Multas até 5 milhões para seguradoras e 2,5 milhões para mediadores que não controlem o risco associado às TIC

Um dia depois da transposição do Regulamento MiCA para a ordem jurídica interna e da Diretiva (UE) 2015/849, relativa à prevenção da utilização do sistema financeiro para efeitos de branqueamento de capitais, no que respeita às informações que acompanham as transferências de fundos e de determinados criptoativos, foi publicada em Diário da República, nesta terça-feira, a Lei 73/2025, que transpõe o Regulamento (UE) 2022/2554 relativo à resiliência operacional digital do setor financeiro.

Este Regulamento obriga bancos, seguradoras e entidades gestoras de fundos de pensões a reforçar os mecanismos de salvaguarda e vigilância na utilização das Tecnologias de Informação e Comunicação (TIC). Segundo a Comissão Europeia, “a utilização das TIC tem adquirido, nas últimas décadas, um papel fulcral na prestação de serviços financeiros, de tal forma que se reveste hoje de importância crítica no funcionamento das habituais funções quotidianas de todas as entidades financeiras”.

“Atualmente, a digitalização abrange, por exemplo, os pagamentos, onde se observa uma transição crescente dos métodos com base em numerário e em papel para soluções digitais, bem como a compensação e liquidação de valores mobiliários, a negociação eletrónica e algorítmica, as operações de concessão de empréstimos e de financiamento, o financiamento entre particulares, a notação de risco, a gestão de sinistros e as operações de processamento administrativo”, refere a mesma entidade.

Embora o setor financeiro da União Europeia seja regulamentado por um conjunto único de regras e governado pelo sistema europeu de supervisão financeira, as disposições que abordam a resiliência operacional digital e a segurança no domínio das TIC ainda não foram plena e coerentemente harmonizadas, apesar de a resiliência operacional digital ser vital para assegurar a estabilidade financeira e a integridade do mercado na era digital, não sendo menos importante do que, por exemplo, as normas prudenciais ou de conduta no mercado.

É para fazer face a esta “zona cinzenta” que foi aprovado o Regulamento (UE) 2022/2554. Para manter o pleno controlo do risco associado às TIC, as entidades financeiras deverão dispor de capacidades abrangentes que possibilitem uma gestão robusta e eficaz desse risco, bem como de mecanismos e políticas específicas para o tratamento de todos os incidentes relacionados com as TIC e para a notificação dos incidentes de carácter severo. Do mesmo modo, as entidades financeiras deverão dispor de políticas para a realização de testes aos sistemas, controlos e processos de TIC, bem como para gerir o risco associado às TIC decorrente de terceiros.

A Lei 73/2025 cria um quadro sancionatório semelhante ao existente nas Leis 69 e 70/2025 relativas aos criptoativos. As coimas podem ir até cinco milhões de euros, se o agente for uma pessoa coletiva ou entidade equiparada, e até 2,5 milhões, se o agente for uma pessoa singular.

A graduação das contraordenações e a aplicação das multas ficam a cargo dos supervisores que, para aquele diploma, são: o Banco de Portugal, a Comissão do Mercado de Valores Mobiliários (CMVM) e a Autoridade de Supervisão de Seguros e Fundos de Pensões (ASF).

Todos os incidentes cibernéticos são de comunicação obrigatória àquelas entidades, que, por sua vez, comunicam e trocam informação com as Autoridades Europeias de Supervisão.

A Lei 73/2025 entra em vigor na próxima segunda-feira, dia 29 de dezembro.