Bancos europeus reportam 3.383 incidentes de TIC ao abrigo do DORA em 2025

As instituições financeiras europeias comunicaram 3.383 incidentes relevantes relacionados com as TIC em 2025 ao abrigo do Digital Operational Resilience Act (DORA), segundo um relatório conjunto da Autoridade Bancária Europeia (European Banking Authority), da Autoridade Europeia dos Mercados de Valores Mobiliários (European Securities and Markets Authority) e da Autoridade Europeia dos Seguros e Pensões Profissionais (European Insurance and Occupational Pensions Authority). As conclusões representam um dos primeiros conjuntos de dados em grande escala a mostrar como as falhas operacionais, as avarias de sistemas e os incidentes cibernéticos se propagam no sector financeiro europeu sob o novo quadro de reporte do DORA. As autoridades afirmaram que os dados revelam um sistema financeiro cada vez mais dependente de infraestruturas partilhadas, de fornecedores externos de tecnologia e de serviços digitais interligados, com o DORA a entrar em vigor em janeiro de 2025 para introduzir obrigações harmonizadas de reporte de riscos das TIC em todo o sistema financeiro europeu.

As instituições de crédito representaram mais de 60% dos incidentes de TIC comunicados

As instituições de crédito representaram mais de 60% de todos os incidentes comunicados, enquanto as empresas de pagamentos corresponderam a mais 16%. As autoridades disseram que esta concentração não indica necessariamente fragilidade estrutural na banca ou nos pagamentos, mas antes reflecte a natureza altamente digital e orientada para o cliente desses sectores, juntamente com as obrigações de reporte já existentes ao abrigo da PSD2.

Um terço dos incidentes propagou-se para além do país de origem

Os dados mostraram que a perturbação operacional se tornou cada vez mais transfronteiriça. Cerca de um terço dos incidentes propagou-se para além do país onde teve origem, enquanto aproximadamente 8% afectaram mais de 10 países em simultâneo. As autoridades ligaram esta tendência ao aumento da dependência de fornecedores de tecnologia partilhados, infraestruturas comuns e modelos de negócio multinacionais. O relatório surge à medida que os reguladores europeus intensificam a supervisão da resiliência operacional na sequência de várias falhas de grande visibilidade nos pagamentos, na infraestrutura de negociação e nos sistemas bancários nos últimos dois anos.

As falhas de sistemas representaram 51% de todos os casos comunicados

As falhas de sistemas foram a categoria mais importante de incidentes, respondendo por 51% de todos os casos comunicados. Os eventos externos representaram mais 27%, enquanto os incidentes relacionados com pagamentos atingiram 18%. Os incidentes relacionados com cibersegurança corresponderam a 10% do total. As autoridades afirmaram que a quota relativamente baixa de incidentes de cibersegurança pode indicar que as salvaguardas e os sistemas de detecção existentes estão a limitar ataques bem-sucedidos. Ao mesmo tempo, o relatório alertou que ferramentas cibernéticas cada vez mais sofisticadas baseadas em IA poderão alterar o panorama de ameaças nos próximos anos.

Entre os incidentes cibernéticos, os ataques de Distributed Denial of Service representaram 33% dos eventos comunicados, enquanto a exfiltração e manipulação de dados totalizaram 31%. As instituições de crédito registaram a maior concentração desses ataques devido ao seu papel nos pagamentos, na banca digital e no processamento de grandes volumes de dados dos clientes.

As falhas de fornecedores terceiros tiveram origem em 29% dos principais incidentes

Quase 29% dos principais incidentes tiveram origem em falhas envolvendo fornecedores terceiros, incluindo fornecedores de TIC, operadores de infraestruturas e fornecedores de serviços subcontratados. As autoridades disseram que as conclusões sublinham como as falhas operacionais num único fornecedor podem propagar-se rapidamente a várias instituições financeiras e jurisdições. O relatório referiu que muitas instituições financeiras dependem de infraestruturas comuns para pagamentos, banca de base e serviços de conectividade. Em alguns casos, uma única interrupção gerou dezenas de relatórios de incidentes separados, porque várias instituições dependiam do mesmo fornecedor.

A falha do TARGET2 e o apagão ibérico perturbarem as operações em 2025

As interrupções operacionais durante 2025 incluíram vários eventos de grande escala que contribuíram para picos nos volumes de reporte. O relatório referiu especificamente a falha do TARGET2 em fevereiro de 2025, que perturbou a liquidação de valores mobiliários e o processamento de pagamentos durante várias horas, e o apagão da Península Ibérica em abril de 2025, que afectou operações em vários sectores.

Dois terços dos incidentes provocaram perturbações limitadas aos clientes

Apesar do número de incidentes, as autoridades indicaram que a maior parte das perturbações causou danos limitados a jusante. Cerca de dois terços dos incidentes ou não causaram perturbação aos clientes e às transacções, ou afectaram menos de 1.000 clientes ou transacções. Apenas 1% dos incidentes afectou mais de um milhão de transacções. O relatório afirmou que a detecção e contenção rápidas tiveram um papel central na limitação dos efeitos de transbordo. As instituições estabilizaram, em geral, os incidentes através de intervenções técnicas imediatas antes de implementarem medidas de remediação a longo prazo, como melhorias de monitorização, aperfeiçoamentos de testes e alterações de configuração dos sistemas.

As contrapartes financeiras também pareceram relativamente protegidas face à maioria dos incidentes. Menos de 18% dos incidentes afectou outras instituições financeiras, apesar do aumento da interligação do sistema financeiro europeu. As autoridades atribuíram isto, em parte, às salvaguardas já implementadas entre instituições e operadores de infraestruturas.

Os reguladores identificaram inconsistências de reporte durante o primeiro ano do DORA

O relatório destacou inconsistências nas práticas de reporte entre sectores e jurisdições durante o primeiro ano de implementação do DORA. Cerca de 15% dos incidentes notificados durante 2025 foram excluídos da análise porque os relatórios finais ainda não tinham sido submetidos até ao prazo de fevereiro de 2026. Entretanto, aproximadamente 93% das submissões passaram verificações de qualidade e entraram na base de dados final. As ESAs afirmaram que a coordenação de supervisão adicional e a padronização do reporte continuarão a ser prioridades à medida que a implementação do DORA amadureça. Os reguladores planeiam continuar a refinar a análise de incidentes e a melhorar a comparabilidade dos dados em todo o sistema financeiro europeu.

As conclusões surgem num momento em que a resiliência operacional se tornou um dos temas regulatórios determinantes nos mercados financeiros globais. Nos últimos dois anos, os reguladores na Europa, no Reino Unido e nos EUA têm vindo a mudar cada vez mais o foco para o risco de concentração de infraestruturas, a dependência da cloud, a resiliência cibernética e a governação da tecnologia. As grandes instituições financeiras operam agora num ambiente em que as interrupções podem propagar-se rapidamente através de fronteiras, contrapartes e sistemas de pagamento em minutos. O conjunto de dados do DORA sugere que os reguladores europeus passaram a ver, cada vez mais, a resiliência operacional não como um problema estreito de cibersegurança, mas como um desafio mais amplo de estabilidade sistémica ligado ao desenho da infraestrutura, à concentração na subcontratação e à interdependência digital.

O relatório ilustra ainda como o risco operacional está a evoluir em paralelo com a modernização dos serviços financeiros. A banca móvel, os pagamentos instantâneos, o trading algorítmico, os activos digitais e a finança incorporada continuam a aumentar o volume de transacções e a complexidade da infraestrutura em todo o sector. Este crescimento eleva a probabilidade de ocorrerem disrupções operacionais mesmo quando as instituições mantêm padrões sólidos de cibersegurança. Para as empresas financeiras, as conclusões podem aumentar a pressão para reforçar a supervisão de terceiros, diversificar os prestadores críticos e melhorar as capacidades de contenção de incidentes. Para os reguladores, o relatório fornece uma referência inicial para medir como o sector financeiro europeu se adapta ao quadro de resiliência operacional do DORA nos próximos anos.

FAQ

O que comunicaram as instituições financeiras europeias ao abrigo do DORA em 2025? As instituições financeiras europeias comunicaram 3.383 incidentes relevantes relacionados com as TIC em 2025 ao abrigo do Digital Operational Resilience Act (DORA), segundo um relatório conjunto da Autoridade Bancária Europeia, da Autoridade Europeia dos Mercados de Valores Mobiliários e da Autoridade Europeia dos Seguros e Pensões Profissionais.

Que percentagem dos incidentes de TIC teve origem em falhas de fornecedores terceiros? Quase 29% dos principais incidentes tiveram origem em falhas envolvendo fornecedores terceiros, incluindo fornecedores de TIC, operadores de infraestruturas e fornecedores de serviços subcontratados, de acordo com o relatório das autoridades.

Que principais interrupções operacionais ocorreram na Europa em 2025? O relatório referiu especificamente a falha do TARGET2 em fevereiro de 2025, que perturbou a liquidação de valores mobiliários e o processamento de pagamentos durante várias horas, e o apagão da Península Ibérica em abril de 2025, que afectou operações em vários sectores.