Exclusivo Banco de Portugal submete mais bancos a um “ciberataque”

Vários bancos portugueses vão ser alvo de um “ciberataque” do Banco de Portugal, mas sem qualquer risco para a instituição nem para os clientes. O supervisor decidiu aprofundar e alargar a mais instituições de crédito os testes de esforço de cibersegurança anunciados em janeiro pelo Banco Central Europeu, confirmou ao ECO fonte oficial. Este exercício específico do supervisor bancário português arrancou na primeira semana de abril.

Em janeiro de 2024, o Banco Central Europeu (BCE) anunciou a realização do primeiro stress test com o objetivo de aferir como os bancos supervisionados responderiam a ciberataque. Não é um exercício à capacidade de prevenção, mas sim de reação: “O cenário do teste pressupõe que as instituições de crédito serão alvo de um ciberataque bem‑sucedido, que afetará as suas operações diárias”, explicou o BCE.

As principais conclusões deste exercício serão publicadas no verão, mas o supervisor da banca em Portugal quis ir mais longe: “O Banco de Portugal considera de maior relevância este exercício e decidiu estendê-lo a uma amostra adicional de instituições de crédito sob a sua supervisão direta e/ou com relevância sistémica a nível nacional, com as necessárias adaptações ao calendário. Adicionalmente, o exercício é adaptado com o objetivo de integrar questões relevantes na perspetiva sistémica”, confirmou ao ECO fonte oficial.

As questões foram remetidas ao Banco de Portugal depois de Afonso Fuzeta Eça, recentemente nomeado para o conselho de administração do BPI, ter avançado na conferência New Money, promovida pelo ECO e pela sociedade de advogados Morais Leitão, no dia 10 de abril, que o BPI estava a participar nesse novo exercício promovido pelo Banco de Portugal.

Além de confirmar que o BPI participa no teste do BCE através do seu acionista CaixaBank, Afonso Fuzeta Eça comentou: “O Banco de Portugal também iniciou na semana passada [1 a 5 de abril] um exercício de resiliência e de cibersegurança e estamos também a participar nele.” Presente na plateia da conferência, Hélder Rosalino, administrador do Banco de Portugal com o pelouro das tecnologias de informação, anuiu.

Apesar de confirmar o exercício, o Banco de Portugal não facultou a lista das instituições de crédito abrangidas por este novo teste. O ECO apurou que a Caixa Geral de Depósitos é outro dos bancos abrangidos, sendo que a lista de instituições de crédito de relevância sistémica em Portugal inclui ainda o BCP, o Novobanco, o Santander, o Banco Montepio e o Crédito Agrícola.

Instado a dar mais esclarecimentos, Afonso Fuzeta Eça não quis entrar em detalhes, mas sublinhou ser um exercício que “segue todas as boas práticas para um processo deste género”.

“É um processo com várias fases. Vai desde os procedimentos até exercícios mais práticos, que darão toda a confiança aos participantes de que fizemos um exercício sério. Em alguns sítios vão ser encontradas boas práticas, noutros, se calhar, como em todos os exercícios, há coisas a cuidar. E espero que nada crítico seja encontrado em ninguém que participe no exercício”, sublinhou o administrador do BPI.

Estabilidade financeira em risco

Estes testes de esforço aos bancos surgem num momento de maior preocupação com a capacidade de setores críticos da economia prevenirem e responderem a ciberataques disruptivos. Entidades como BCE e o Fundo Monetário Internacional (FMI) têm avisado nos últimos anos que um ciberataque poderia desencadear uma grave crise financeira.

Aliás, no dia dia 9 de abril, responsáveis do FMI insistiram que “incidentes no setor financeiro podem ameaçar a estabilidade financeira e económica se erodirem a confiança no sistema financeiro, interromperem serviços críticos ou contaminarem outras instituições”.

“O Banco de Portugal, no âmbito do seu Plano Estratégico 2021-2025, e em linha com as prioridades de supervisão do Mecanismo Único de Supervisão para o período de 2024-2026 e a avaliação de riscos para o setor financeiro a nível europeu, do ponto de vista sistémico, identifica a resiliência operacional das instituições de crédito, decorrente do seu processo de transformação digital, como uma prioridade”, admite fonte oficial da instituição governada por Mário Centeno.

Ademais, na União Europeia, o setor financeiro tem vindo a preparar-se para a adoção do Digital Operational Resilience Act (DORA), que começará a aplicar-se a partir de 17 de janeiro de 2025 e pressupõe exigências mais apertadas ao setor do ponto de vista de cibersegurança. Esta lei vai ainda mais além e abrange empresas de outros setores, como as tecnológicas que fornecem produtos e serviços às instituições financeiras.

O assunto preocupa as autoridades nacionais e europeias. O exercício do BCE abrange 109 entidades supervisionadas diretamente pela instituição presidida por Christine Lagarde. Dentro destas, o BCE selecionou uma “amostra” de 28 bancos que “serão objeto de uma avaliação reforçada, no âmbito da qual terão de apresentar informações adicionais sobre a forma como lidaram com o ciberataque”.

Apesar da relevância, o BCE determinou que “este exercício predominantemente qualitativo não terá impacto nos [requisitos de] fundos próprios através das orientações do Pilar 2, que constituem uma recomendação dirigida a cada instituição de crédito sobre o nível de fundos próprios que devem deter para além dos requisitos vinculativos”. Mas os supervisores “debaterão os resultados com cada instituição no contexto do processo regular de análise para fins de supervisão”.

É neste contexto de cooperação institucional que o Banco de Portugal alarga o teste no país, mais uma das medidas em vigor para assegurar uma maior resiliência por parte deste setor crítico. “No que respeita em particular ao risco de cibersegurança, o Banco de Portugal promove adicionalmente a proximidade e confiança entre e com as instituições através de uma cooperação, partilha de experiências e desenvolvimento de iniciativas de forma próxima através do Fórum com a Indústria para Cibersegurança e Resiliência Operacional“, remata a mesma fonte oficial.