Jornal PT50

4 jul 2025 07:06

Economia

Destaques de Jornal PT50

Jornal PT50 · Economia · 4 jul 2025 12:11

Juros dos depósitos e do crédito à habitação em queda acentuada
Jornal PT50 · Economia · 4 jul 2025 12:06

Italiano BPER sobe oferta sobre rival BP Sondrio para 5,44 mil milhões
Jornal PT50 · Economia · 4 jul 2025 11:28

BBVA ativa serviço de compra e venda e custódia de criptomoedas para todos os clientes em Espanha

Ver mais notícias

Ciberataques a bancos europeus duplicam em dois anos e expõem fragilidades operacionais

DBRS alerta para aumento significativo de incidentes cibernéticos e operacionais na banca europeia. Supervisores reforçam exigências de resiliência digital com o novo regulamento DORA.

A ameaça cibernética está a consolidar-se como um dos riscos emergentes mais relevantes para os bancos europeus, de acordo com um relatório divulgado pela DBRS Morningstar nesta quinta-feira. A combinação entre a rápida digitalização, a crescente dependência de fornecedores externos e um contexto geopolítico instável está a expor as instituições financeiras a vulnerabilidades críticas, conclui.

A DBRS salienta que o número exato de ciberataques permanece desconhecido, no entanto, dados divulgados publicamente apontam para um aumento no volume de ataques direcionados a instituições financeiras e prestadores de serviços externos utilizados pelos bancos.

De acordo com dados do Banco Central Europeu (BCE) citados no relatório, o número de incidentes cibernéticos significativos reportados por bancos sistémicos duplicou entre 2022 e 2024, passando de 77 para 153 ocorrências. Em 2017, o BCE registava apenas 27 incidentes deste tipo, o que significa um aumento de 467% em apenas sete anos.

“Os bancos tendem frequentemente a subnotificar ou minimizar os problemas relacionados com as TI para evitar repercussões reputacionais e financeiras. No entanto, o reforço da regulamentação e o escrutínio do mercado estão a pressioná-los para uma maior transparência e uma melhor divulgação dos incidentes e das suas causas”, refere a agência no estudo divulgado.

A digitalização bancária está a acelerar, impulsionada pela ampla adoção de serviços bancários online e aplicações digitais e pelo ritmo crescente de encerramento de agências. Os investimentos relacionados com TI estão a crescer e constituem um item relevante nos orçamentos e no planeamento financeiro dos bancos. Num ambiente em que os sistemas funcionam sem interrupções 24 horas por dia, 7 dias por semana, os bancos estão expostos a ciberataques constantemente. Na maioria dos casos, porém, os ataques não são bem-sucedidos, refere a DBRS.

Entre os ataques mais frequentes destacam-se o ‘ransomware’ (ataques de sequestro de dados), DDoS (sobrecarga de um sistema), ‘phishing’ (captura de dados confidenciais) e ataques com uso de inteligência artificial, incluindo a criação de contas falsas. O relatório aponta também para um aumento acentuado dos ataques com motivações políticas após a invasão da Ucrânia pela Rússia, em 2022.

A DBRS recorda o caso de nove bancos e sociedades de crédito imobiliário (Bank of Ireland UK, Nationwide, Northern Bank Limited, NatWest Group, HSBC UK, Lloyds Banking Group, AIB, Barclays e Santander UK) que operam no Reino Unido, que acumularam 33 dias de interrupções nos sistemas devido a 158 incidentes de falhas de TI, entre janeiro de 2023 e fevereiro de 2025, de acordo com os dados publicados pela Comissão do Tesouro do Parlamento do Reino Unido. Como resultado dessas falhas, milhares de clientes não puderam aceder e utilizar os serviços. Na maioria dos casos, os incidentes foram causados por problemas técnicos de serviços terceirizados ou redes de ‘cloud’ terceirizadas; incidentes técnicos que afetaram os serviços bancários online e aplicações móveis; hardware defeituoso; certificados de segurança expirados; alterações no sistema; bugs ou problemas de codificação; capacidade de rede insuficiente e erros humanos; e, em alguns casos, por ataques cibernéticos, como DDoS.

Os incidentes levaram ao pagamento de indemnizações aos clientes que não conseguiram receber pagamentos, aceder a serviços bancários móveis e online ou concluir compras online com cartão de débito. O Barclays UK registou o maior valor de indemnizações pagas (cerca de 5,9 milhões a 8,85 milhões de euros), seguido pelo Bank of Ireland (cerca de 413 000 euros) e pelo NatWest Group (cerca de 410 000 euros), refere o relatório.

O risco do ‘outourcing’ de TI

As falhas operacionais não resultam apenas de ataques cibernéticos. Os bancos relatam um aumento nos incidentes operacionais relacionados com fornecedores terceirizados. O ‘outcourcing’ de TI é uma prática comum para os bancos europeus. Segundo a DBRS, o número de contratos com terceiros aumentou significativamente nos últimos anos, particularmente com fornecedores de serviços na ‘cloud’. De acordo com os dados do BCE, mais de 30% dos contratos de terceirização de bancos estão concentrados em 10 fornecedores, a maioria dos quais sediados fora da UE, como os EUA, Reino Unido, Índia e Suíça.

“A alta concentração em fornecedores terceirizados pode exacerbar o impacto dos ataques cibernéticos. Além disso, o processamento de dados fora da UE também pode criar riscos de conformidade e questões de privacidade de dados”, refere a DBRS.

Neste contexto, os bancos aumentaram os seus investimentos em soluções técnicas para prevenir e gerir os riscos cibernéticos, incluindo plataformas de inteligência, SIEM (Security Information and Event Management), sistemas SOAR (Security Orchestration, Automation and Response), firewalls, bem como testes de simulação e planos de recuperação de desastres. A subscrição de apólices de seguro cibernético também faz parte da estratégia de gestão do risco, refere o relatório.

Supervisores querem resiliência digital

A resiliência cibernética tornou-se uma prioridade central para os reguladores europeus, dada a crescente ameaça de ciberataques e falhas informáticas no setor bancário. Em 2024, o Banco Central Europeu (BCE) realizou o seu primeiro teste de esforço de resiliência cibernética a 109 bancos europeus, com o objetivo de avaliar a sua capacidade de resposta e recuperação perante incidentes de cibersegurança graves. Embora não tenha sido um teste com resultados de aprovação ou reprovação, os reguladores concluíram que há espaço para melhorias significativas nas estruturas operacionais dos bancos.

Entretanto, o BCE já informou que vai realizar um novo teste de resistência aos bancos em 2026 para verificar se as entidades financeiras estão preparadas para responder a ataques informáticos.

Recorde-se que com vista a reforçar a resiliência digital, a União Europeia introduziu, a partir de janeiro de 2025, o regulamento DORA (Digital Operational Resilience Act). Esta nova legislação estabelece regras mais rigorosas para a gestão de riscos tecnológicos, reporte de incidentes, testes de esforço e controlo de riscos provenientes de terceiros.