Publicado no DOU em 1 dez 2025
Dispõe sobre a prestação de serviços de Banking as a Service (BaaS) por parte das instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
O Banco Central do Brasil, na forma do art. 9º da Lei nº 4.595, de 31 de dezembro de 1964, torna público que sua Diretoria Colegiada, em sessão realizada em 17 de novembro de 2025, e o Conselho Monetário Nacional, em sessão realizada em 27 de novembro de 2025, com base nos arts. 3º, caput, inciso V, e 4º, caput, incisos VI e VIII, da Lei nº 4.595, de 31 de dezembro de 1964, 9º-A da Lei nº 4.728, de 14 de julho de 1965, 20, § 1º, da Lei nº 4.864, de 29 de novembro de 1965, 1º do Decreto-Lei nº 70, de 21 de novembro de 1966, 7º e 23, caput, alínea "a", da Lei nº 6.099, de 12 de setembro de 1974, 1º, caput, inciso II, da Lei nº 10.194, de 14 de fevereiro de 2001, 9º, caput, incisos II e X, da Lei nº 12.865, de 9 de outubro de 2013, e 1º, § 1º, da Lei Complementar nº 130, de 17 de abril de 2009, resolveram:
CAPÍTULO I - DO OBJETO E DO ÂMBITO DE APLICAÇÃO
Art. 1º Esta Resolução Conjunta dispõe sobre a prestação de serviços de Banking as a Service - BaaS por parte das instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
Art. 2º As instituições referidas no art. 1º devem observar as disposições desta Resolução Conjunta na prestação de serviços de BaaS.
Art. 3º Para efeito desta Resolução Conjunta, consideram-se:
I - prestação de serviços de BaaS: a contratação entre a instituição prestadora de serviços de BaaS e a entidade tomadora de serviços de BaaS para que os serviços financeiros e de pagamento especificados no art. 4º sejam disponibilizados ao cliente por intermédio da entidade tomadora de serviços de BaaS;
II - instituição prestadora de serviços de BaaS: a instituição referida no art. 1º que firma contrato com a entidade tomadora de serviços de BaaS para prestação dos serviços financeiros ou de pagamento especificados no art. 4º ao cliente;
III - entidade tomadora de serviços de BaaS: a pessoa jurídica legalmente estabelecida no Brasil para cujos clientes são disponibilizados os serviços financeiros e de pagamento especificados no art. 4º, prestados nos termos de contrato firmado com a instituição prestadora de serviços de BaaS; e
IV - cliente: a pessoa natural ou jurídica que possua relação contratual:
a) com a instituição prestadora de serviços de BaaS para prestação dos serviços financeiros e de pagamento especificados no art. 4º; e
b) com a entidade tomadora de serviços de BaaS para prestação de outros serviços não especificados no art. 4º.
Parágrafo único. Não se inserem na prestação de serviços de BaaS de que trata o inciso I do caput, de forma não exaustiva:
I - a prestação de serviços de correspondentes no país, na forma da regulamentação específica;
II - a prestação de serviços de processamento e armazenamento de dados e de computação em nuvem, na forma da regulamentação específica;
III - as parcerias no âmbito do Open Finance, na forma da regulamentação específica; e
IV - as atividades desempenhadas pelos subcredenciadores e pelos prestadores de serviço de rede, na forma da regulamentação que trata dos arranjos de pagamento integrantes do Sistema de Pagamentos Brasileiro.
CAPÍTULO III - DO ESCOPO DOS SERVIÇOS A SEREM PRESTADOS
Art. 4º O contrato de prestação de serviços de BaaS deve ter como escopo exclusivamente um ou mais dos seguintes serviços:
I - abertura, manutenção e encerramento de contas de:
a) depósitos à vista;
b) depósitos de poupança;
c) pagamento pré-pagas; ou
d) pagamento pós-pagas;
II - prestação de serviços de pagamento realizados por meio das contas de que trata o inciso I;
III - prestação de serviços de credenciamento à aceitação de instrumentos de pagamento em arranjos de pagamento;
IV - prestação de serviços de operações de crédito, incluindo oferta, contratação, administração e cobrança; e
V - outros serviços que vierem a ser incluídos, conforme disposto no art. 23, caput, inciso II.
§ 1º Os serviços de que trata o caput somente podem ser prestados:
I - pelas instituições referidas no art. 1º, observada:
a) a autorização de funcionamento concedida pelo Banco Central do Brasil;
b) a relação de operações, atividades e serviços previstos na regulamentação do segmento em que atua, em se tratando de instituição cuja disciplina contemple rol exaustivo de operações, atividades e serviços; e
c) a legislação e a regulamentação vigentes para o desempenho de tais operações, atividades e serviços; e
II - por meio de canal eletrônico, utilizando a integração de sistemas, plataformas, interfaces ou de processos entre a instituição prestadora de serviços de BaaS e a entidade tomadora de serviços de BaaS, observados os procedimentos definidos contratualmente, bem como o disposto nesta Resolução Conjunta, na legislação e na regulamentação em vigor.
§ 2º Para a prestação dos serviços de abertura, manutenção e encerramento de contas de que trata o inciso I do caput, as contas devem ser de titularidade do cliente na instituição prestadora de serviços de BaaS.
§ 3º A prestação de serviços de pagamento de que trata o inciso II do caput depende da compatibilidade da prestação de serviços de BaaS com as normas que disciplinam o funcionamento do arranjo de pagamento e dos serviços de pagamento referentes à respectiva transação de pagamento.
§ 4º Na prestação dos serviços de pagamento de que trata o inciso II do caput, as transações de pagamento devem ter como origem ou destino exclusivamente as contas de titularidade do cliente na instituição prestadora de serviços de BaaS.
§ 5º A prestação dos serviços de que trata o inciso IV do caput requer que o cliente seja o devedor da operação de crédito contratada com a instituição prestadora de serviços de BaaS.
§ 6º A celebração de contrato entre instituição referida no art. 1º e pessoa jurídica para a prestação de serviços financeiros ou de pagamento não previstos nos incisos I a V do caput:
I - não se sujeita ao regramento contido nesta Resolução Conjunta;
II - não consiste na prestação de serviço de BaaS; e
III - não pode ser objeto de oferta a clientes como prestação de serviço de BaaS.
CAPÍTULO IV - DA CONTRATAÇÃO DE SERVIÇOS DE BAAS
Art. 5º As instituições referidas no art. 1º devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos requeridas na regulamentação em vigor contenham regras e critérios para a prestação de serviços de BaaS, nos termos previstos nesta Resolução Conjunta.
§ 1º Caso a instituição prestadora de serviços de BaaS e a entidade tomadora de serviços de BaaS sejam instituições autorizadas a funcionar pelo Banco Central do Brasil, o disposto no caput se aplica a ambas.
§ 2º As políticas, estratégias e estruturas devem ser aprovadas pelo conselho de administração ou, na sua inexistência, pela diretoria da instituição.
Art. 6º É vedado às instituições referidas no art. 1º formalizar contrato para prestação de serviços de BaaS:
I - com o objetivo de a entidade tomadora de serviços de BaaS atuar em nome da instituição prestadora para disponibilizar a prestação dos serviços de que trata o art. 4º, na forma da regulamentação que disciplina os correspondentes no país;
II - com a entidade tomadora de serviços de BaaS que possua contrato de prestação de serviços de BaaS em vigor com outra instituição prestadora de serviços de BaaS para a disponibilização dos serviços de abertura, manutenção e encerramento de contas de depósitos à vista, incluindo os serviços de pagamento realizados por meio dessas contas;
III - com a entidade tomadora de serviços de BaaS que possua contrato de prestação de serviços de BaaS em vigor com outra instituição prestadora de serviços de BaaS para a disponibilização dos serviços de abertura, manutenção e encerramento de contas de depósitos de poupança, incluindo os serviços de pagamento realizados por meio dessas contas;
IV - com a entidade tomadora dos serviços de BaaS que possua contrato de prestação de serviços de BaaS em vigor com outra prestadora de serviços de BaaS para a prestação dos serviços de abertura, manutenção e encerramento de contas de pagamento pré-pagas, incluindo os serviços de pagamento realizados por meio dessas contas;
V - com a entidade tomadora dos serviços de BaaS que possua contrato de prestação de serviços de BaaS em vigor com outra prestadora de serviços de BaaS para a prestação dos serviços de abertura, manutenção e encerramento de contas de pagamento pós-pagas, incluindo os serviços de pagamento realizados por meio dessas contas; e
VI - com entidade tomadora de serviços de BaaS que, em sua nomenclatura, empregue termos característicos definidores da nomenclatura das instituições do Sistema Financeiro Nacional ou do Sistema de Pagamentos Brasileiro ou expressões similares em vernáculo ou em idioma estrangeiro, exceto em caso de a entidade tomadora ser instituição autorizada a funcionar pelo Banco Central do Brasil, observada a regulamentação específica.
Parágrafo único. As vedações mencionadas nos incisos II, III, IV e V do caput não se aplicam quando a entidade tomadora de serviços de BaaS for instituição referida no art. 1º integrante do mesmo conglomerado prudencial da instituição prestadora de serviços de BaaS.
Art. 7º As instituições prestadoras de serviços de BaaS, previamente à contratação e durante a prestação dos serviços de que trata o art. 4º, devem implementar procedimentos que contemplem, no mínimo:
I - a adoção de práticas de governança corporativa e de gestão de riscos compatíveis com as exposições decorrentes da contratação; e
II - a verificação da capacidade da entidade tomadora de serviços de BaaS de assegurar:
a) a conformidade contratual para o cumprimento da legislação e da regulamentação em vigor;
b) o acesso da instituição prestadora de serviços de BaaS a informações sobre a efetividade da transferência de dados e de informações relativos aos serviços prestados;
c) a confidencialidade, a integridade, a disponibilidade e a recuperação de dados e de informações sobre serviços prestados;
d) a aderência a certificações, quando exigidas pela instituição prestadora de serviços de BaaS para a execução dos serviços, observado o disposto no art. 23, caput, inciso III;
e) o acesso da instituição prestadora de serviços de BaaS a relatórios elaborados por empresa especializada independente, caso existentes, relativos aos procedimentos e aos controles utilizados pela entidade tomadora de serviços de BaaS, observado o disposto no art. 23, caput, inciso IV;
f) o provimento de informações e a existência de recursos de gestão adequados ao monitoramento dos serviços prestados;
g) a qualidade dos controles de acesso voltados à proteção de dados pessoais, observada a legislação específica, e de informações sobre os serviços prestados; e
h) a capacidade financeira e técnica para execução dos serviços previstos no contrato de prestação de serviços de BaaS.
§ 1º Os procedimentos de que trata o caput, inclusive no que diz respeito às informações relativas à verificação mencionada no inciso II do caput, devem ser documentados e permanentemente atualizados pela instituição prestadora de serviços de BaaS.
§ 2º Os recursos de gestão de que trata o inciso II, alínea "f", do caput devem conter meio de a instituição prestadora de serviços de BaaS ter acesso a dados e a informações sobre a disponibilidade dos serviços prestados por meio de plataformas ou de sistemas eletrônicos disponibilizados pela entidade tomadora de serviços de BaaS.
§ 3º A instituição prestadora de serviços de BaaS deve possuir recursos e competências necessários para a adequada gestão do contrato, inclusive para a análise de informações e para o uso dos recursos providos nos termos do inciso II, alínea "f", do caput.
§ 4º Os procedimentos de que trata o caput devem ser compatíveis com a natureza, o porte, a complexidade, a criticidade, a relevância, a estrutura, o perfil de risco e o modelo de negócio da entidade tomadora de serviços de BaaS.
§ 5º A capacidade da entidade tomadora de serviços de BaaS de que trata o inciso II do caput pode, a critério da instituição prestadora de serviços de BaaS, ser verificada mediante a comprovada aderência às certificações de que trata o inciso II, alínea "d", do caput ou atestada por auditoria independente.
Art. 8º O contrato para prestação de serviços de BaaS deve prever, no mínimo:
II - os papéis e as responsabilidades das partes contratantes;
III - a forma de remuneração entre a entidade tomadora de serviços de BaaS e a instituição prestadora de serviços de BaaS;
IV - a adoção de medidas de segurança para a recepção e o armazenamento, pela entidade tomadora de serviços de BaaS, dos dados ou informações sobre serviços ofertados aos clientes, bem como dos dados fornecidos pelos clientes;
V - o acesso da instituição prestadora de serviços de BaaS a:
a) informações fornecidas pela entidade tomadora de serviços de BaaS, visando a verificar o cumprimento do disposto no inciso IV e no art. 6º;
b) informações relativas às certificações e aos relatórios de que trata o art. 7º, caput, inciso II, alíneas "d" e "e"; e
c) informações e recursos de gestão adequados ao monitoramento dos serviços prestados de que trata o art. 7º, caput, inciso II, alínea "f";
VI - a obrigação de a entidade tomadora de serviços de BaaS notificar previamente a instituição prestadora de serviços de BaaS sobre a contratação de empresa terceira para processar ou armazenar dados ou informações considerados relevantes pela referida instituição prestadora;
VII - a permissão de acesso do Banco Central do Brasil ao contrato de que trata o caput, à documentação e às informações referentes aos dados e às informações sobre serviços prestados, aos procedimentos e códigos de acesso a tais informações, bem como a qualquer outra informação relacionada à prestação de serviços de BaaS;
VIII - a possibilidade de adoção de medidas pela instituição prestadora de serviços de BaaS em decorrência de determinação do Banco Central do Brasil;
IX - a obrigação de a entidade tomadora de serviços de BaaS manter a instituição prestadora de serviços de BaaS permanentemente informada sobre eventuais limitações que possam afetar os serviços prestados ou o cumprimento da legislação e da regulamentação em vigor;
X - os procedimentos para o tratamento de demandas encaminhadas pelo cliente;
XI - a vedação à entidade tomadora de serviços de BaaS de cobrança, em seu nome, de tarifa, comissão ou qualquer outra forma de remuneração pelo fornecimento aos clientes de produtos ou serviços ofertados pela instituição prestadora de serviços de BaaS;
XII - a declaração de que a entidade tomadora de serviços de BaaS tem pleno conhecimento de que a realização, por sua própria conta, das operações consideradas privativas de instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil ou de outras operações vedadas pela legislação vigente sujeita o infrator às penalidades previstas nas Leis ns. 7.492, de 16 de junho de 1986, e 13.506, de 13 de novembro de 2017;
XIII - as causas que justificam o encerramento antecipado do contrato e suas consequências;
XIV - a vedação à entidade tomadora de serviços de BaaS de realizar transações de pagamento, recebimentos e depósitos em conta própria de valores relacionados a serviços prestados pela instituição prestadora de serviços de BaaS aos clientes; e
XV - a vedação à subcontratação, pela entidade tomadora de serviços de BaaS, dos serviços mencionados no art. 4º.
§ 1º É vedado incluir no objeto do contrato de que trata o inciso I do caput a prestação de serviços, pela entidade tomadora de serviços de BaaS, de atendimento a clientes em nome da instituição prestadora de serviços de BaaS, na forma da regulamentação que dispõe sobre correspondentes no país.
§ 2º Os papéis e responsabilidades mencionados no inciso II do caput devem compreender:
I - os deveres de a entidade tomadora de serviços de BaaS e a instituição prestadora de serviços de BaaS informarem ao cliente que a entidade tomadora de serviços de BaaS não atua em nome da instituição prestadora de serviços de BaaS, para fins da prestação dos serviços de que trata o art. 4º;
II - a obrigação de a entidade tomadora de serviços de BaaS apresentar aos clientes a informação de que não é uma instituição autorizada a funcionar pelo Banco Central do Brasil, conforme o caso, para a prestação dos serviços contemplados no contrato de prestação de serviços de BaaS;
III - a responsabilidade pelos esclarecimentos ao cliente sobre:
a) os serviços prestados, inclusive no caso de o contrato de prestação de serviços de BaaS ser encerrado, observado o disposto no § 6º;
b) os procedimentos necessários para a portabilidade de operações de crédito contratadas perante a instituição prestadora de serviços de BaaS, conforme o interesse do cliente; e
c) as situações em que as operações de crédito contratadas com a instituição prestadora de serviços de BaaS sejam cedidas por essa instituição, com a devida clareza em relação às condições de exercício dos direitos do cliente após a cessão, e a identificação precisa do cessionário que adquiriu o crédito, incluindo informações de contato do novo credor e de eventual relação que se mantenha com a instituição prestadora de serviços de BaaS, a exemplo de manter-se responsável pela cobrança e renegociações de termos da operação;
IV - o compartilhamento, entre a entidade tomadora de serviços de BaaS e a instituição prestadora de serviços de BaaS, de dados e de informações relativos aos clientes e aos serviços prestados necessários ao cumprimento das responsabilidades descritas no Capítulo V; e
V - a obrigação de a entidade tomadora de serviços de BaaS:
a) prover informações para a execução de procedimentos sob responsabilidade da instituição prestadora de serviços de BaaS relativos à identificação e à qualificação dos clientes, bem como à análise do seu perfil de risco, à prevenção de fraudes e à política de prevenção à lavagem de dinheiro e ao financiamento do terrorismo; e
b) prestar informações aos clientes, de forma clara e precisa, sobre a cobrança de tarifas pelos serviços prestados pela instituição prestadora de serviços de BaaS.
§ 3º A relação decorrente da prestação de serviços de BaaS não deve servir como barreira para a portabilidade da operação de crédito originada nos termos do contrato, conforme interesse do cliente.
§ 4º Os parâmetros adotados pela instituição prestadora de serviços de BaaS para considerar a relevância do serviço a ser notificado, de que trata o inciso VI do caput, devem:
I - estar contemplados nos critérios para contratação com as entidades tomadoras de serviços de BaaS de que trata o art. 5º, caput; e
II - considerar, quando existente, a classificação quanto à relevância de serviços a serem contratados, estabelecida pela instituição prestadora de serviços de BaaS para o cumprimento da regulamentação vigente sobre a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem por instituições autorizadas a funcionar pelo Banco Central do Brasil.
§ 5º A obrigação de que trata o inciso IX do caput deve abranger a comunicação de incidentes de violação da segurança dos dados e informações sobre serviços prestados e as medidas adotadas pela entidade tomadora de serviços de BaaS para a sua prevenção, mitigação e solução.
§ 6º O contrato mencionado no caput deve prever:
I - para o caso da decretação, pelo Banco Central do Brasil, de regime de resolução da instituição prestadora de serviços de BaaS:
a) a obrigação de a entidade tomadora de serviços de BaaS conceder pleno e irrestrito acesso do responsável pelo regime de resolução aos contratos, aos acordos, à documentação e às informações referentes ao serviço, bem como aos procedimentos e aos códigos de acesso, mencionados no inciso VII do caput, que estejam em posse da entidade tomadora de serviços de BaaS; e
b) a obrigação de notificação prévia ao responsável pelo regime de resolução sobre a intenção de a entidade tomadora de serviços de BaaS interromper a prestação dos serviços contratados, com pelo menos trinta dias de antecedência da data prevista para a interrupção, observado que:
1. a entidade tomadora de serviços de BaaS obriga-se a aceitar eventual pedido de prazo adicional de trinta dias para a interrupção do serviço, feito pelo responsável pelo regime de resolução; e
2. a notificação prévia deverá ocorrer também na situação em que a interrupção for motivada por descumprimento da forma de remuneração estabelecida entre as partes contratantes, mencionada no art. 8º, caput, inciso III;
II - para o caso de encerramento da relação contratual:
a) a previsão da continuidade ou não da prestação dos serviços ao cliente pela prestadora de serviços de BaaS;
b) a obrigação de a entidade tomadora de serviços de BaaS assegurar a devida transparência ao cliente, incluindo esclarecimentos sobre as consequências da continuidade ou não dos serviços prestados pela instituição prestadora de serviços de BaaS; e
c) a previsão de o cliente poder optar por encerrar o seu relacionamento, no que couber, com a instituição prestadora de serviços de BaaS ou com a entidade tomadora de serviços de BaaS.
CAPÍTULO V - DAS RESPONSABILIDADES
Art. 9º A instituição prestadora de serviços de BaaS é responsável por garantir a confiabilidade, a integridade, a disponibilidade, a segurança e o sigilo dos serviços prestados nos termos desta Resolução Conjunta, bem como o cumprimento da legislação e da regulamentação aplicáveis a esses serviços.
Parágrafo único. O disposto no caput aplica-se também à entidade tomadora de serviços de BaaS que seja instituição autorizada a funcionar pelo Banco Central do Brasil, no que for de sua responsabilidade, incluindo os serviços prestados nos ambientes tecnológicos e sistemas eletrônicos por ela disponibilizados.
Art. 10. A instituição prestadora de serviços de BaaS é responsável pela política e pelos procedimentos e controles relacionados à:
I - identificação e à qualificação dos clientes, bem como à análise do seu perfil de risco;
III - prevenção à lavagem de dinheiro e ao financiamento do terrorismo.
§ 1º A instituição prestadora de serviços de BaaS pode valer-se da entidade tomadora de serviços de BaaS para a realização de tarefas acessórias aos procedimentos e controles de que trata o caput, sem prejuízo das responsabilidades impostas para a instituição prestadora de serviços de BaaS, nos termos desta Resolução Conjunta, da regulação e da legislação em vigor.
§ 2º A instituição prestadora de serviços de BaaS deve prover os procedimentos, mecanismos e ferramentas a serem utilizados pela entidade tomadora de serviços de BaaS para a realização das tarefas de que trata o § 1º.
§ 3º Para tarefas acessórias relacionadas à oferta, contratação, administração e cobrança de operações de crédito, de que trata o art. 4º, caput, inciso IV, deve ser observado o sigilo bancário estabelecido pela Lei Complementar nº 105, de 10 de janeiro de 2001, ficando vedados a disponibilização de acesso ao Sistema de Informações de Créditos - SCR e o fornecimento de informações contidas no SCR pela instituição prestadora de serviços de BaaS à entidade tomadora de serviços de BaaS.
Art. 11. A instituição prestadora de serviços de BaaS deve adotar mecanismos para garantir a cooperação de entidades tomadoras de serviços de BaaS na sua aderência à política e aos procedimentos e controles dispostos no art. 10, caput, observado o disposto no art. 8º, § 2º, inciso V, alínea "a".
Art. 12. Na prestação de serviços de que trata o art. 4º, caput, inciso IV, a instituição prestadora de serviços de BaaS é responsável pelo cumprimento da regulamentação vigente relativa às operações de crédito, incluindo controles internos e gerenciamento de riscos.
Art. 13. A instituição autorizada a funcionar pelo Banco Central do Brasil que atuar na condição de prestadora de serviços de BaaS ou de entidade tomadora de serviços de BaaS deve designar diretor responsável pela observância do disposto nesta Resolução Conjunta.
Parágrafo único. O diretor mencionado no caput pode desempenhar outras funções na instituição, desde que não se configure conflito de interesses.
CAPÍTULO VI - DOS ASPECTOS DE RELACIONAMENTO COM O CLIENTE
Art. 14. A instituição prestadora de serviços de BaaS deve assegurar:
I - a apresentação das informações necessárias à sua identificação como prestadora dos serviços de que trata o art. 4º, de forma acessível e visível ao cliente, nos canais e interfaces a este disponibilizados, bem como em contratos, em outros documentos e em instrumentos de pagamento relacionados aos serviços contratados;
II - a qualidade e a tempestividade dos dados e das informações repassados pela entidade tomadora de serviços de BaaS à instituição prestadora de serviços de BaaS e aos clientes, restrita ao âmbito da prestação de serviços de que trata o art. 4º; e
III - a aderência da prestação de serviços de BaaS à sua política institucional de relacionamento com clientes e usuários, conforme disposto na regulamentação vigente.
Parágrafo único. O disposto no inciso I do caput não restringe:
I - a apresentação das informações pela entidade tomadora de serviços de BaaS caso esta atue com mais de uma instituição prestadora de serviços de BaaS; e
II - a identificação da entidade tomadora de serviços de BaaS de forma acessível e visível ao cliente.
Art. 15. Aos serviços financeiros e de pagamento previstos no art. 4º, quando prestados no âmbito de um contrato de prestação de serviços de BaaS, aplicam-se as mesmas tarifas permitidas pela regulamentação vigente às instituições autorizadas a funcionar pelo Banco Central do Brasil.
Parágrafo único. A instituição prestadora de serviços de BaaS deve assegurar à entidade tomadora de serviços de BaaS a prestação de informações de forma clara e precisa sobre a cobrança de tarifas dos clientes, observado o disposto no art. 8º, § 2º, inciso V, alínea "b".
Art. 16. A instituição prestadora de serviços de BaaS é responsável pelo atendimento de demandas de seus clientes no âmbito da prestação dos serviços de que trata o art. 4º.
Parágrafo único. A instituição prestadora de serviços de BaaS pode valer-se da entidade tomadora dos serviços de BaaS para o atendimento de demandas do cliente, sem se eximir da responsabilidade de que trata o caput.
CAPÍTULO VII - DOS MECANISMOS DE ACOMPANHAMENTO E CONTROLE
Art. 17. As instituições financeiras, as instituições de pagamento e as demais instituições autorizadas a funcionar pelo Banco Central do Brasil, na condição de prestadoras de serviços de BaaS e de entidades tomadoras de serviços de BaaS, devem instituir mecanismos de acompanhamento e de controle com vistas a assegurar a efetividade do cumprimento do disposto nesta Resolução Conjunta, incluindo:
I - a definição de processos, testes e trilhas de auditoria;
II - a definição de métricas e indicadores adequados; e
III - a identificação e a correção de eventuais deficiências.
Parágrafo único. Os mecanismos de que trata o caput devem ser submetidos a testes periódicos, de frequência mínima anual, pela auditoria interna da instituição de que trata o caput.
Art. 18. As instituições prestadoras de serviços de BaaS devem instituir mecanismos de controle de qualidade da atuação da entidade tomadora dos serviços de BaaS, levando em conta, entre outros:
I - indicadores de acompanhamento de qualidade de atendimento aos clientes, considerando, inclusive, demandas e reclamações registradas; e
II - parâmetros sobre acordos de níveis de serviço dos sistemas utilizados ou integrados pela entidade tomadora.
§ 1º Os mecanismos de que trata o caput devem estar formalizados contratualmente e prever a adoção de medidas, caso identificadas irregularidades ou inobservância dos padrões estabelecidos para os indicadores, incluindo a possibilidade de suspensão da prestação dos serviços e o encerramento antecipado do contrato nos casos considerados graves.
§ 2º Os indicadores de que trata o caput e as medidas mencionadas no § 1º devem ser contemplados nos critérios estabelecidos pela instituição prestadora de serviços de BaaS para contratação com as entidades tomadoras de serviços de BaaS na forma disposta no art. 5º.
CAPÍTULO VIII - DISPOSIÇÕES GERAIS
I - às cooperativas de crédito e às sociedades de arrendamento mercantil atuar como instituições prestadoras de serviços de BaaS; e
II - às confederações de serviço constituídas por cooperativas centrais de crédito e às administradoras de consórcio atuar como instituições prestadoras de serviços de BaaS ou entidades tomadoras de serviços de BaaS.
Art. 20. A instituição prestadora de serviços de BaaS deve manter atualizadas as informações referentes às entidades tomadoras de serviços de BaaS com contratos vigentes:
I - perante o Banco Central do Brasil, na forma definida na regulamentação vigente; e
II - em seu sítio eletrônico na internet, em local visível e em formato legível, com a devida identificação e informações sobre os serviços prestados.
Art. 21. As instituições financeiras, as instituições de pagamento e as demais instituições autorizadas a funcionar pelo Banco Central do Brasil devem manter à disposição dessa Autarquia:
I - pelo prazo mínimo de cinco anos:
a) a documentação sobre os procedimentos de que trata o art. 7º, § 1º, contado o prazo a partir da extinção do contrato; e
b) os contratos de que trata o art. 8º, contado o prazo a partir da extinção do contrato; e
II - pelo prazo mínimo de dez anos, os dados, os registros e as informações relativas à aplicação dos mecanismos de acompanhamento e de controle de que trata o Capítulo VII, contado o prazo a partir de cada aplicação dos citados mecanismos.
Art. 22. As instituições de que trata o art. 1º que tenham contrato vigente para a prestação de serviços abrangidos por esta Resolução Conjunta na data de sua entrada em vigor devem adequar-se ao disposto nesta regulamentação até 31 de dezembro de 2026.
Art. 23. O Banco Central do Brasil poderá adotar, nos termos de suas atribuições legais, as medidas necessárias à execução do disposto nesta Resolução Conjunta, o que inclui disciplinar os seguintes aspectos:
I - o detalhamento do escopo dos serviços de que trata o art. 4º;
II - o acréscimo de outros serviços de sua competência regulatória ao escopo do BaaS, conforme art. 4º, caput, inciso V;
III - a exigência de certificações e de outros requisitos técnicos a serem requeridos das empresas tomadoras de serviços de BaaS, pela instituição prestadora de serviços de BaaS, na prestação dos serviços de que trata o art. 4º;
IV - o escopo do relatório especializado de que trata o art. 7º, caput, inciso II, alínea "e";
V - a adequação dos mecanismos de que trata o Capítulo VII;
VI - a forma de disponibilização das informações de que trata o art. 20; e
VII - os requisitos técnicos e os procedimentos operacionais a serem observados pelas instituições prestadoras de serviços de BaaS para o cumprimento desta Resolução Conjunta.
Parágrafo único. Na regulamentação de que trata o inciso I do caput, o Banco Central do Brasil deverá observar as seguintes diretrizes gerais:
I - os serviços a serem detalhados serão aqueles necessários e adequados para a compatibilidade da prestação de serviços de BaaS nos termos desta Resolução Conjunta; e
II - o detalhamento dos serviços deverá considerar a eficiência no cumprimento dos requisitos para integração entre a instituição prestadora de serviços de BaaS e a entidade tomadora de serviços de BaaS.
Art. 24. O Banco Central do Brasil poderá, em decisão fundamentada:
I - vetar ou impor restrições para a contratação de serviços de BaaS quando constatar, a qualquer tempo, a inobservância do disposto nesta Resolução Conjunta, bem como a limitação à sua atuação, estabelecendo prazo para a adequação dos referidos serviços e dos contratos correspondentes; e
II - determinar a suspensão ou o encerramento do contrato de prestação de serviços de BaaS em casos que afetem a segurança e a higidez do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiro.
Parágrafo único. A decisão do Banco Central do Brasil deverá ser precedida de manifestação da instituição prestadora de serviços de BaaS que for parte no contrato.
Art. 25. Esta Resolução Conjunta entra em vigor na data de sua publicação.
GABRIEL MURICCA GALÍPOLO
Presidente do Banco Central
