A saúde financeira é fundamental para o bem-estar de uma região, mas o setor segurador, cada vez mais digitalizado, também se torna mais vulnerável aos riscos tecnológicos. Com o objetivo de auxiliar as empresas a se protegerem, a Europa definiu uma normativa específica para ambientes de TIC.
O DORA (Digital Operational Resilience Act) é, mais do que uma regulamentação, é a harmonização das regulamentações existentes em matéria de resiliência operacional para o setor financeiro, especificamente contra riscos relacionados às tecnologias da informação e comunicação (TIC). Ele entrou em vigor em 2023 e sua aplicação começou em janeiro de 2025, sendo de cumprimento obrigatório tanto para as entidades financeiras europeias quanto para seus prestadores de serviços TIC.
O marco traçado no Boletim Oficial do Estado que publicou a regulamentação em 2022 na Espanha assinalava que o uso dessas tecnologias “transformou o setor segurador, desde o surgimento de intermediários que oferecem seus serviços online e desenvolvem suas atividades com tecnologia aplicada ao setor (insurtech) até a assinatura de seguros por meios digitais”, criando um contexto que “aprofundou as interconexões e dependências tanto dentro do setor financeiro quanto em relação aos prestadores terceirizados de infraestruturas e serviços”.
Os riscos associados às TICs
Nesta era digital, a tecnologia é o meio pelo qual são realizadas inúmeras tarefas cotidianas que mantêm a economia em movimento. Sua eficiência e agilidade se apoiam em complexos sistemas, integrados nas entidades e externalizados em empresas especializadas. Nesse cenário, há certos riscos que, quando não gerenciados adequadamente, podem originar interrupções nos serviços financeiros, impactando não apenas em suas atividades, mas na economia global.
O Comitê Europeu de Risco Sistêmico (JERS) destacou em um de seus recentes relatórios o alto nível de risco derivado da interconexão das mais de 22.000 entidades financeiras localizadas na região. No ambiente europeu, nos últimos anos, aumentaram as ameaças cibernéticas que se manifestam em sabotagens a cabos submarinos, essenciais na arquitetura TELCO, no roubo e manipulação de dados em massa a grandes entidades e em uma crescente sofisticação nos ciberataques. Nem aquelas empresas com um plano de cibersegurança já estabelecido são imunes a esses perigos. Nesse contexto, o JERS defende práticas de gestão coordenadas em escala nacional e comunitária, que abordem todas as fases de uma crise: preparação, resposta e recuperação. O DORA seria o marco de contingência comum que, protegendo cada entidade, preservaria a segurança do setor. De acordo com o Jornal Oficial da União Europeia, “atingir um alto nível de resiliência operacional digital nas entidades financeiras regulamentadas requer a harmonização de algumas normas diferentes do Direito da União e nacional”.
A que está obrigado o setor financeiro?
Com a implementação do DORA, as entidades financeiras devem cumprir um conjunto de requerimentos focados em vários aspectos-chave. O cumprimento dessas linhas de proteção, detecção, contenção, recuperação e reparação, possibilita organizar uma estratégia de cibersegurança robusta e eficiente. Os quatro pilares da normativa são:
Uma gestão sólida e eficaz do risco TIC: As entidades financeiras devem definir dinâmicas integrais que garantam a detecção e gestão dos riscos cibernéticos, identificando e classificando todos os ativos críticos de suas arquiteturas tecnológicas e fazendo avaliações contínuas sobre as possíveis ameaças. A responsabilidade pela definição desta estratégia será da diretoria da entidade, que poderá responder inclusive pessoalmente pelo seu descumprimento.
Notificação de incidentes: As estruturas de gestão de riscos devem ser complementadas com canais que gerenciem, registrem e classifiquem quaisquer incidentes relacionados às TICs, e as entidades são obrigadas a notificar e explicar os eventos graves ou transcendentes às autoridades competentes, assim como a clientes e parceiros envolvidos. Essa comunicação ocorrerá proporcionando, obrigatoriamente, relatórios iniciais, intermediários e finais. Essa coordenação possibilitará a cooperação entre os afetados e a execução de uma resposta mais rápida e efetiva.
Testes de resiliência operacional e de continuidade do negócio. Além dos sistemas de prevenção e detecção de incidentes, as entidades financeiras devem realizar testes periódicos de seus sistemas tecnológicos, visando avaliar sua fortaleza e detectar possíveis vulnerabilidades. Esses testes serão realizados tanto de forma geral, analisando as fraquezas do sistema integral, quanto específica, expondo a entidade a ameaças conhecidas ou comuns dentro do setor, serão dirigidos por empresas externas e independentes e ocorrerão, pelo menos, uma vez por ano.
Colaboração para a gestão de riscos de terceiros. Um dos pontos-chave do DORA é a coordenação entre organizações, tanto financeiras quanto colaboradoras. Nesse sentido, a normativa europeia exige que as entidades possuam um registro detalhado de todos os prestadores que oferecem serviços de TIC, assim como do nível de dependência que têm deles. Também recomenda a existência de um esforço comum de cibersegurança para a detecção de ataques e o atenuamento de seus impactos.
Qual é o impacto positivo da normativa?
As financeiras espanholas, como bancos, seguradoras e outras instituições do setor, vêm-se preparando há anos para cumprir os requisitos do DORA, o que se traduziu em:
- Maior investimento em tecnologia e cibersegurança. Não apenas destinado à infraestrutura tecnológica, mas também à formação e contratação de pessoas especializadas na área.
- Maior coordenação setorial. Enfrentar desafios comuns possibilitou a comunicação entre entidades e empresas prestadoras de serviços de TIC, e promoveu o diálogo entre as empresas financeiras para detectar os riscos que ameaçam a estabilidade e a operacionalidade do setor.
- Adaptação de processos internos. Embora o setor financeiro já tivesse avançado muito em sua digitalização, e na decorrente gestão de riscos cibernéticos, suas políticas internas e a dinâmica de seus processos internos estão voltadas ao cumprimento dos requerimentos de resiliência operacional digital.
- Melhoria da imagem. Embora adaptar-se a esse novo cenário regulatório tenha representado um desafio para as entidades financeiras, a implementação do DORA fortaleceu a confiança no setor, graças ao seu compromisso com a segurança e a proteção dos dados.
