O sistema financeiro europeu atravessa uma transformação estrutural sem precedentes. A digitalização integral dos serviços bancários, a automatização de processos e a adoção acelerada de tecnologias emergentes — como inteligência artificial (IA), cloud computing e open banking — estão a redefinir a forma como servimos os clientes e gerimos riscos.

Este avanço tecnológico, no entanto, trouxe consigo um novo perfil de ameaça: os riscos cibernéticos. Deixaram de ser um problema técnico ou setorial e tornaram-se riscos estratégicos com impacto direto na estabilidade operacional, reputacional e até sistémica das instituições financeiras. Um ciberataque bem-sucedido pode interromper serviços críticos, comprometer dados sensíveis e abalar a confiança de milhões de clientes — sendo esta confiança, no fim, o ativo mais valioso da banca.

A evolução do ciberespaço como domínio de risco exige uma resposta igualmente transformadora por parte da liderança financeira. O que antes era gerido por equipas de IT, hoje exige o envolvimento direto de Boards, CEOs e gestores seniores. A cibersegurança deve ser tratada como matéria de governação e incluída nos modelos de gestão de risco e nas agendas estratégicas.

A regulação europeia está alinhada com esta exigência. O Digital Operational Resilience Act (DORA) obriga as instituições financeiras a provar a sua capacidade de resistir, responder e recuperar de incidentes tecnológicos. No entanto, estar em conformidade com o regulamento é apenas o ponto de partida. A verdadeira resiliência nasce de uma cultura organizacional que compreende, integra e vive a cibersegurança como fator crítico de continuidade e reputação.

Neste contexto, a alta direção tem hoje de dar o exemplo. É essencial que os colaboradores saibam que não encontrarão na hierarquia proteção, tolerância ou maus exemplos em que se escudarem. Liderar, neste domínio, é também educar pelo exemplo.

O cibercrime evoluiu. De ações isoladas e oportunistas, passámos para operações estruturadas, com modelos como Ransomware-as-a-Service (RaaS) e ecossistemas criminosos que incluem afiliados, suporte técnico e campanhas de phishing massivo.

Esses grupos profissionais exploram tanto vulnerabilidades técnicas como falhas humanas. Um simples clique num link malicioso pode custar milhões, e quando o alvo é o setor financeiro, o impacto pode alastrar-se por todo o ecossistema. A superfície de ataque cresce com cada inovação tecnológica — e o custo de uma falha é, quase sempre, superior ao investimento necessário para a evitar.

Mais de 80% dos incidentes cibernéticos têm origem humana — muitas vezes por erro, descuido ou manipulação. Isto torna claro que segurança digital não é apenas um desafio tecnológico, mas uma questão de cultura organizacional.

Campanhas pontuais de “compliance” já não bastam. É necessário um investimento contínuo em formação, capacitação e sensibilização. O conceito de “awareness” deve evoluir para uma “cultura de ciberresiliência”, alinhada com os valores institucionais e com os comportamentos esperados de cada colaborador.

E mais uma vez, essa transformação cultural começa no topo. Quando o Conselho de Administração fala de cibersegurança com a mesma seriedade que dedica ao risco de crédito ou à estabilidade financeira, o resto da organização segue. A coerência entre discurso e prática é o catalisador da mudança.

As tecnologias emergentes são simultaneamente aliadas e vetores de risco. Ferramentas baseadas em IA e machine learning permitem detetar padrões anómalos, prever ataques e reforçar a autenticação — mas também são usadas por agentes maliciosos para criar deepfakes, clonar vozes e explorar automatismos.

Dispositivos conectados (IoT), APIs abertas e ambientes multi-cloud expandem a superfície de ataque a uma velocidade sem precedentes. É imperativo que cada inovação seja acompanhada por uma avaliação de risco e medidas de mitigação adequadas. A inovação deve ser encorajada — mas com responsabilidade e sob uma arquitetura de segurança robusta.

A falta global de profissionais qualificados em cibersegurança é um dos maiores riscos silenciosos da década. Estima-se que mais de três milhões de posições estejam por preencher — e o setor financeiro é um dos mais afetados.

Responder a esta realidade exige visão estratégica. As organizações devem apostar no upskilling e reskilling dos seus quadros, em programas de recrutamento inclusivos e em parcerias com universidades e centros de inovação. Gerir talento em cibersegurança é garantir continuidade operacional. Sem pessoas qualificadas, nenhuma tecnologia será suficiente.

Cibersegurança é mais do que tecnologia e processos — é um exercício de maturidade ética. Reconhecer falhas, aprender com os incidentes e fomentar uma cultura de transparência são atitudes que distinguem organizações resilientes.

A colaboração entre áreas internas e com o exterior — incluindo reguladores, outras instituições e entidades públicas — é fundamental. Nenhuma organização é segura em isolamento. A ciberresiliência é uma responsabilidade partilhada.

O risco cibernético é inevitável. O colapso, nem por isso! As instituições que sobrevivem e prosperam são aquelas que tratam a cibersegurança como um pilar da sua sustentabilidade, e não como um custo técnico. A proteção da confiança, da reputação e do valor passa pela capacidade de resistir a disrupções — mas também pela capacidade de liderar, de influenciar positivamente comportamentos e de antecipar ameaças.

A ciberresiliência é hoje um indicador de maturidade e compromisso estratégico. Exige uma liderança consciente, informada e ativa. Profissionais financeiros — nos seus diversos papéis — têm o dever de ir além da reação e assumir a prevenção como eixo central da sua atuação.

Porque num setor onde a confiança é o bem mais precioso, a cibersegurança é o que a sustenta. E a liderança é o que a torna possível.