Crowe | DORA

Rescaldo Dora

O que Revelam os Incidentes TIC Reportados pelo Setor Financeiro Europeu em 2025?

Luís Lobo Silva
29/06/2026
Crowe | DORA
Lições para a Resiliência Operacional e Gestão do Risco Tecnológico

As Autoridades Europeias de Supervisão (EBA, EIOPA e ESMA) divulgaram recentemente o primeiro relatório conjunto sobre incidentes graves relacionados com Tecnologias de Informação e Comunicação (TIC) reportados ao abrigo do Digital Operational Resilience Act (DORA).

O relatório constitui um marco importante para a supervisão financeira europeia, fornecendo pela primeira vez uma visão transversal e harmonizada dos principais incidentes tecnológicos ocorridos em todo o setor financeiro da União Europeia.

Mais do que um exercício estatístico, os resultados oferecem importantes ensinamentos para instituições financeiras, seguradoras, entidades de investimento e prestadores de serviços TIC que procuram reforçar a sua resiliência operacional num contexto de crescente dependência tecnológica.

O que aconteceu em 2025?

Ao longo de 2025 foram reportados 3.383 incidentes TIC classificados como graves ao abrigo do DORA.

Embora este número possa parecer elevado, as autoridades europeias sublinham que não representa necessariamente um aumento do risco operacional. Pelo contrário, reflete a entrada em vigor de um regime harmonizado de reporte que proporciona maior transparência e capacidade de supervisão.

O setor bancário e o setor dos pagamentos concentraram a maioria dos incidentes reportados, consequência natural da sua elevada digitalização, do volume de transações processadas diariamente e da sua forte exposição a infraestruturas tecnológicas críticas.

A principal conclusão: o risco tecnológico é cada vez mais sistémico

Um dos aspetos mais relevantes do relatório é a confirmação de que os riscos TIC deixaram de ser problemas isolados de uma única organização.

Cerca de um terço dos incidentes teve impacto transfronteiriço, afetando simultaneamente várias jurisdições europeias. Este fenómeno resulta da crescente utilização de infraestruturas partilhadas, plataformas cloud, fornecedores comuns e serviços digitais integrados.

Para as organizações financeiras, esta realidade reforça a necessidade de avaliar o risco não apenas numa perspetiva interna, mas também ao longo de toda a cadeia de dependências tecnológicas.

Nem todos os riscos são ciberataques

Contrariamente ao que frequentemente se assume, os ataques cibernéticos não constituíram a principal causa dos incidentes graves reportados.

As falhas de sistemas, indisponibilidades tecnológicas e eventos externos representaram a maioria dos casos analisados. Os incidentes diretamente relacionados com cibersegurança corresponderam apenas a uma fração do total.

Este resultado evidencia uma mensagem importante: a resiliência operacional digital depende tanto da robustez da infraestrutura tecnológica e dos processos internos quanto das medidas tradicionais de cibersegurança.

Questões como gestão da mudança, qualidade do software, monitorização contínua, capacidade de recuperação e redundância tecnológica assumem um papel cada vez mais determinante.

O risco de terceiros continua sob escrutínio

Talvez a conclusão mais relevante para muitas organizações seja o peso dos fornecedores externos.

O relatório conclui que aproximadamente 29% dos incidentes graves tiveram origem em prestadores de serviços terceiros, incluindo fornecedores TIC, operadores de infraestruturas e outras entidades externas.

Este dado valida uma das principais preocupações do DORA: a concentração de risco em fornecedores tecnológicos críticos.

As instituições financeiras deverão continuar a reforçar:

  • Os processos de due diligence de fornecedores;
  • A monitorização contínua dos serviços contratados;
  • Os mecanismos de reporte e escalonamento de incidentes;
  • Os planos de continuidade e estratégias de saída;
  • A avaliação periódica da concentração de risco tecnológico.

A boa notícia: a resiliência parece estar a funcionar

Apesar do elevado número de incidentes reportados, o impacto efetivo sobre clientes, transações e contrapartes financeiras revelou-se relativamente limitado.

Na maioria dos casos, os incidentes foram identificados e contidos antes de provocarem efeitos significativos sobre a atividade operacional.

Este resultado sugere que muitas organizações já dispõem de mecanismos eficazes de deteção, resposta e recuperação, demonstrando um nível de maturidade operacional alinhado com os objetivos do DORA.

O que devem fazer as organizações?

À luz das conclusões do relatório, as entidades financeiras devem encarar o DORA não apenas como uma obrigação regulatória, mas como uma oportunidade para fortalecer a sua capacidade de resistência perante eventos tecnológicos cada vez mais complexos.

As prioridades para os próximos anos deverão incluir:

  • Reforço da governação do risco TIC;
  • Melhoria dos processos de gestão de incidentes;
  • Maior controlo sobre fornecedores críticos;
  • Testes regulares de resiliência operacional;
  • Automatização da monitorização e deteção de eventos;
  • Melhoria da qualidade dos dados de reporte e das métricas de risco.

Conclusão

O primeiro ano de aplicação do DORA demonstra que o setor financeiro europeu enfrenta riscos tecnológicos cada vez mais interligados e transversais. Contudo, os resultados também evidenciam uma capacidade significativa de resposta e recuperação por parte das entidades supervisionadas.

Num ambiente em que a transformação digital continua a acelerar, a resiliência operacional deixou de ser apenas uma questão tecnológica para se tornar um fator estratégico de confiança, estabilidade e sustentabilidade do negócio.

As organizações que conseguirem integrar a gestão do risco TIC no centro da sua estratégia estarão mais bem preparadas para responder às exigências regulatórias, proteger os seus clientes e preservar a continuidade das suas operações.

 

Entre em contacto


Crowe
Luís Lobo Silva
Associate Partner Segurança da InformaçãoAdvisory Firm

Serviço de Segurança da Informação