Existe uma leitura ainda comum no mercado de embedded finance no Brasil.

Ela trata regulação como uma camada externa ao desenho da operação. Primeiro a plataforma organiza produto, experiência e distribuição. Depois, em algum momento, ajusta enquadramento, parceiro, documento e controle.

Os movimentos mais recentes do Banco Central sugerem outra coisa.

O sinal não é apenas de maior exigência formal. É de maior clareza sobre quem organiza, quem registra, quem responde e com que evidência essa resposta poderá ser sustentada. Em 28 de novembro de 2025, o BC regulamentou o BaaS e afirmou que a regulação “define claramente quais as partes envolvidas no modelo de negócio”, bem como suas responsabilidades. Poucos dias depois, a Resolução Conjunta nº 18 passou a disciplinar a política de qualidade das informações prestadas ao Banco Central. Em 18 de dezembro de 2025, o BC e o CMN também reforçaram o arcabouço de segurança cibernética e de proteção de infraestruturas críticas. Já em 2026, o BC ajustou e detalhou o regime dos PSTIs, os provedores de serviços de tecnologia da informação usados no sistema financeiro e no sistema de pagamentos.

A leitura mais útil, portanto, não é a de que o ambiente ficou apenas “mais regulado”. A leitura mais útil é que o regulador começou a tratar o arranjo operacional como uma cadeia de responsabilidades menos tolerante a ambiguidade.

O BaaS deixou de caber na zona cinzenta comercial

O primeiro sinal é o mais direto.

A regulamentação de BaaS publicada em novembro de 2025 não apenas reconheceu o modelo. Ela o organizou em termos de partes, papéis e responsabilidades. O próprio BC resumiu a mudança dessa forma ao anunciar a norma. Isso importa porque, por muitos anos, parte do mercado conseguiu tratar BaaS como um arranjo suficientemente maleável para que a narrativa comercial viesse antes da definição institucional.

Esse espaço ficou menor.

Quando o regulador passa a nomear o modelo, ele reduz a utilidade da formulação vaga. Para plataformas B2B, isso muda o centro da conversa. O valor já não está apenas em distribuir melhor ou integrar mais rápido. Está em conseguir explicar com precisão quem faz o quê, em qual etapa, com qual alçada e sob qual padrão de controle.

Em outras palavras, BaaS deixou de funcionar bem como promessa ampla. Passa a exigir desenho mais explícito de responsabilidade.

Qualidade da informação virou tema de governança, não de backoffice

O segundo sinal é menos vistoso e, por isso mesmo, mais revelador.

A Resolução Conjunta nº 18, de 28 de novembro de 2025, estabeleceu a política de qualidade das informações prestadas ao Banco Central por instituições autorizadas. Esse movimento parece técnico à primeira leitura. Mas ele diz muito sobre a direção institucional do mercado.

Quando qualidade da informação sobe de patamar regulatório, o problema deixa de ser apenas “enviar dados corretos”. Passa a ser provar que a operação produz, organiza, mantém e revisa informação de forma compatível com o modelo de negócio, o perfil de risco e a complexidade institucional.

Para o mercado de embedded finance, isso tem uma implicação importante.

Quanto mais a operação depende de múltiplas camadas, parceiros e fluxos distribuídos, menos sustentável fica a ideia de que dados, documentos, critérios e evidências podem ser tratados como subproduto da jornada. A qualidade da informação começa a operar como teste de maturidade do desenho.

E isso atinge diretamente plataformas que ainda se descrevem como interface leve, mesmo quando já influenciam a forma como a informação nasce, circula e chega ao parceiro regulado.

Infraestrutura crítica e terceiros entraram de vez no centro do problema

O terceiro sinal está na combinação entre segurança cibernética, infraestrutura crítica e governança sobre terceiros.

Em 18 de dezembro de 2025, o BC informou que atualizou política e requisitos de segurança para uniformizar o ambiente regulatório e fortalecer a segurança das infraestruturas de comunicação de dados e dos sistemas de pagamentos. Na mesma linha, a Resolução CMN nº 5.274 alterou a norma de segurança cibernética de 2021. Pouco depois, em 30 de janeiro de 2026, o BC ajustou a regulamentação dos PSTIs, e a Instrução Normativa nº 718, publicada em 1º de abril de 2026, detalhou procedimentos, documentos, prazos e informações para credenciamento e descredenciamento desses provedores.

O ponto relevante não está só em segurança, no sentido estreito.

O ponto relevante é que o regulador está olhando com mais nitidez para a cadeia técnica que sustenta a operação. Isso inclui provedores, credenciamento, evidência documental, procedimentos formais e controles mínimos sobre quem participa da infraestrutura.

Para plataformas B2B, essa mudança importa porque reduz a margem para tratar o terceiro como caixa-preta conveniente. Quanto mais o arranjo depende de provedores especializados, mais a governança sobre esses elos deixa de ser detalhe contratual e passa a afetar a integridade da operação inteira.

A pressão institucional é menos sobre tese e mais sobre evidência

O quarto sinal ajuda a juntar os anteriores.

No Relatório Integrado de 2025, o Banco Central afirmou ter havido aumento expressivo de ataques do crime organizado a instituições financeiras e de pagamentos, o que demandou adoção de medidas adicionais. Em paralelo, o BC afirmou recentemente que a agenda evolutiva do Pix segue “a todo vapor” em 2026, com diversos projetos de aprimoramento em andamento.

Quando se combinam expansão de infraestrutura, elevação de criticidade operacional e aumento de pressão de segurança, o regulador tende a ficar menos interessado em declarações genéricas de robustez e mais interessado em evidência de controle, rastreabilidade, qualidade informacional e clareza de papéis.

Esse é o padrão emergente.

Menos tolerância a ambiguidade de responsabilidade. Menos espaço para a fronteira difusa entre parceiro, plataforma, infraestrutura e operação. Mais expectativa de que a cadeia consiga explicar como decide, como registra, como supervisiona terceiros e como sustenta a qualidade do que informa.

O que plataformas B2B deveriam observar agora

Para plataformas, ERPs e SaaS verticais, a implicação não é “virar regulado” por força de retórica. A implicação é mais concreta.

Projetos que ainda tratam BaaS como atalho comercial, governança informacional como assunto secundário e infraestrutura terceirizada como deslocamento automático de responsabilidade tendem a parecer mais frágeis neste novo ambiente.

O ponto de atenção agora está menos em lançar nova oferta e mais em responder perguntas mais duras.

Quem organiza a jornada e os critérios de entrada.

Quem assegura a qualidade da informação ao longo do fluxo.

Quem supervisiona os terceiros críticos.

Em que fórum as exceções são absorvidas.

Como a operação demonstra, e não apenas afirma, que papéis e controles estão claros.

Essa talvez seja a principal mudança de leitura para 2026.

O mercado ainda fala muito sobre distribuição, experiência e monetização. O regulador, pelos sinais recentes, começou a falar com mais ênfase sobre outra coisa: definição de responsabilidade sustentada por evidência operacional.

Essa é a parte que merece atenção agora.

A Capstack é uma publicação independente sobre embedded finance, digital banking e gestão de riscos no contexto B2B, escrita a partir da experiência prática de quem atua na interseção entre tecnologia, sistema financeiro e operação.

Se quiser continuar a conversa, você pode se conectar comigo no LinkedIn.

Para quem busca entender como esses modelos se materializam na prática, a baasic. atua como plataforma de embedded finance integrada a ERPs, plataformas e ecossistemas de negócios.

Se este texto foi útil, sinta-se à vontade para compartilhá-lo com outras pessoas interessadas em estruturar finanças dentro de seus negócios.

Compartilhar

Obrigado por ler a Capstack - Onde capital, operação e infraestrutura se encontram. Subscreva gratuitamente para receber novos posts.

Forte abraço!

Helom Silva