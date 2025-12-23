⚡ ECO Fast Entrou em vigor uma nova lei que impõe regras rigorosas para a resiliência operacional digital no setor financeiro.

As instituições financeiras devem implementar planos de contingência e auditorias digitais aos seu sistemas.

A lei estabelece sanções significativas para infrações e bloqueia a transferência de responsabilidades a fornecedores externos.

Entrou em vigor esta terça-feira uma lei que “assegura a implementação de atos jurídicos europeus no ordenamento jurídico nacional relativos à resiliência operacional digital do setor financeiro”. Trata-se da transposição para o ordenamento português das regras de ferro da União Europeia (conhecidas como DORA) que obrigam bancos, seguradoras, gestoras de ativos e entidades de criptoativos a blindarem-se contra hackers e falhas informáticas graves.

O objetivo não é apenas evitar acessos não autorizados aos sistemas, mas garantir que, quando ocorrem incidentes severos, as instituições financeiras conseguem continuar a funcionar sem que a operação entre em colapso.

O diploma, publicado esta terça-feira em Diário da República, impõe uma “auditoria digital” rigorosa, exigindo que as instituições financeiras implementem “planos de contingência e de continuidade de negócio” robustos. Para o consumidor, isto significa que o seu banco deixa de poder invocar falhas informáticas para justificar indisponibilidade prolongada dos serviços.

A cultura de sigilo sobre falhas de segurança nos bancos e seguradoras termina formalmente: as instituições devem comunicar incidentes severos, e a informação é partilhada entre supervisores.

A resiliência deixou de ser recomendação de boas práticas para passar a obrigação legal, fiscalizada sistematicamente pelas autoridades. O diploma, que executa na ordem jurídica interna um regulamento do Parlamento Europeu e do Conselho relativo à resiliência operacional digital do setor financeiro, estabelece que cada instituição deverá ter protocolos detalhados, sistemas redundantes e planos de recuperação que funcionem quando as coisas correm mal.

A supervisão fica concentrada em três autoridades: o Banco de Portugal, a Autoridade de Supervisão de Seguros e Fundos de Pensões (ASF) e a Comissão do Mercado de Valores Mobiliários (CMVM). Estas entidades ganham competências para exigir auditorias aos sistemas informáticos e obrigar a reportes imediatos de qualquer “incidente de caráter severo relacionado com as tecnologias de informação e comunicação (TIC)”. A cultura de sigilo sobre falhas de segurança termina formalmente: as instituições devem comunicar incidentes severos, e a informação é partilhada entre supervisores.

As sanções são substanciais e funcionam como fator de dissuasão. Para contraordenações graves praticadas por pessoas coletivas, a lei estipula uma “coima entre dez mil euros e cinco milhões de euros”. Se a infração afetar especialmente a estabilidade, a multa pode escaldar para 10% do volume de negócios anual da empresa, refere o diploma publicado esta terça-feira em Diário da República.

Para gestores e responsáveis de conformidade que negligenciem deveres, as multas podem atingir 2,5 milhões de euros a nível individual. O diploma cria assim um incentivo financeiro claro para que ninguém adormeça.

Se um banco terceiriza o seu armazenamento de dados ou infraestruturas informáticas a uma tecnológica externa, permanece responsável pelo que lá acontece. É o fim da transferência de responsabilidade através da subcontratação.

Uma dimensão importante desta lei é que não olha apenas para dentro das instituições, mas também para os seus fornecedores. Se um banco terceiriza o seu armazenamento de dados ou infraestruturas informáticas a uma tecnológica externa, permanece responsável pelo que lá acontece. A lei exige que existam “acordos contratuais relativos à utilização de serviços de TIC” que assegurem que, se o fornecedor falhar, o banco não fica desprotegido. É o fim da transferência de responsabilidade através da subcontratação.

Este diploma altera regimes já existentes — desde o Regime Geral das Instituições de Crédito até ao Código dos Valores Mobiliários — para elevar a tecnologia a risco central, ao lado do risco de crédito ou de liquidez.

As instituições terão agora de realizar testes avançados de segurança, incluindo simulações de ciberataques, para identificarem vulnerabilidades antes que criminosos as explorem. É exigido também que cada entidade revise regularmente o seu “quadro de referência sobre o risco das TIC” e que reporte aos supervisores qualquer alteração significativa.

Para os consumidores que cada vez mais dependem de aplicações bancárias para operações do dia-a-dia, esta lei representa uma garantia de que o sistema financeiro está obrigado a ter salvaguardas robustas. Num contexto em que o dinheiro é fundamentalmente um registo em bases de dados, a segurança dessas plataformas digitais é a segurança da economia.

A lei entra em vigor num momento em que os ciberataques ao setor financeiro têm aumentado em sofisticação e escala. Resta agora monitorizar se as instituições investirão adequadamente em tecnologia de proteção ou se seguirão estratégias de conformidade mínima.