Resoluções BCB que regem fintechs e PSPs em 2026 — o mapa para PME
Entre 2020 e 2024, o Banco Central do Brasil operou em modo permissivo com fintechs e instituições de pagamento — janela regulatória que produziu o PIX, o Open Finance e a explosão de bancos digitais que hoje atendem mais de 70% dos novos CNPJs abertos. Esse período acabou. A partir de 2025-2026, o BACEN entrou em ciclo de supervisão intensiva, com prazos vinculantes, requisitos de capital prudencial maiores e penalidades materiais para descumprimento. Para a PME que opera como cliente de fintech, ou que cogita virar fintech, entender o mapa regulatório vigente em 2026 deixou de ser opcional.
A tese deste guia é contraintuitiva: a regulação BCB para fintechs em 2026 não está endurecendo para reduzir inovação — está endurecendo para impedir arbitragem regulatória. Durante o ciclo permissivo, instituições de pagamento operaram com requisitos de capital, segurança cibernética e PLD muito menores do que bancos tradicionais, capturando volume sem proporcional camada de proteção sistêmica. As resoluções de 2023-2025 fecham essa assimetria, equiparando obrigações conforme o porte e o risco da operação, não apenas conforme a natureza jurídica da licença.
Quem escolhe fintech para fugir do compliance está olhando para o atalho que acabou em 2025. A diferença operacional em 2026 é entre fintechs maduras (que internalizaram compliance como infraestrutura) e fintechs imaturas (que ainda terceirizam parte do controle e vão ter custo regulatório explosivo nos próximos 24 meses).
Para PMEs, o que importa não é a sopa de letrinhas de resoluções — é entender quais regras afetam quais decisões cotidianas: abrir conta, contratar maquininha, pegar capital de giro, integrar Open Finance, escolher antifraude. As resoluções abaixo são as cinco mais relevantes para o lado cliente da relação, organizadas por área temática.
Tabela canônica — resoluções BCB aplicáveis a fintechs e PSPs em maio de 2026
| Resolução / Norma | Área | Aplicação | Status 2026 | Impacto para PME cliente |
|---|---|---|---|---|
| Res. CMN 4.753/2019 | Abertura de conta | Identificação de cliente, KYC/KYB | Em vigor | Documentação obrigatória, prazo 90 dias |
| Res. CMN 4.658/2018 | Cibersegurança | Política de segurança, contratação de nuvem | Em vigor, revisão anual | Comunicação obrigatória de incidente cibernético |
| Circ. BCB 3.978/2020 | PLD-FT | Procedimentos antilavagem | Em vigor, revisada por Res. BCB 282/2022 | Monitoramento transacional contínuo |
| Carta-Circular BCB 4.001/2020 | PLD-FT | Lista de situações atípicas | Em vigor, alterada pela Instrução BCB 461/2024 | Operações que disparam comunicação ao COAF |
| Res. CMN/BCB Conjunta nº 1/2020 (atualizada pela Conj. 4/2022) | Open Finance | Compartilhamento de dados e iniciação | Em vigor, expansão para Open Insurance | Direito do cliente PJ de portar dados |
| Res. BCB 80/2021 e 81/2021 | Capital prudencial | Instituições de pagamento | Em vigor, capital mínimo R$ 2 milhões | Solidez da fintech contratada |
| Res. BCB 264/2022 | Registro de recebíveis | Cartões e PIX | Em vigor, alterada pela Res. 349/2023 | Antecipação e duplicidade de cessão |
| Res. BCB 476/2025 | Contas pré-pagas | Limites e cadastro | Em vigor desde dez/2025 | Tetos para carteiras digitais |
| Res. CMN 5.218/2025 | Atualização KYC | Consulta a sistema BCB Res. 475 | Em vigor desde 01/12/2025 | Cruzamento obrigatório antes de abrir conta |
| Res. BCB 494/2025 (prazo até 01/03/2026) | Cibersegurança fintechs | Controles mínimos comprobatórios | Em vigor | Fintechs sem prova de controle perdem licença |
Fonte: Banco Central do Brasil, normativos consolidados em maio de 2026.
Por que a regulação ficou mais dura — três engrenagens estruturais
O endurecimento regulatório de 2025-2026 não foi reativo a uma crise específica — foi planejado durante anos a partir de três pressões convergentes que ficaram impossíveis de ignorar.
A primeira pressão é sistêmica: instituições de pagamento brasileiras passaram a movimentar volume comparável a bancos médios sem o equivalente em capital prudencial, criando exposição agregada não capturada nos índices Basileia. Em 2024, o BCB publicou consulta pública sobre adequação de capital de IPs, e em 2025 as Resoluções BCB 80 e 81 (que substituíram a Circular 3.683/2013) entraram em vigor com novos pisos de capital — exigência mínima de R$ 2 milhões por modalidade de serviço de pagamento, em escala progressiva conforme o porte.
A segunda pressão é cibernética: o aumento de fraudes em 2023-2025 expôs assimetria entre bancos tradicionais (que operavam Resolução CMN 4.658/2018 de cibersegurança desde 2018) e instituições de pagamento (que tiveram regulamentação cibernética equivalente apenas a partir de 2021-2022 e com requisitos mais brandos). A Resolução BCB 494/2025 e a Resolução BCB 501 fecharam essa lacuna, criando prazo final de 1º de março de 2026 para fintechs e IPs comprovarem controles mínimos. Quem não comprovar enfrenta bloqueio de ativos, limitação imediata de operações, revogação de licença e multas pecuniárias.
A terceira pressão é fiscal: a Receita Federal e o BCB criaram, em paralelo, obrigações de transparência transacional via e-Financeira e via sistema de monitoramento de PIX. Em 2025, a obrigação de PSPs reportarem transações acima de certos limiares foi ampliada. Fintechs que operavam com regime fiscal mais opaco do que bancos tradicionais perderam essa vantagem competitiva.
O fim do período permissivo não significa que fintechs vão desaparecer. Significa que a próxima onda de fintechs vai nascer com compliance embutido como produto — e quem ainda enxerga regulação como atrito está olhando para o ciclo que se encerrou em 2024, não para o que se inicia em 2026.
Por que a regulação importa para sua PME — quatro pontos de contato
A maior parte das resoluções acima não exige ação direta da PME — exige ação da fintech contratada. Mas há quatro pontos em que o cliente PJ é diretamente afetado.
Primeiro ponto: solidez da fintech contratada. Antes de movimentar volume relevante por uma instituição de pagamento, vale verificar se ela cumpre os requisitos de capital da Resolução BCB 80/2021 (consultável no Conglomerado Prudencial do BCB) e se o nome aparece na lista pública de IPs autorizadas. Fintechs com licença irregular, ou em processo de equacionamento de capital, têm risco de bloqueio operacional em 2026.
Segundo ponto: cumprimento de obrigações PLD-FT. Como cliente PJ, sua movimentação está sujeita à Circular BCB 3.978/2020 e à Carta-Circular 4.001/2020. Transações que se encaixam em situações atípicas (volume incompatível com porte declarado, contraparte em jurisdição de risco, fracionamento sistemático, uso de terceiros como intermediário) disparam comunicação ao COAF. Não é a fintech que decide reportar — é obrigação legal automática. Para evitar bloqueios cautelares, a PME deve manter alinhamento entre porte declarado e movimentação efetiva, documentar origem de recursos quando excede o histórico e atualizar cadastro proativamente em mudança societária.
Terceiro ponto: direitos de Open Finance. As Resoluções Conjuntas CMN/BCB que regulam o Open Finance (a original Conjunta nº 1/2020, atualizada pela Conjunta nº 4/2022 que expandiu de Open Banking para Open Finance) garantem ao cliente PJ o direito de portar dados cadastrais, transacionais e de produtos entre instituições autorizadas, mediante consentimento. Esse direito é raramente exercido por PMEs em 2026 — mas é a base técnica para serviços como conciliação multiconta, ofertas de crédito alternativas e análise consolidada de fluxo de caixa. Para detalhes operacionais, veja nosso guia de Open Finance para PJ.
Quarto ponto: cibersegurança herdada. Quando sua PME contrata uma fintech, herda implicitamente o nível de cibersegurança dela. Resolução CMN 4.658/2018 obriga instituições financeiras a manter política de cibersegurança formalizada, revisada anualmente, com plano de resposta a incidentes. Fintechs que cumprem essa exigência reduzem o risco de vazamento dos dados da sua empresa. Fintechs que não cumprem transferem o risco para o cliente.
MEI — basicamente protegido, com uma exceção
Para o MEI, a maior parte das resoluções BCB descritas acima opera no plano da instituição contratada, não do empresário. O MEI abre conta sob o regime simplificado da Resolução CMN 4.753/2019, normalmente em fluxo automatizado de fintech. Não há ônus regulatório direto além de manter o cadastro atualizado.
A exceção é o volume PIX recebido. O MEI tem limite de faturamento anual (R$ 81 mil em 2026, podendo ir a R$ 84.162 com regras de aderência). Receber por PIX em conta vinculada ao CNPJ MEI volumes que extrapolem o limite dispara dois efeitos: comunicação ao COAF se o padrão fugir do histórico, e desenquadramento automático do MEI pela Receita Federal. O ponto operacional é monitorar o acumulado mensal e migrar para ME (LTDA ou EI) antes de cruzar o limite, não depois.
ME e EPP — o teste de proporcionalidade
Para ME (até R$ 360 mil/ano) e EPP (R$ 360 mil a R$ 4,8 milhões/ano), o vetor regulatório principal é o teste de proporcionalidade que os bancos e fintechs aplicam internamente. A Circular BCB 3.978/2020 exige que a movimentação seja compatível com o porte declarado. Uma ME que declara faturamento de R$ 200 mil/ano e movimenta R$ 2 milhões mensais em conta cria desproporção que ativa monitoramento reforçado.
A solução operacional é manter o cadastro coerente com a realidade. Se o faturamento real cresceu, atualizar o cadastro com o banco antes de o monitoramento detectar. Se está recebendo recursos de terceiro (sócio, family office, financiamento), documentar formalmente para apresentar à fintech quando solicitado.
PME média — onde o Open Finance vira alavanca
Empresas com faturamento entre R$ 4,8 milhões e R$ 30 milhões/ano operam, em 2026, em um ecossistema regulatório que já permite alavancagem real do Open Finance. As Resoluções Conjuntas CMN/BCB do Open Finance autorizam a PME a consentir o compartilhamento de:
- Dados cadastrais (Fase 1)
- Dados transacionais de conta corrente e cartão (Fase 2)
- Dados de produtos (crédito, investimentos, câmbio) (Fase 3)
- Iniciação de pagamento (Fase 4)
Para uma PME que mantém três contas em instituições diferentes — situação típica para diversificar custo, capacidade de crédito e cobertura geográfica — o Open Finance permite consolidar a visão de caixa em um único painel. Fintechs como Conta Simples, Cora e Stone oferecem esse painel integrado para clientes que consentem o compartilhamento.
Scale-up — quando a regulação vira insumo estratégico
Para scale-ups que aspiram virar instituição de pagamento, marketplace financeiro ou plataforma fintech, as resoluções deixam de ser obstáculos e viram requisitos de licenciamento. A Resolução BCB 80/2021 (autorização para funcionar como IP) e a Resolução CMN 4.658/2018 (cibersegurança) compõem o pacote mínimo para obter autorização do BCB. O processo de licenciamento leva, em 2026, entre 12 e 24 meses, dependendo da modalidade pleiteada.
Para scale-ups que operam com fintechs em vez de pleitear licença própria, a Resolução BCB 494/2025 impôs revisão de due diligence sobre fornecedores financeiros. A Resolução CMN 4.658/2018 já exigia avaliação de risco em terceirização para nuvem desde 2018 — agora foi estendida operacionalmente para parceiros financeiros. A scale-up que paga folha via API de fintech, por exemplo, precisa ter contrato com cláusulas de continuidade, plano de transição e SLA documentado.
Próximas mudanças regulatórias relevantes
Três pendências regulatórias do BCB devem aterrissar em 2026-2027 e impactam PMEs diretamente.
A primeira é a expansão de Open Finance para Open Insurance (regulamentação da SUSEP em paralelo). PMEs poderão portar dados de seguro empresarial entre seguradoras, em movimento análogo ao do Open Banking.
A segunda é a regulamentação do PIX por aproximação (PIX NFC) e do PIX em garantia (uso de saldo PIX como colateral em operações de crédito), em consulta pública desde 2024 e com previsão de implementação 2026-2027.
A terceira é a consolidação da Lei Complementar nº 214/2025 (Reforma Tributária), cujos efeitos sobre conta PJ e PIX começam a aparecer em 2026 com integração de IBS/CBS na infraestrutura do BCB. Detalhes na reforma tributária para PJ.
Próximo passo concreto
Para a PME que opera com uma ou mais fintechs em 2026, a entrega de maior alavancagem é uma revisão semestral de fornecedores financeiros: confirmar que a instituição está na lista pública de IPs autorizadas do BCB, que tem política de cibersegurança publicada, que cumpre os requisitos de capital (consultável no Conglomerado Prudencial do BCB) e que respondeu à exigência da Resolução BCB 494/2025 até 1º de março de 2026. Cinco minutos por fornecedor, duas vezes por ano. Vale a hora.
Para o desdobramento prático sobre como o KYC/KYB se aplica na abertura de conta, leia KYC e KYB para conta PJ. Para entender o lado da prevenção antifraude e chargeback que se conecta à regulação BCB, veja antifraude e chargeback.
Perguntas frequentes
Toda fintech precisa ter licença do BCB?
Não. Há três regimes: instituições financeiras (bancos, autorizadas a captar depósito à vista, com licença completa), instituições de pagamento (IPs, autorizadas a oferecer serviços de pagamento conforme Lei 12.865/2013 e Resoluções BCB 80 e 81/2021) e fintechs sem licença BCB (que operam como correspondentes, agentes credenciados ou software que se apoia em IP licenciada). Stone, PagSeguro, Mercado Pago, Cora, Conta Simples são IPs licenciadas. Algumas fintechs menores operam como front-end sobre IP de terceiro — modelo legal, mas com risco de descontinuidade se a IP parceira sair do mercado.
A Resolução BCB 4.943 existe?
Não com esse número exato em 2026. A confusão é comum porque o BACEN tem dois sistemas de numeração paralelos (Resoluções CMN, do Conselho Monetário Nacional, e Resoluções BCB, do próprio Banco Central). As resoluções relevantes para capital de instituições de pagamento são a BCB 80/2021 e a BCB 81/2021. Para operações financeiras gerais, a referência atual é o conjunto de resoluções CMN sobre crédito e capital prudencial. [FALTA EVIDÊNCIA] sobre a existência específica de uma Resolução BCB 4.943/2021 com escopo separado das anteriores.
O que é COAF e quando o banco reporta?
COAF é o Conselho de Controle de Atividades Financeiras, órgão do Ministério da Fazenda que recebe comunicações de operações suspeitas. A Lei 9.613/1998 (com alterações da Lei 12.683/2012) obriga instituições financeiras a comunicar operações que se encaixem em situações atípicas listadas na Carta-Circular BCB 4.001/2020. Comunicação ao COAF não significa acusação — significa registro para análise. A maioria das comunicações é arquivada sem consequência. Mas pode disparar bloqueio cautelar enquanto a análise interna do banco roda.
O Open Finance é obrigatório para minha empresa?
Não. Open Finance é facultativo do lado do cliente — você precisa consentir o compartilhamento. Para a instituição financeira, é obrigatório oferecer a infraestrutura quando solicitada (em bancos das fases obrigadas pelo BCB). Sua PME pode optar por não usar e operar normalmente, ou pode consentir e ganhar a portabilidade de dados.
Posso processar a fintech se ela me bloquear conta sem motivo claro?
Sim, em tese. Mas a fintech tem amparo nas regulamentações BCB (Circular 3.978/2020, art. 50) para bloqueio cautelar quando identifica risco de PLD ou fraude. O caminho prático é solicitar formalmente a justificativa por escrito, regularizar documentação solicitada e, se persistir, acionar o canal de ouvidoria. Em caso de bloqueio injustificado documentado, processo no Procon e ação cível são possíveis — mas tendem a demorar mais do que regularizar via canal próprio.
A Resolução CMN 4.658 vale para empresa que não é fintech?
A Resolução CMN 4.658/2018 vale diretamente para instituições financeiras e instituições autorizadas pelo BCB. Empresa que contrata instituição financeira não tem obrigação direta, mas herda a expectativa de governança quando o contratante é grande corporação ou ente público. Boas práticas de cibersegurança (política formalizada, plano de resposta a incidentes, treinamento anual) viraram cláusula contratual comum em B2B em 2026.
Stone não patrocina este conteúdo. Para entender como as resoluções BCB se materializam no produto bancário do dia a dia, consulte nosso guia de conta PJ e o hub Banco do Empreendedor.