DOU 01/12/2025 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025120100116
116
Nº 228, segunda-feira, 1 de dezembro de 2025
ISSN 1677-7042
Seção 1
§ 4º Na prestação dos serviços de pagamento de que trata o inciso II do
caput, as transações de pagamento devem ter como origem ou destino exclusivamente as
contas de titularidade do cliente na instituição prestadora de serviços de BaaS.
§ 5º A prestação dos serviços de que trata o inciso IV do caput requer que
o cliente seja o devedor da operação de crédito contratada com a instituição prestadora
de serviços de BaaS.
§ 6º A celebração de contrato entre instituição referida no art. 1º e pessoa
jurídica para a prestação de serviços financeiros ou de pagamento não previstos nos
incisos I a V do caput:
I - não se sujeita ao regramento contido nesta Resolução Conjunta;
II - não consiste na prestação de serviço de BaaS; e
III - não pode ser objeto de oferta a clientes como prestação de serviço de
BaaS.
CAPÍTULO IV
DA CONTRATAÇÃO DE SERVIÇOS DE BAAS
Art. 5º As instituições referidas no art. 1º devem assegurar que suas políticas,
estratégias e estruturas para gerenciamento de riscos requeridas na regulamentação em
vigor contenham regras e critérios para a prestação de serviços de BaaS, nos termos
previstos nesta Resolução Conjunta.
§ 1º Caso a instituição prestadora de serviços de BaaS e a entidade tomadora
de serviços de BaaS sejam instituições autorizadas a funcionar pelo Banco Central do
Brasil, o disposto no caput se aplica a ambas.
§ 2º As políticas, estratégias e estruturas devem ser aprovadas pelo conselho
de administração ou, na sua inexistência, pela diretoria da instituição.
Art. 6º É vedado às instituições referidas no art. 1º formalizar contrato para
prestação de serviços de BaaS:
I - com o objetivo de a entidade tomadora de serviços de BaaS atuar em
nome da instituição prestadora para disponibilizar a prestação dos serviços de que trata
o art. 4º, na forma da regulamentação que disciplina os correspondentes no país;
II - com a entidade tomadora de serviços de BaaS que possua contrato de
prestação de serviços de BaaS em vigor com outra instituição prestadora de serviços de
BaaS para a disponibilização dos serviços de abertura, manutenção e encerramento de
contas de depósitos à vista, incluindo os serviços de pagamento realizados por meio
dessas contas;
III - com a entidade tomadora de serviços de BaaS que possua contrato de
prestação de serviços de BaaS em vigor com outra instituição prestadora de serviços de
BaaS para a disponibilização dos serviços de abertura, manutenção e encerramento de
contas de depósitos de poupança, incluindo os serviços de pagamento realizados por
meio dessas contas;
IV - com a entidade tomadora dos serviços de BaaS que possua contrato de
prestação de serviços de BaaS em vigor com outra prestadora de serviços de BaaS para
a prestação dos serviços de abertura, manutenção e encerramento de contas de
pagamento pré-pagas, incluindo os serviços de pagamento realizados por meio dessas
contas;
V - com a entidade tomadora dos serviços de BaaS que possua contrato de
prestação de serviços de BaaS em vigor com outra prestadora de serviços de BaaS para
a prestação dos serviços de abertura, manutenção e encerramento de contas de
pagamento pós-pagas, incluindo os serviços de pagamento realizados por meio dessas
contas; e
VI - com entidade tomadora de serviços de BaaS que, em sua nomenclatura,
empregue termos característicos definidores da nomenclatura das instituições do Sistema
Financeiro Nacional ou do Sistema de Pagamentos Brasileiro ou expressões similares em
vernáculo ou em idioma estrangeiro, exceto em caso de a entidade tomadora ser
instituição
autorizada a
funcionar pelo
Banco
Central do
Brasil, observada
a
regulamentação específica.
Parágrafo único. As vedações mencionadas nos incisos II, III, IV e V do caput
não se aplicam quando a entidade tomadora de serviços de BaaS for instituição referida
no art. 1º integrante do mesmo conglomerado prudencial da instituição prestadora de
serviços de BaaS.
Art. 7º As instituições prestadoras de serviços de BaaS, previamente à
contratação e durante a prestação dos serviços de que trata o art. 4º, devem
implementar procedimentos que contemplem, no mínimo:
I - a adoção de práticas de governança corporativa e de gestão de riscos
compatíveis com as exposições decorrentes da contratação; e
II - a verificação da capacidade da entidade tomadora de serviços de BaaS de
assegurar:
a) a conformidade contratual para o cumprimento da legislação e da
regulamentação em vigor;
b) o acesso da instituição prestadora de serviços de BaaS a informações sobre
a efetividade da transferência de dados e de informações relativos aos serviços
prestados;
c) a confidencialidade, a integridade, a disponibilidade e a recuperação de
dados e de informações sobre serviços prestados;
d) a aderência a certificações, quando exigidas pela instituição prestadora de
serviços de BaaS para a execução dos serviços, observado o disposto no art. 23, caput,
inciso III;
e) o acesso da instituição prestadora de serviços de BaaS a relatórios
elaborados por empresa especializada independente, caso existentes, relativos aos
procedimentos e aos controles utilizados pela entidade tomadora de serviços de BaaS,
observado o disposto no art. 23, caput, inciso IV;
f) o provimento de informações e a existência de recursos de gestão
adequados ao monitoramento dos serviços prestados;
g) a qualidade dos controles de acesso voltados à proteção de dados pessoais,
observada a legislação específica, e de informações sobre os serviços prestados; e
h) a capacidade financeira e técnica para execução dos serviços previstos no
contrato de prestação de serviços de BaaS.
§ 1º Os procedimentos de que trata o caput, inclusive no que diz respeito às
informações relativas à verificação mencionada no inciso II do caput, devem ser
documentados e permanentemente atualizados pela instituição prestadora de serviços de
BaaS.
§ 2º Os recursos de gestão de que trata o inciso II, alínea "f", do caput devem
conter meio de a instituição prestadora de serviços de BaaS ter acesso a dados e a
informações sobre a disponibilidade dos serviços prestados por meio de plataformas ou
de sistemas eletrônicos disponibilizados pela entidade tomadora de serviços de BaaS.
§ 3º A instituição prestadora de serviços de BaaS deve possuir recursos e
competências necessários para a adequada gestão do contrato, inclusive para a análise de
informações e para o uso dos recursos providos nos termos do inciso II, alínea "f", do
caput.
§ 4º Os procedimentos de que trata o caput devem ser compatíveis com a
natureza, o porte, a complexidade, a criticidade, a relevância, a estrutura, o perfil de risco
e o modelo de negócio da entidade tomadora de serviços de BaaS.
§ 5º A capacidade da entidade tomadora de serviços de BaaS de que trata o
inciso II do caput pode, a critério da instituição prestadora de serviços de BaaS, ser
verificada mediante a comprovada aderência às certificações de que trata o inciso II,
alínea "d", do caput ou atestada por auditoria independente.
Art. 8º O contrato para prestação de serviços de BaaS deve prever, no
mínimo:
I - o objeto do contrato;
II - os papéis e as responsabilidades das partes contratantes;
III - a forma de remuneração entre a entidade tomadora de serviços de BaaS
e a instituição prestadora de serviços de BaaS;
IV - a adoção de medidas de segurança para a recepção e o armazenamento,
pela entidade tomadora de serviços de BaaS, dos dados ou informações sobre serviços
ofertados aos clientes, bem como dos dados fornecidos pelos clientes;
V - o acesso da instituição prestadora de serviços de BaaS a:
a) informações fornecidas pela entidade tomadora de serviços de BaaS,
visando a verificar o cumprimento do disposto no inciso IV e no art. 6º;
b) informações relativas às certificações e aos relatórios de que trata o art. 7º,
caput, inciso II, alíneas "d" e "e"; e
c) informações e recursos de gestão adequados ao monitoramento dos
serviços prestados de que trata o art. 7º, caput, inciso II, alínea "f";
VI - a obrigação de a entidade tomadora de serviços de BaaS notificar
previamente a instituição prestadora de serviços de BaaS sobre a contratação de empresa
terceira para processar ou armazenar dados ou informações considerados relevantes pela
referida instituição prestadora;
VII - a permissão de acesso do Banco Central do Brasil ao contrato de que
trata o caput, à documentação e às informações referentes aos dados e às informações
sobre serviços prestados, aos procedimentos e códigos de acesso a tais informações, bem
como a qualquer outra informação relacionada à prestação de serviços de BaaS;
VIII - a possibilidade de adoção de medidas pela instituição prestadora de
serviços de BaaS em decorrência de determinação do Banco Central do Brasil;
IX - a obrigação de a entidade tomadora de serviços de BaaS manter a
instituição prestadora de serviços de BaaS permanentemente informada sobre eventuais
limitações que possam afetar os serviços prestados ou o cumprimento da legislação e da
regulamentação em vigor;
X - os procedimentos para o tratamento de demandas encaminhadas pelo
cliente;
XI - a vedação à entidade tomadora de serviços de BaaS de cobrança, em seu
nome, de tarifa, comissão ou qualquer outra forma de remuneração pelo fornecimento
aos clientes de produtos ou serviços ofertados pela instituição prestadora de serviços de
BaaS;
XII - a declaração de que a entidade tomadora de serviços de BaaS tem pleno
conhecimento de que a realização, por sua própria conta, das operações consideradas
privativas de instituições financeiras e demais instituições autorizadas a funcionar pelo
Banco Central do Brasil ou de outras operações vedadas pela legislação vigente sujeita o
infrator às penalidades previstas nas Leis ns. 7.492, de 16 de junho de 1986, e 13.506,
de 13 de novembro de 2017;
XIII - as causas que justificam o encerramento antecipado do contrato e suas
consequências;
XIV - a vedação à entidade tomadora de serviços de BaaS de realizar
transações de pagamento, recebimentos e depósitos em conta própria de valores
relacionados a serviços prestados pela instituição prestadora de serviços de BaaS aos
clientes; e
XV - a vedação à subcontratação, pela entidade tomadora de serviços de BaaS,
dos serviços mencionados no art. 4º.
§ 1º É vedado incluir no objeto do contrato de que trata o inciso I do caput
a prestação de serviços, pela entidade tomadora de serviços de BaaS, de atendimento a
clientes em nome da instituição prestadora de serviços de BaaS, na forma da
regulamentação que dispõe sobre correspondentes no país.
§ 2º Os papéis e responsabilidades mencionados no inciso II do caput devem
compreender:
I - os deveres de a entidade tomadora de serviços de BaaS e a instituição
prestadora de serviços de BaaS informarem ao cliente que a entidade tomadora de
serviços de BaaS não atua em nome da instituição prestadora de serviços de BaaS, para
fins da prestação dos serviços de que trata o art. 4º;
II - a obrigação de a entidade tomadora de serviços de BaaS apresentar aos
clientes a informação de que não é uma instituição autorizada a funcionar pelo Banco
Central do Brasil, conforme o caso, para a prestação dos serviços contemplados no
contrato de prestação de serviços de BaaS;
III - a responsabilidade pelos esclarecimentos ao cliente sobre:
a) os serviços prestados, inclusive no caso de o contrato de prestação de
serviços de BaaS ser encerrado, observado o disposto no § 6º;
b) os procedimentos necessários para a portabilidade de operações de crédito
contratadas perante a instituição prestadora de serviços de BaaS, conforme o interesse
do cliente; e
c) as situações em que as operações de crédito contratadas com a instituição
prestadora de serviços de BaaS sejam cedidas por essa instituição, com a devida clareza
em relação às condições de exercício dos direitos do cliente após a cessão, e a
identificação precisa do cessionário que adquiriu o crédito, incluindo informações de
contato do novo credor e de eventual relação que se mantenha com a instituição
prestadora de serviços de BaaS, a exemplo de manter-se responsável pela cobrança e
renegociações de termos da operação;
IV - o compartilhamento, entre a entidade tomadora de serviços de BaaS e a
instituição prestadora de serviços de BaaS, de dados e de informações relativos aos
clientes e aos serviços prestados necessários ao cumprimento das responsabilidades
descritas no Capítulo V; e
V - a obrigação de a entidade tomadora de serviços de BaaS:
a)
prover
informações
para
a
execução
de
procedimentos
sob
responsabilidade da instituição prestadora de serviços de BaaS relativos à identificação e
à qualificação dos clientes, bem como à análise do seu perfil de risco, à prevenção de
fraudes e à política de prevenção à lavagem de dinheiro e ao financiamento do
terrorismo; e
b) prestar informações aos clientes, de forma clara e precisa, sobre a cobrança
de tarifas pelos serviços prestados pela instituição prestadora de serviços de BaaS.
§ 3º A relação decorrente da prestação de serviços de BaaS não deve servir
como barreira para a portabilidade da operação de crédito originada nos termos do
contrato, conforme interesse do cliente.
§ 4º Os parâmetros adotados pela instituição prestadora de serviços de BaaS
para considerar a relevância do serviço a ser notificado, de que trata o inciso VI do caput,
devem:
I - estar contemplados nos critérios para contratação com as entidades
tomadoras de serviços de BaaS de que trata o art. 5º, caput; e
II - considerar, quando existente, a classificação quanto à relevância de
serviços a serem contratados, estabelecida pela instituição prestadora de serviços de BaaS
para o cumprimento da regulamentação vigente sobre a contratação de serviços de
processamento e armazenamento de dados e de computação em nuvem por instituições
autorizadas a funcionar pelo Banco Central do Brasil.
§ 5º A obrigação de que trata o inciso IX do caput deve abranger a
comunicação de incidentes de violação da segurança dos dados e informações sobre
serviços prestados e as medidas adotadas pela entidade tomadora de serviços de BaaS
para a sua prevenção, mitigação e solução.
§ 6º O contrato mencionado no caput deve prever:
I - para o caso da decretação, pelo Banco Central do Brasil, de regime de
resolução da instituição prestadora de serviços de BaaS:
a) a obrigação de a entidade tomadora de serviços de BaaS conceder pleno e
irrestrito acesso do responsável pelo regime de resolução aos contratos, aos acordos, à
documentação e às informações referentes ao serviço, bem como aos procedimentos e
aos códigos de acesso, mencionados no inciso VII do caput, que estejam em posse da
entidade tomadora de serviços de BaaS; e
b) a obrigação de notificação prévia ao responsável pelo regime de resolução
sobre a intenção de a entidade tomadora de serviços de BaaS interromper a prestação
dos serviços contratados, com pelo menos trinta dias de antecedência da data prevista
para a interrupção, observado que:
1. a entidade tomadora de serviços de BaaS obriga-se a aceitar eventual
pedido de prazo adicional de trinta dias para a interrupção do serviço, feito pelo
responsável pelo regime de resolução; e
2. a notificação prévia deverá ocorrer também na situação em que a
interrupção for motivada por descumprimento da forma de remuneração estabelecida
entre as partes contratantes, mencionada no art. 8º, caput, inciso III;
II - para o caso de encerramento da relação contratual:
a) a previsão da continuidade ou não da prestação dos serviços ao cliente pela
prestadora de serviços de BaaS;
Fechar