Jornal PT50

5 fev 2025 15:27

Economia

Destaques de Jornal PT50

Jornal PT50 · Economia · 5 fev 2025 18:30

Agenda da semana
Jornal PT50 · Economia · 5 fev 2025 17:51

Centeno vê venda do Novo Banco a concorrente nacional como possível fator de desestabilização do setor
Jornal PT50 · Economia · 5 fev 2025 16:32

CaixaBank e BPI financiam projetos fotovoltaicos em Portugal no valor de em 38,6 milhões de euros

Ver mais notícias

Sanções a aplicar por incumprimento do Regulamento DORA ainda não são conhecidas

Desde meados de janeiro que os bancos têm de cumprir o Regulamento de Resiliência Operacional Digital. Porém, ainda não foram publicadas as normas técnicas que determinam as medidas a adotar e as sanções em caso de incumprimento.

O Regulamento de Resiliência Operacional Digital (DORA), adotado pela União Europeia, começou a ser aplicado desde o passado dia 17 de janeiro, para dotar as instituições financeiras de maior resiliência perante diferentes riscos operacionais.

O DORA vem alterar o paradigma da governação bancária e tem três grandes “missões”: identificar funções críticas e criar planos de resposta; incrementar a partilha de informação entre instituições financeiras; e impor requisitos rigorosos a prestadores de serviços críticos, nomeadamente de tecnologias de informação e comunicação.

Como qualquer regulamento, também tem sanções para serem aplicadas em caso de incumprimento pelos visados. Que tipo de sanções? Quais os valores das multas? Quem fiscaliza? Questionámos João Nóbrega, managing partner da EY Law, que esclarece estas e outras dúvidas.

A que tipo de sanções os bancos estão expostos se não cumprirem com oregulamento DORA? A partir de quando podem ser multados?

Os bancos, como parte do vasto conjunto de entidades abrangidas pelo Regulamento DORA, estão sujeitos aos poderes de supervisão, investigação e sanção atribuídos às autoridades competentes de cada Estado-membro, sendo que, em Portugal, essa autoridade é o Banco de Portugal.

De acordo com o Regulamento, o Banco de Portugal, na sua qualidade de autoridade competente, possui os poderes necessários para assegurar o cumprimento das obrigações estabelecidas, incluindo a imposição de sanções administrativas, medidas corretivas, pecuniárias e até penais.

As sanções e medidas corretivas a estabelecer por cada Estado-membro devem prever, pelo menos, (i) a emissão de injunções que exijam a cessação de condutas violadoras do Regulamento, (ii) a exigência da cessação temporária ou permanente de quaisquer condutas consideradas contrárias ao previsto no Regulamento, (iii) a adoção de medidas de natureza pecuniária, i.e., multas ou coimas, que visem assegurar o cumprimento dos requisitos legais previstos no Regulamento, (iv) a exigência dos registos tráfego de dados existentes, detidos por operadores de telecomunicações, se houver motivos razoáveis de suspeita de violação do Regulamento, e por fim, (v) a emissão de comunicados públicos que indiquem a identidade e a natureza da violação, sendo estes altamente desprestigiantes.

João Nóbrega, managing partner da EY Law

Atendendo a que a fixação de sanções administrativas, nos termos da Diretiva e do Regulamento DORA, compete a cada um dos Estados-membros, até à entrada em vigor da Lei que transpõe para o Ordenamento Jurídico Português da Diretiva e Regulamento DORA, não nos é possível concretizar quais os montantes das sanções pecuniárias que serão aplicados aos bancos. Sem prejuízo, o Regulamento fixa o montante máximo das sanções pecuniárias compulsória a aplicar aos prestadores de serviços TIC críticos dos bancos (que são designados de acordo com o critério previsto no artigo 31.º, n.º 2 do Regulamento DORA), que não podem exceder o montante de 1% do volume de negócios mundial médio diário do terceiro prestador de serviços de TIC crítico no exercício anterior.

Nos termos do Regulamento, as normas nele previstas são aplicáveis a partir de 17 de janeiro de 2025, sendo que os Estados-membros deveriam ter notificado à comissão e às Autoridades Europeias de Supervisão (AES), até à referida data, as disposições legislativas, regulamentares e administrativas aplicáveis em termos de supervisão e sancionatórios.

Quais os valores em causa e em que situações se poderão aplicar?

Atualmente, dado que ainda não foram publicadas as normas técnicas de regulamentação aplicáveis no âmbito sancionatório aos bancos, é materialmente impossível determinar com precisão em que situações poderão ser aplicadas sanções pecuniárias e quais os seus valores. Sem prejuízo, sabemos que a existência de sanções, independentemente da sua natureza, será utilizada como mecanismo de punição por incumprimento do previsto no Regulamento DORA, o qual prevê que as mesmas devem ser “eficazes, proporcionadas e dissuasivas”.

A aplicação de sanções pecuniárias será utilizada para punir situações de incumprimento do Regulamento, tais como a falha na implementação de programas de teste de resiliência operacional digital, ou incapacidade de adoção de um quadro de governação interno capaz de garantir uma gestão eficaz e prudente do risco associado às TIC, entre outros.

Como é feita a fiscalização e a aplicação de coimas?

Nos termos do Regulamento, a fiscalização e aplicação de coimas devem ser asseguradas pela autoridade competente em cada Estado Membro, sendo que, em Portugal, essa entidade é o Banco de Portugal.

Na ausência de legislação nacional que defina as contraordenações e sanções aplicáveis, bem como o respetivo procedimento, é importante esclarecer que o Regulamento prevê que as autoridades competentes de cada Estado-membro exerçam os poderes de supervisão e aplicação de sanções de forma direta, em colaboração com outras autoridades, por delegação noutras entidades ou mediante pedido dirigido às autoridades judiciais competentes.

Além disso, ao determinar o nível de sanção ou medida corretiva a aplicar, as autoridades competentes devem considerar o caráter doloso ou negligente da violação, bem como a dimensão, gravidade e duração da infração, o grau de responsabilidade da entidade responsável, a sua capacidade financeira, os prejuízos causados pela violação, os lucros ou prejuízos gerados pela infração, entre outros fatores.

As sanções são iguais em todo o espaço europeu ou diferem? Alguma especificidade em Portugal?

As sanções não serão uniformes em todo o espaço europeu, uma vez que cada Estado-membro da União Europeia deve estabelecer as regras que definem as sanções administrativas e medidas corretivas adequadas em caso de violação do Regulamento DORA.

Não obstante, o próprio Regulamento estabelece as sanções administrativas e medidas corretivas mínimas que cada Estado-membro deve adotar (podendo ser implementadas medidas e sanções adicionais).
Em Portugal, até à publicação da Lei que transpõe a Diretiva e o Regulamento DORA, que estabelece as sanções e medidas corretivas aplicáveis, não será possível identificar especificidades neste âmbito.

Como as instituições financeiras se podem preparar para eventuais auditorias relacionadas com o DORA?

Uma vez que as normas de cariz técnico aplicáveis no presente caso ainda não foram publicadas, torna-se praticamente impossível conceber a melhor estratégia de preparação para eventuais auditorias e fiscalizações.

Não obstante, pelo disposto no Regulamento conseguimos determinar qual é o objetivo do legislador europeu e quais são as principais obrigações a adotar em conformidade com o Regulamento.

Deste modo, consideramos que, para já, a melhor estratégia a adotar pelas instituições financeiras deverá passar por: (i) implementar um quadro de governação e controlo interno capaz de mitigar e responder aos riscos emergentes no domínio das TIC, (ii) desenvolver mecanismos de gestão de risco no domínio das TIC, os quais deverão ser revisto periodicamente, (iii) criar processos de monitorização de incidentes relacionados com as TIC, e (iv) implementar um programa de testes de resiliência operacional digital proporcional e baseado em risco, entre outros.

As instituições em Portugal já estarão todas em conformidade?

Considerando que o Regulamento apenas passou a ser aplicável no dia 17 de Janeiro de 2025, as entidades abrangidas pelo âmbito de aplicação do Regulamento (nomeadamente: instituições de crédito, instituições de pagamento, instituições de moeda eletrónica, empresas de investimento, sociedades gestoras, empresas e mediadoras de seguros, prestadores de serviços de crowdfunding, prestadores de serviços de criptoativos autorizados e empresas prestadoras de serviços de TIC) estarão em processo de adaptação ao respetivo Regulamento.

Cumpre, ainda, sublinhar que várias autoridades competentes ainda não publicaram as normas técnicas de regulamentação aplicáveis no seu respetivo setor.

Pelo exposto, é ainda prematuro aferir se as medidas adotadas pelas várias instituições em Portugal, nomeadamente pelos bancos, se encontram conformes às exigências do Regulamento e das normas regulamentares, a serem aplicadas em cada Estado-membro, porquanto o respetivo quadro normativo ainda se encontra por publicar.

Ainda assim, há casos de não conformidade já identificados?

Reiteramos que à data o Banco de Portugal ainda não publicou qualquer norma regulamentar com as disposições técnicas e regulamentares, o que dificulta a confirmação dos principais casos de não conformidade com o DORA.