Banca reforça vigilância às Tecnologias de Informação

A Autoridade Bancária Europeia (EBA) publicou esta semana o relatório complementar de 2022 sobre a avaliação dos riscos de TIC (Tecnologias de Informação e Comunicação) no âmbito do processo de supervisão e avaliação (SREP). O relatório demonstra que as autoridades competentes registaram progressos significativos no reforço da avaliação dos riscos de TIC, impulsionados sobretudo pela implementação do Digital Operational Resilience Act (DORA).

Ainda assim, a EBA sublinha que é necessário continuar a investir e a trabalhar para assegurar uma supervisão dos riscos de TIC consistente e eficaz em toda a União Europeia (UE).

O exercício de acompanhamento analisou as recomendações emitidas às autoridades competentes em 2022, incluindo um seguimento específico de questões relevantes de benchmarking. O progresso foi avaliado à luz da aplicação do DORA desde janeiro de 2025. Para esta análise, a EBA baseou-se principalmente em trabalhos relacionados com a convergência da supervisão.

Os resultados confirmam que as autoridades competentes estão a reforçar a sua capacidade e conhecimento em matéria de supervisão de TIC, recorrendo cada vez mais a análises horizontais e aplicando de forma sistemática instrumentos de supervisão.

No que respeita aos indicadores de desempenho, verificou-se uma melhoria na utilização das subcategorias de risco de TIC, atualmente amplamente implementadas pela maioria das autoridades.

De forma mais abrangente, o relatório incentiva as autoridades competentes a integrarem plenamente as metodologias de risco de TIC e as respetivas subcategorias nos processos de supervisão, prosseguindo simultaneamente os esforços para reforçar a convergência da supervisão e a resiliência operacional em toda a UE.

De um modo geral, as autoridades de supervisão estão a reforçar a sua capacidade e especialização, nomeadamente através da criação de equipas dedicadas às TIC, de programas de formação específicos e da participação em iniciativas à escala europeia. Estes esforços aumentaram o nível de preparação para a implementação do DORA e melhoraram a convergência das práticas de supervisão. Ainda assim, o reforço de capacidades continua a ser uma prioridade permanente, sobretudo tendo em conta os desafios tecnológicos e regulamentares em constante evolução.

A EBA refere ainda que se observaram “progressos na utilização de análises horizontais e de benchmarking, que estão cada vez mais integradas nas abordagens de supervisão. Inquéritos setoriais, análises temáticas e exercícios de reporte de incidentes permitiram às autoridades identificar vulnerabilidades sistémicas e promover condições de concorrência equitativas”.

“Embora estas práticas ainda não estejam plenamente consolidadas, a sua expansão ao abrigo do DORA e das Orientações SREP revistas deverá reforçar ainda mais a eficácia da supervisão”, acrescenta o relatório.

A utilização de instrumentos de supervisão — como questionários de autoavaliação, plataformas automatizadas de recolha de dados e sistemas de reporte de incidentes — tornou-se mais sistemática e tecnologicamente avançada. Estes instrumentos apoiam a proporcionalidade, a eficiência e a coerência na supervisão do risco de TIC, em consonância com os objetivos do DORA e do futuro enquadramento SREP.

Apesar destes progressos, a EBA considera que subsistem “algumas áreas que carecem de melhoria, em particular no que respeita à plena integração das metodologias de risco de TIC e das subcategorias de risco de TIC nos manuais e processos de supervisão”. Prevê-se que estas questões sejam resolvidas à medida que as autoridades concluam o alinhamento com o DORA e com as Orientações SREP revistas.

Tendo em conta a natureza dinâmica dos riscos de TIC e a evolução do enquadramento regulamentar, serão essenciais esforços contínuos para manter a convergência da supervisão e a resiliência operacional.

“O investimento sustentado em especialização, análises horizontais e instrumentos de supervisão será determinante para assegurar uma supervisão eficaz do risco de TIC ao abrigo do DORA e das Orientações SREP revistas. Neste contexto, as conclusões do relatório de acompanhamento não justificam a formulação de novas recomendações sobre o tema. Poderá, no entanto, ser pertinente realizar uma futura revisão por pares para avaliar o grau de maturidade destes desenvolvimentos ou a sua implementação numa área específica de TIC”, conclui o documento.