, como a de Instituição de Pagamento, e que desejam integrar essa licença à infraestrutura tecnológica do parceiro. Os fluxos de APIs cobrem onboarding, gestão de contas, cabine de tesouraria, relatórios regulatórios automatizados, como CCS, CADOCs, COSIF, DIMP e BacenJud, e conexão direta à Rede do Sistema Financeiro Nacional.

A migração entre os dois modelos, do banking as a service para o Core Banking, pode ocorrer sem troca de infraestrutura tecnológica quando o parceiro oferece as duas camadas na mesma plataforma. Essa continuidade reduz retrabalho e evita descontinuidade operacional.

Panorama do mercado e contexto regulatório em 2026

O mercado de banking as a service no Brasil movimentou cerca de US$ 800 milhões em 2024, com crescimento superior a 25% ao ano nos últimos cinco anos e projeção de chegar a até US$ 10 bilhões até 2030. Esse avanço agora ocorre em um ambiente regulatório em rápida transformação, que redefine quem pode operar e como deve estruturar a oferta.

Os principais marcos de 2025–2026 incluem:

  • Resolução Conjunta nº 16/2025: proibição de contas-bolsão, vedação ao modelo “BaaS do BaaS”, exigência de identificação visível da prestadora ao cliente final e prazo de adequação até 31 de dezembro de 2026, o que força a revisão de modelos de negócio existentes.

  • Requisitos mínimos de capital mais altos: aumento das exigências para Instituições de Pagamento e Sociedades de Crédito Direto, elevando as barreiras de entrada para novas licenças e tornando a escolha de um parceiro licenciado mais estratégica.

  • Expansão do Open Finance: crescimento de 143% em consentimentos únicos no Open Finance entre 2024 e 2025, com expansão para Open Insurance, Open Investment e portabilidade de crédito a partir de 2026, o que amplia o potencial de uso de dados financeiros.

  • Aumento no uso de APIs: crescimento significativo no volume de chamadas de API no Open Finance em 2024 em relação a 2023, o que reforça a necessidade de ter uma infraestrutura escalável e resiliente.

Boas práticas e critérios de avaliação

O cenário regulatório em mudança e o prazo de adequação até dezembro de 2026 tornam a escolha de parceiro uma decisão crítica. Ao avaliar uma infraestrutura de banking as a service ou de Core Banking, as empresas devem considerar critérios que cubram licença, operação, segurança e evolução.

  • Licença e autorização Bacen: o parceiro precisa ser uma instituição autorizada pelo Banco Central, com licença de Instituição de Pagamento ou equivalente. Sem essa base regulatória, os demais critérios perdem relevância.

  • Individualização de contas: após confirmar a licença, é necessário verificar se a plataforma garante contas vinculadas por cliente, com segregação de recursos e rastreabilidade completa, conforme exige a Resolução Conjunta nº 16/2025.

  • KYC e PLD/FT automatizados: a solução deve oferecer onboarding com validação de identidade, monitoramento de transações suspeitas e reporte ao COAF integrados, o que reduz risco de fraude e de sanções.

  • Relatórios regulatórios automatizados: a geração e o envio de DIMP, CADOCs, CCS, SCR, COSIF, DES-IF e demais obrigações precisam ocorrer de forma automática, com conexão direta ao Banco Central, à Receita Federal e à SUSEP.

  • Conformidade com LGPD: a infraestrutura deve ter controles de proteção de dados, registro de consentimento e aderência às normas da ANPD, garantindo segurança jurídica no tratamento de dados.

  • Ter escalabilidade e disponibilidade: a arquitetura em nuvem, baseada em microsserviços, precisa suportar crescimento de volume sem degradação, mantendo alta disponibilidade.

  • Jornada de migração para licença própria: a plataforma deve permitir evoluir do banking as a service para o Core Banking sem troca de tecnologia, o que simplifica a transição para uma licença própria.

  • Contrato alinhado à Resolução Conjunta nº 16/2025: o documento contratual precisa detalhar governança, SLAs, responsabilidades, segurança da informação e procedimentos de encerramento, de forma aderente às exigências regulatórias.

Veja como a Celcoin atende a esses critérios de conformidade e escalabilidade.

Erros comuns e pontos de atenção

Uso de contas-bolsão: a Resolução Conjunta nº 16/2025 proíbe contas coletivas em arranjos de banking as a service e exige plena individualização de contas com segregação clara de recursos e registros de titularidade. Como visto na introdução, empresas que mantêm esse modelo ficam sujeitas a sanções a partir de janeiro de 2027.

Dependência de múltiplos fornecedores: fragmentar a infraestrutura entre diferentes prestadores de KYC, liquidação, relatórios e APIs aumenta o risco operacional, dificulta a atribuição de responsabilidades regulatórias e eleva custos de integração. Em modelos distribuídos, surgem dúvidas sobre quem responde ao Banco Central em caso de incidente, quem realiza o KYC do usuário final e o que ocorre se o provedor perder sua licença.

Falta de automação em obrigações acessórias: relatórios como DIMP, CADOCs e CCS exigem envio periódico com conexão direta à Rede do Sistema Financeiro Nacional. Processos manuais aumentam o risco de erros, atrasos e exposição a penalidades do Banco Central e da Receita Federal.

Estruturas “BaaS do BaaS”: a Resolução Conjunta nº 16/2025 proíbe arranjos em camadas nos quais um tomador de banking as a service revende serviços a outras instituições que então criam contas para clientes finais. Empresas nessa posição precisam reestruturar seus modelos operacionais antes do prazo de adequação.

Aplicações por tipo de empresa

Fintechs e bancos digitais em crescimento: empresas sem licença própria utilizam o BaaS para lançar contas digitais, Pix, cartões e pagamentos de contas com a licença da infraestrutura parceira. À medida que crescem e obtêm uma licença de Instituição de Pagamento, podem migrar para o Core Banking sem trocar de plataforma, mantendo continuidade operacional e conformidade regulatória.

ERPs: softwares de gestão empresarial integram serviços financeiros diretamente em suas plataformas, como pagamentos automáticos, contas digitais para clientes e conciliação bancária, sem precisar obter licenças próprias ou desenvolver infraestrutura do zero. Esse movimento gera diferenciação de produto, nova linha de receita e maior retenção de clientes.

Varejistas de grande porte: redes de varejo lançam produtos financeiros com marca própria, como cartões, contas digitais e programas de fidelidade com cashback, utilizando infraestrutura BaaS white-label. A Celcoin não oferece empréstimo direto para consumidores. A Celcoin fornece a infraestrutura tecnológica para que empresas consigam ofertar produtos de crédito aos seus clientes.

Implemente esses casos de uso na sua empresa com a infraestrutura da Celcoin.

A solução full-stack da Celcoin

A Celcoin opera com portfólio completo de licenças e tecnologia proprietária e oferece APIs modulares para que empresas provejam serviços bancários completos, de contas digitais e cartões a liquidação, compliance e relatórios regulatórios. As empresas podem iniciar usando as licenças da Celcoin no modelo de banking as a service e, depois, migrar para suas próprias licenças com o Core Banking, mantendo a mesma base tecnológica, segurança e suporte. A Celcoin medeia mais de R$ 30 bilhões em transações por mês e atende mais de 6 mil clientes entre fintechs, bancos digitais, ERPs e varejistas.

Funcionalidade da Celcoin

Benefício para sua empresa

APIs modulares

Integrações mais rápidas, com redução de custos e prazos de desenvolvimento.

Experiência e suporte ao desenvolvedor

Documentação, SDKs e sandboxes reduzem ciclos de integração e custos de engenharia.

Capacidade de lançamento rápido

Módulos pré-construídos e entrega via SaaS aceleram lançamentos, melhorando o tempo para geração de receita e competitividade.

Distribuição white-label e embutida (embedded)

Suporte a produtos financeiros com marca própria.

Escalabilidade com confiabilidade

Solução com alta disponibilidade e escalável na nuvem mantém serviços funcionando mesmo com altos volumes e protege a receita.

Cobertura de diversas possibilidades de pagamentos, incluindo crédito

Oferecer pagamentos e emissão de crédito aumenta conversão, ARPU e fidelização.

Acesso a dados e personalização

Dados e análises via Open Finance permitem ofertas personalizadas, com impacto em conversão e retenção.

Compliance e conformidade como princípio

KYC, AML e relatórios integrados reduzem risco regulatório e aceleram ciclos de vendas.

Prevenção de fraude e controles de risco

Monitoramento baseado em IA e autenticação robusta reduzem estornos, perdas e exposição regulatória.

Força do ecossistema de parceiros da Celcoin

Parcerias e integrações com bancos, redes e fintechs ampliam cobertura, recursos e velocidade de entrada no mercado.

Perguntas frequentes

Qual é a diferença entre banking as a service e Core Banking?

O banking as a service permite que empresas sem licença própria ofereçam serviços financeiros usando a licença e a infraestrutura de uma instituição autorizada pelo Banco Central. O Core Banking fornece a infraestrutura bancária completa para empresas que já possuem licença regulatória, como a de Instituição de Pagamento. No banking da Celcoin, os dois modelos compartilham a mesma base tecnológica, o que permite iniciar no banking as a service e migrar para o Core Banking sem reconstruir a operação ou trocar de parceiro tecnológico.

O que são contas-bolsão e por que elas foram proibidas?

Contas-bolsão são contas coletivas nas quais recursos de vários clientes finais permanecem agregados, sem individualização de titularidade. Esse modelo impede a rastreabilidade dos fundos e já foi usado em esquemas de lavagem de dinheiro. A Resolução Conjunta nº 16/2025 proibiu esse tipo de estrutura em arranjos de banking as a service e passou a exigir que cada conta seja aberta em nome do cliente final, com segregação de recursos e registro de titularidade. Empresas que ainda operam com contas-bolsão precisam se adequar até 31 de dezembro de 2026.

Quais obrigações regulatórias a Celcoin ajuda a cumprir?

A Celcoin automatiza o cumprimento de obrigações perante o Banco Central, como DIMP, CADOCs, CCS, SCR, COSIF e BacenJud, perante a Receita Federal, como DES-IF e obrigações tributárias, perante a SUSEP, em operações de Open Insurance, e perante Secretarias de Fazenda. Para empresas no modelo BaaS, a Celcoin assume a responsabilidade regulatória como prestadora autorizada. Para empresas com licença própria no Core Banking, a infraestrutura integra a licença do cliente e gerencia os mesmos reportes de forma automatizada, com conexão direta à Rede do Sistema Financeiro Nacional e ao Sistema de Pagamentos Brasileiro.

É possível migrar de outra infraestrutura para a Celcoin?

É possível migrar de outra infraestrutura para a Celcoin. A empresa conta com equipe dedicada para suporte técnico e estratégico durante o processo de migração. O prazo varia conforme a complexidade da estrutura existente. Algumas empresas concluem a implementação em uma semana, enquanto operações mais complexas podem levar até três meses. A migração não exige reconstruir produtos, pois a plataforma da Celcoin é modular e baseada em APIs REST bem documentadas, com sandboxes e SDKs que reduzem o tempo de integração.

A Resolução Conjunta nº 16/2025 afeta ERPs e varejistas que usam banking as a service?

A Resolução Conjunta nº 16/2025 afeta ERPs e varejistas que atuam como tomadores de serviços de banking as a service. Essas empresas passam a ter obrigações ativas de cooperação com a instituição prestadora, incluindo fornecer dados para KYC, apoiar o monitoramento de transações e auxiliar no cumprimento de normas de PLD/FT, de forma documentada e auditável. Cada tomador pode contratar banking as a service de apenas uma instituição prestadora autorizada, que permanece como única responsável perante o Banco Central. Empresas que não se adequarem até o prazo ficam sujeitas à suspensão dos serviços e a sanções administrativas.

Tire suas dúvidas e fale com os especialistas da Celcoin.