O Banco Central (BC) e o Conselho Monetário Nacional (CMN) publicaram, nesta sexta-feira (28), as regras que passam a orientar a oferta de serviços no modelo Banking as a Service (BaaS). A modalidade permite que empresas não financeiras ofereçam serviços bancários por meio de plataformas digitais, aplicativos ou canais próprios.
A regulamentação já está em vigor, mas os contratos existentes poderão ser ajustados até o fim de 2026.
Segundo o BC, a nova norma tem como foco ampliar a segurança jurídica, reduzir riscos para consumidores e empresas e garantir que a expansão do modelo não comprometa o equilíbrio do mercado financeiro.
Em nota, a instituição afirmou que o novo marco regulatório busca:
- Proteger clientes e instituições envolvidas;
- Fortalecer o sistema financeiro e o arranjo de pagamentos;
- Estimular eficiência e competição;
- Garantir transparência na oferta de serviços.
O diretor de Regulação do BC, Gilneu Vivan, explicou que muitos prestadores de BaaS ainda tinham dúvidas sobre até onde iam suas responsabilidades. Agora, a regra deixa claro que a responsabilidade final sempre recai sobre a instituição financeira autorizada pelo Banco Central, mesmo quando o serviço é oferecido por empresas parceiras.
A regulamentação também estabelece diretrizes sobre:
- Governança corporativa
- Gestão de riscos
- Segurança e controles internos
- Conduta e atendimento ao consumidor
- Responsabilidades na operação
- Conservação e envio de dados ao BC para fins de supervisão
Além disso, as empresas terão de garantir que sua identificação como prestadoras de serviços financeiros seja clara e visível nos canais digitais, contratos e instrumentos de pagamento.
Banco Central reforça segurança em meio a incidentes recentes
A criação dessas regras ocorre em um momento em que o BC intensifica o monitoramento do sistema financeiro. Na semana em que a norma foi aprovada, o presidente da instituição, Gabriel Galípolo, destacou que episódios recentes — como o caso envolvendo o Banco Master — mostraram a necessidade de ampliar a capacidade de supervisão e modernizar a estrutura tecnológica do órgão.
Outro tema sensível é a escalada de ataques cibernéticos. O BC avaliou que a dependência crescente de serviços terceirizados e o uso massivo de APIs, muitas vezes sem revisões frequentes de risco, vêm tornando o ambiente mais vulnerável.
Para mitigar esses problemas, o regulador tem reforçado políticas como:
- Limites mais rígidos para transferências via PIX
- Regras mais duras para autorizações de novas instituições
- Rejeição automática de transações destinadas a contas com suspeita de fraude
- Extinção do uso irregular das chamadas contas bolsão
Casos recentes de ataques cibernéticos
Nos últimos meses, foram registrados episódios que acenderam alerta na autoridade monetária:
- Julho: a empresa C&M Software comunicou violação em sua infraestrutura.
- Agosto: operação policial desarticulou esquema bilionário ligado ao PCC, envolvendo fundos e fintechs para lavagem de dinheiro.
- Setembro: a fintech Monbank sofreu ataque hacker com desvio de R$ 4,9 milhões — 4,7 milhões já foram recuperados.
- Setembro: a Sinqia, que conecta bancos ao PIX, reportou transações indevidas que somaram cerca de R$ 710 milhões.
Regras para nome e apresentação das instituições
O BC e o CMN também aprovaram normas para padronizar o uso de nomes e marcas no setor financeiro. As regras abrangem:
- Razão social
- Nome fantasia
- Marca comercial
- Domínios de internet
Instituições não poderão utilizar termos que induzam o cliente a crer que operam em modalidades para as quais não possuem autorização.
Além disso, será obrigatório deixar claro, em qualquer comunicação com o público, qual tipo de instituição está prestando o serviço — medida que vale também para integrantes de conglomerados financeiros.
As empresas que descumprirem as novas normas terão 120 dias para apresentar um plano de adequação e até um ano para se ajustar totalmente.
