obOpen Banking Lab
GlosarioSTETBlogContacto
Actor

BaaS

Banking-as-a-Service

Modelo en el que una entidad de crédito o EDE expone sus autorizaciones y su infraestructura (cuentas, tarjetas, pagos) vía API a fintechs o marcas no bancarias. Treezor, Swan, Solaris, Modulr en Europa.

Ver también:ECEPEMEAgent PSPTreezor / Swan / SolarisEmbedded financeDORA

Definición

El BaaS (Banking-as-a-Service) permite a una entidad regulada (entidad de crédito, EP o EDE) exponer sus autorizaciones y su infraestructura bancaria vía API a los actores que las necesitan.

Cuentas, tarjetas, transferencias SEPA, IBAN, KYC, cumplimiento: todo se consume en forma de API por una fintech, una marca o una plataforma. El cliente final se relaciona con la marca; el BaaS aporta la mecánica regulada, invisible, que funciona por detrás.

Por qué existe el BaaS

Sin el BaaS, cualquier actor que quisiera ofrecer una cuenta o una tarjeta tendría que:

  • solicitar una autorización de EP o EDE a la ACPR (12 a 18 meses, 200 a 500 K€);
  • construir todo su cumplimiento (AML/CFT, monitorización de fraude, screening de sanciones);
  • adherirse a las redes de tarjetas como principal member (~1 M€ de derechos, más la implantación técnica);
  • integrar los sistemas SEPA (STEP2, EBA RT1) o pasar por un corresponsal.

Con el BaaS, todo esto ya está hecho: se consume una API.

Las piezas de una oferta BaaS

  • Cuentas de pago con IBAN dedicados (franceses, europeos).
  • Emisión de tarjetas físicas y virtuales, vía el patrocinador de BIN del BaaS.
  • Transferencias SEPA SCT y SCT Inst, entrantes y salientes.
  • Adeudos SDD Core y B2B.
  • Wallets recargables (e-money) para marketplaces y Merchant of Record.
  • KYC / KYB integrado (a menudo con Onfido, Veriff o Sumsub embebidos).
  • Monitorización de fraude transaccional.
  • Reporte regulatorio: en la práctica, es el BaaS quien responde a la ACPR.

Todo vía una API REST (o GraphQL en los más modernos).

BaaS, Open Banking, embedded finance

Tres conceptos próximos pero distintos:

BaaSOpen BankingEmbedded finance
Sentido del flujoBanco → fintech (B2B)Banco → TPP (B2B2C)Finanzas dentro de un producto no financiero
Activado porContrato comercialRegulación (PSD2)Estrategia de producto
EjemploTreezor → QontoBridge lee tu cuenta BNPUber paga a sus conductores vía wallet integrada

El BaaS es a menudo el medio técnico por el que se materializa el embedded finance.

Los modelos jurídicos

Coexisten dos grandes modelos:

  • Agente PSP — el BaaS es el principal, la fintech es agente inscrita en la ACPR. Cuentas abiertas a nombre del BaaS. Arranque rápido, pero fuerte dependencia.
  • Distribución — la fintech está autorizada en nombre propio (EP / EDE / EC) y solo usa el BaaS para piezas (emisión de tarjeta, acceso SEPA). Más caro de montar, menos dependiente.

Muchas empiezan como agente y luego migran a nombre propio (Qonto, N26, Lydia).

Lo que el BaaS no es

  • No es un producto de gran consumo: nadie «entra en Treezor», el BaaS es invisible.
  • No es Open Banking: el Open Banking está regulado (PSD2, gratuidad, ámbito AIS/PIS); el BaaS es comercial (tarifas, contrato, SLA).
  • No está exento de DORA / AML-CFT: el BaaS sigue siendo responsable del cumplimiento ante la ACPR, y la fintech agente mantiene sus propias obligaciones.
  • No es una alianza sin riesgo: una quiebra (Wirecard en 2020, congelación de Railsr en 2023) congela las cuentas de los socios. El plan de continuidad es una obligación DORA desde 2025.

Los modelos económicos

  • Setup fee inicial: 5 a 50 K€ según las piezas.
  • Tarifas por cuenta abierta: 0,5 a 5 € al mes.
  • Tarifas por tarjeta emitida: 1 a 3 € al mes, más la emisión.
  • Tarifas por transacción: de unos céntimos a unas decenas de céntimos.
  • Revenue share sobre el intercambio de las tarjetas (a menudo 30% a 50% para la fintech).
  • Float sobre los fondos segregados en la entidad de crédito tercera.

En el ecosistema PSD2

El BaaS es a la vez cliente y complemento de la DSP2: permite a cientos de fintechs operar sin autorización propia, dentro de un marco regulado que sostiene el principal. Cuando la cuenta del cliente se abre en sus libros, el propio BaaS es ASPSP en el sentido de la DSP2 y, por tanto, está sujeto a las obligaciones de API XS2A.

Ejemplos concretos

  • BaaS franceses: Treezor (filial de Société Générale, líder en FR), Swan (API-first, B2B europeo), Sumeria for Business (procedente de Lydia).
  • BaaS europeos: Solaris (Alemania, en dificultades en 2024), Modulr (UK/Irlanda), Railsr (UK, reestructurado en 2023), Bankable (UK), ConnectPay (Lituania), Hype (Italia).
  • BaaS de EE. UU.: Unit, Synapse (quiebra en 2024), Marqeta, Galileo.
  • Caso Pixpay (cuenta para adolescentes): opera sobre Treezor — cada tarjeta de adolescente está técnicamente emitida por Treezor, y el IBAN del progenitor está alojado allí.
  • Crisis BaaS 2023-2024: la quiebra de Synapse congeló millones de dólares de clientes de fintechs; Solaris tuvo graves problemas de cumplimiento. De ahí un endurecimiento regulatorio y mayores exigencias de plan de continuidad.
  • Tarificación: un BaaS europeo cobra 2 a 10 € por cuenta y año, más el interchange share y la implantación — es decir, un break-even en torno a 5.000 a 10.000 clientes activos.
  • Evolución: la DSP3 (2026-2027) debería aclarar el estatus de los actores de infraestructura (BaaS, procesadores de tarjetas), con posibles obligaciones de fondos propios y una supervisión reforzada.

Fuentes

Volver al glosario