
4 min leitura
DORA e a Proposta de Lei 34/XVII/1: Regulação urgente ou sobressalto regulatório?
Por Joana Mota Agostinho, Advogada, Sócia da Cuatrecasas, Coordenadora da Área de Digital Business, Privacidade e Cibersegurança
15 Out 2025 - 13:04
4 min leitura

Joana Mota Agostinho
Mais recentes
- Intermediários de crédito obrigados a apresentar pelo menos cinco propostas aos seus clientes
- Depósitos de poupança e a prazo crescem nos bancos de Cabo Verde
- Reino Unido flexibiliza atribuição de bónus a banqueiros
- Reservas internacionais do Banco de Cabo Verde batem recorde
- Lucro do Bank of America sobe 23% para 7,31 mil milhões no 3.º trimestre
- Lucro trimestral do Morgan Stanley dispara 45% com receitas a subir dois dígitos em todas as áreas

Joana Mota Agostinho
O mundo financeiro vive hoje um processo de digitalização irreversível, mas essa modernização trouxe novos riscos: ciberataques, dependência de fornecedores externos de TIC e vulnerabilidades que podem comprometer a estabilidade do sistema. É neste contexto que surge o Regulamento de Resiliência Operacional Digital, conhecido por DORA, que entrou em vigor a 17 de janeiro de 2025, com o objetivo de reforçar a segurança e a capacidade de resposta das entidades financeiras perante perturbações tecnológicas graves. Para assegurar a sua aplicação em Portugal, o Governo apresentou a Proposta de Lei n.º 34/XVII/1, que define as autoridades supervisoras — Banco de Portugal, CMVM e ASF — e estabelece um quadro sancionatório para as infrações relacionadas com as obrigações impostas pelo regulamento.
A proposta é, em termos formais, necessária. O DORA é um regulamento europeu de aplicação direta, mas requer uma moldura nacional que clarifique quem supervisiona, quem sanciona e como se aplicam as regras. Portugal, ao aprovar este diploma, evita um vazio jurídico que poderia comprometer a coerência e eficácia do regime. Além disso, a lei promove uma desejável cooperação entre as autoridades setoriais, reconhecendo que os riscos digitais atravessam fronteiras institucionais. Também a criação de sanções claras, aplicáveis tanto a pessoas coletivas como singulares, constitui um passo relevante para a responsabilização e a dissuasão do incumprimento.
Contudo, este enquadramento suscita críticas sérias. A primeira prende-se com a sobrecarga regulatória que impende sobre entidades de menor dimensão — pequenas seguradoras, mediadores e instituições financeiras locais — que dificilmente dispõem de recursos técnicos e humanos para cumprir as exigências do DORA. As obrigações de governação interna, reporte de incidentes e realização de testes de resiliência poderão revelar-se desproporcionadas, criando uma desigualdade estrutural entre grandes grupos financeiros e pequenos operadores. A isto soma-se a incerteza jurídica em torno da aplicação das sanções. Embora o regime preveja punições severas, muitos detalhes dependerão ainda de regulamentação posterior pelas autoridades competentes, o que deixa em aberto critérios essenciais como o grau de gravidade, a definição de negligência ou o limiar de reporte obrigatório.
A complexidade da implementação é outro desafio. A conformidade com o DORA implica investimentos elevados em cibersegurança, contratação de peritos, auditorias e revisão de contratos com prestadores de serviços tecnológicos. Sem orientações claras e apoio institucional, o esforço de adaptação poderá ser excessivo, sobretudo num setor já pressionado por margens reduzidas. Além disso, a eficácia do regime dependerá da coordenação entre as três autoridades supervisoras, cuja articulação prática ainda não está devidamente clarificada. A existência de zonas cinzentas entre jurisdições pode gerar duplicações de controlo ou, pior, lacunas de supervisão.
Um dos riscos mais sérios está na dependência de fornecedores externos críticos, muitos deles fora da União Europeia. Fiscalizar a resiliência e o cumprimento destas entidades é uma tarefa complexa, tanto do ponto de vista técnico como jurídico, levantando questões de soberania e de proteção de dados. Se o DORA não for aplicado com pragmatismo e proporcionalidade, corre o risco de se tornar uma “caixa preta” regulatória que penaliza os mais fracos sem reforçar verdadeiramente a resiliência do sistema.
A Proposta de Lei n.º 34/XVII/1 é, portanto, inevitável e até meritória, mas precisa de ser acompanhada por um esforço real de orientação e suporte. Portugal deve garantir que a aplicação do DORA não se transforma numa carga burocrática, mas numa oportunidade para elevar padrões de segurança e confiança digital. Para isso, é indispensável definir manuais setoriais claros, apoiar tecnicamente as entidades de menor dimensão, assegurar previsibilidade nas sanções e dotar os supervisores de meios adequados. Só assim o DORA poderá cumprir a sua promessa: não ser um fardo regulatório, mas um instrumento de credibilidade, competitividade e resiliência no ecossistema financeiro nacional e europeu.
Mais recentes
- Intermediários de crédito obrigados a apresentar pelo menos cinco propostas aos seus clientes
- Depósitos de poupança e a prazo crescem nos bancos de Cabo Verde
- Reino Unido flexibiliza atribuição de bónus a banqueiros
- Reservas internacionais do Banco de Cabo Verde batem recorde
- Lucro do Bank of America sobe 23% para 7,31 mil milhões no 3.º trimestre
- Lucro trimestral do Morgan Stanley dispara 45% com receitas a subir dois dígitos em todas as áreas