Um ano de DORA: O teste da resiliência digital no setor financeiro

A resiliência digital já não é um problema de “risco tecnológico”. Atualmente, ocupa um lugar verdadeiramente central na definição do risco jurídico, sendo condição da continuidade do negócio no setor financeiro europeu. Este novo paradigma foi inaugurado pelo Regulamento (UE) 2022/2554, conhecido como DORA (Digital Operational Resilience Act), que entrou em plena aplicação em janeiro de 2025. O DORA representa, assim, um momento de transformação. Um ano depois, é o momento de fazer o balanço do impacto e dos principais desafios deste novo ecossistema.

O DORA surgiu como resposta à crescente dependência do setor financeiro em relação às tecnologias de informação e comunicação (TIC). O objetivo é claro: garantir que todas as entidades financeiras disponham de capacidades robustas para prevenir, detetar, conter e recuperar de incidentes relacionados com as TIC. A sua arquitetura assenta em cinco pilares fundamentais:

• (i) gestão do risco associado às TIC;
• (ii) comunicação de incidentes;
• (iii) realização de testes de resiliência operacional digital;
• (iv) gestão do risco associado a terceiros prestadores de serviços de TIC;
• (v) partilha de informações entre entidades financeiras. Na prática, o DORA pede uma visão integrada: políticas e controlos internos, simulações e testes, mecanismos de reporte e um controlo mais apertado da dependência de prestadores tecnológicos.

O primeiro ano de aplicação revelou-se simultaneamente promissor e exigente. Por um lado, verificou-se um reforço do investimento em cibersegurança e a resiliência operacional digital ganhou espaço na agenda da gestão de topo. Por outro, o DORA obrigou a uma coordenação interna menos habitual: áreas que tradicionalmente trabalhavam em paralelo – TIC, jurídico, compliance, procurement e gestão de risco – passaram a ter de alinhar processos, linguagem e prioridades.

Ainda assim, muitas entidades, em particular as de menor dimensão, enfrentaram dificuldades na adaptação dos seus processos internos e na alocação de recursos humanos e financeiros adequados. A revisão dos contratos com prestadores de serviços de TIC revelou-se particularmente complexa e a articulação entre o DORA e outros instrumentos regulamentares, como o Regulamento Geral sobre a Proteção de Dados e a Diretiva NIS 2, suscitou (e continua a suscitar) questões interpretativas que exigiram especial orientação das autoridades de supervisão.

Em Portugal, a Lei n.º 73/2025, de 23 de dezembro, concretizou medidas de execução nacional do DORA, designando o Banco de Portugal, a Autoridade de Supervisão de Seguros e Fundos de Pensões e a Comissão do Mercado de Valores Mobiliários como autoridades competentes. O regime sancionatório prevê coimas entre €10.000 e €5.000.000 para pessoas coletivas, dependendo do tipo de entidade, com possibilidade de agravamento até 10% do volume de negócios anual. A Lei 73/2025 aplica-se às empresas de seguros e de resseguros com sede em Portugal e às entidades gestoras de fundos de pensões autorizadas em Portugal, prevendo exclusões específicas quanto às Caixas Económicas existentes em 1 de janeiro de 1985, salvo as que revestem a forma de sociedades anónimas.

Nesta camada nacional, surge, porém, um ponto que merece reflexão: a articulação entre o universo de entidades abrangidas pelo Regulamento DORA e a delimitação introduzida no diploma nacional. Se o DORA, por um lado, não se aplica indiscriminadamente (introduzindo critérios ligados à dimensão e à natureza da atividade), por outro, a Lei 73/2025 adota uma formulação mais genérica que pode não refletir, com a mesma precisão, certas exclusões previstas ao nível europeu. Esta zona de fricção tende a gerar dúvidas práticas, sobretudo em situações-limite.

Também no confronto com a regulação setorial pré-existente surgem novos focos de complexidade. As entidades enfrentam um panorama em que obrigações decorrentes do DORA se sobrepõem, complementam ou, em alguns casos, colidem com requisitos já existentes noutros quadros normativos e regulatórios. A clarificação destas interações será decisiva nos próximos anos para garantir uma implementação coerente e eficaz e evitar redundâncias ou conflitos operacionais.

Olhando para o futuro, é expectável a intensificação da supervisão, com maior escrutínio sobre a implementação efetiva dos requisitos e, quando necessário, a imposição de sanções e medidas corretivas. As entidades que encararem a resiliência operacional digital como prioridade estratégica estarão em melhor posição para responder a um cenário de ameaças em constante evolução e para preservar a confiança de clientes, parceiros e do mercado.

A mensagem de fundo mantém-se. O DORA não deve ser visto como um mero exercício de compliance. Deve ser encarado como uma oportunidade para reforçar, de forma sustentada, a capacidade das instituições financeiras de resistir, responder e recuperar quando a tecnologia, inevitavelmente, falha.