obOpen Banking Lab
GlossárioSTETBlogContato
Ator

BaaS

Banking-as-a-Service

Modelo em que uma instituição de crédito ou EME expõe suas autorizações e sua infraestrutura (contas, cartões, pagamentos) via API a fintechs ou marcas não bancárias. Treezor, Swan, Solaris, Modulr na Europa.

Veja também:ECEPEMEAgent PSPTreezor / Swan / SolarisEmbedded financeDORA

Definição

O BaaS (Banking-as-a-Service) permite a uma instituição regulada (instituição de crédito, IP ou EME) expor suas autorizações e sua infraestrutura bancária via API a atores que delas precisam.

Contas, cartões, transferências SEPA, IBAN, KYC, conformidade: tudo é consumido na forma de API por uma fintech, uma marca ou uma plataforma. O cliente final se relaciona com a marca; o BaaS fornece a mecânica regulada, invisível, que roda por trás.

Por que o BaaS existe

Sem o BaaS, qualquer ator que queira oferecer uma conta ou um cartão teria de:

  • pedir uma autorização de IP ou EME à ACPR (12 a 18 meses, € 200 a € 500 mil);
  • construir toda a sua conformidade (AML/CFT, monitoramento de fraude, screening de sanções);
  • aderir às bandeiras de cartão como principal member (~€ 1 mi de direitos, mais o setup técnico);
  • integrar os sistemas SEPA (STEP2, EBA RT1) ou passar por um correspondente.

Com o BaaS, tudo isso já está feito: consome-se uma API.

As camadas de uma oferta BaaS

  • Contas de pagamento com IBAN dedicados (franceses, europeus).
  • Emissão de cartões físicos e virtuais, via o patrocinador de BIN do BaaS.
  • Transferências SEPA SCT e SCT Inst, de entrada e de saída.
  • Débitos SDD Core e B2B.
  • Wallets recarregáveis (e-money) para marketplaces e Merchant of Record.
  • KYC / KYB integrado (muitas vezes com Onfido, Veriff ou Sumsub embarcados).
  • Monitoramento de fraude transacional.
  • Reporte regulatório: na prática, é o BaaS que responde à ACPR.

Tudo via uma API REST (ou GraphQL nos mais modernos).

BaaS, Open Banking, embedded finance

Três conceitos próximos, mas distintos:

BaaSOpen BankingEmbedded finance
Sentido do fluxoBanco → fintech (B2B)Banco → TPP (B2B2C)Finanças dentro de um produto não financeiro
Disparado porContrato comercialRegulação (PSD2)Estratégia de produto
ExemploTreezor → QontoBridge lê sua conta BNPUber paga seus motoristas via wallet integrada

O BaaS é, muitas vezes, o meio técnico pelo qual o embedded finance se concretiza.

Os modelos jurídicos

Dois grandes modelos coexistem:

  • Agente PSP — o BaaS é o principal, a fintech é agente inscrita na ACPR. Contas abertas em nome do BaaS. Início rápido, mas forte dependência.
  • Distribuição — a fintech é autorizada em nome próprio (IP / EME / IC) e usa o BaaS apenas para camadas (emissão de cartão, acesso SEPA). Mais caro de montar, menos dependente.

Muitas começam como agente e depois migram para o nome próprio (Qonto, N26, Lydia).

O que o BaaS não é

  • Não é um produto de varejo: ninguém "entra na Treezor", o BaaS é invisível.
  • Não é Open Banking: o Open Banking é regulado (PSD2, gratuidade, escopo AIS/PIS); o BaaS é comercial (tarifas, contrato, SLA).
  • Não é isento de DORA / AML-CFT: o BaaS continua responsável pela conformidade perante a ACPR, e a fintech agente mantém suas próprias obrigações.
  • Não é uma parceria sem risco: uma falha (Wirecard em 2020, congelamento da Railsr em 2023) congela as contas dos parceiros. O plano de continuidade é uma obrigação do DORA desde 2025.

Os modelos econômicos

  • Setup fee inicial: € 5 a € 50 mil conforme as camadas.
  • Taxas por conta aberta: € 0,5 a € 5 por mês.
  • Taxas por cartão emitido: € 1 a € 3 por mês, mais a emissão.
  • Taxas por transação: de alguns centavos a algumas dezenas de centavos.
  • Revenue share sobre o interchange dos cartões (muitas vezes 30% a 50% para a fintech).
  • Float sobre os fundos segregados na instituição de crédito terceira.

No ecossistema PSD2

O BaaS é, ao mesmo tempo, cliente e complemento da PSD2: ele permite a centenas de fintechs operar sem autorização própria, em um marco regulado sustentado pelo principal. Quando a conta do cliente é aberta em seus livros, o próprio BaaS é ASPSP no sentido da PSD2 e, portanto, sujeito às obrigações de API XS2A.

Exemplos concretos

  • BaaS franceses: Treezor (subsidiária do Société Générale, líder na FR), Swan (API-first, B2B europeu), Sumeria for Business (oriundo da Lydia).
  • BaaS europeus: Solaris (Alemanha, em dificuldade em 2024), Modulr (UK/Irlanda), Railsr (UK, reestruturado em 2023), Bankable (UK), ConnectPay (Lituânia), Hype (Itália).
  • BaaS dos EUA: Unit, Synapse (falência em 2024), Marqeta, Galileo.
  • Caso Pixpay (conta para adolescentes): opera na Treezor — cada cartão de adolescente é tecnicamente emitido pela Treezor, e o IBAN do responsável é hospedado lá.
  • Crise BaaS 2023-2024: a falência da Synapse congelou milhões de dólares de clientes de fintechs; a Solaris teve graves problemas de conformidade. Daí um endurecimento regulatório e maiores exigências de plano de continuidade.
  • Tarifação: um BaaS europeu cobra € 2 a € 10 por conta e por ano, mais o interchange share e o setup — ou seja, um break-even em torno de 5.000 a 10.000 clientes ativos.
  • Evolução: a PSD3 (2026-2027) deve esclarecer o status dos atores de infraestrutura (BaaS, processadoras de cartão), com eventuais obrigações de capital próprio e uma supervisão reforçada.

Fontes

Voltar ao glossário