Teste “secreto” do BCE obrigou bancos a investir mais em cibersegurança

O Banco de Pagamentos Internacionais (BIS), considerado o banco central de todos os bancos centrais, publicou nesta terça-feira um estudo sobre a necessidade de as instituições financeiras reforçarem o investimento em cibersegurança e sobre a forma como uma supervisão exigente pode ajudar os bancos a atingir esse objetivo. O BIS tomou por base um “teste secreto” realizado pelo Banco Central Europeu (BCE) em 2024.

Esse exercício — um teste de stress de ciber-resiliência realizado em 2024 — foi concebido para avaliar a capacidade dos bancos de responderem e recuperarem de um ciberataque. De acordo com o BIS, o teste de ciber-resiliência foi particularmente útil para esta análise porque não teve consequências diretas ao nível do capital e porque não houve divulgação pública dos resultados ao nível de cada banco.

“Utilizando dados confidenciais de supervisão de 109 grandes bancos da zona euro, entre 2019 e 2024, acompanhámos os gastos com cibersegurança, a gestão de riscos operacionais, a contratação de pessoal especializado e a substituição de sistemas de Tecnologias de Informação (TI) obsoletos. Em primeiro lugar, identificámos os bancos ‘retardatários’, definidos como instituições que investiram menos do que o esperado face ao seu perfil de risco cibernético e às suas características financeiras antes do anúncio do teste de stress do BCE. Em seguida, utilizámos métodos de diferenças-em-diferenças e estudos de eventos para analisar como o investimento mudou após o anúncio”, refere o BIS.

• Banco de Portugal vai realizar testes de cibersegurança avançada

Foram quatro as principais conclusões retiradas pelo BIS. A primeira foi que o anúncio do teste de stress por parte do BCE aumentou o investimento em cibersegurança em todo o setor bancário em cerca de 45%.

Em segundo lugar, “a resposta concentrou-se nos bancos com pior desempenho. Essas instituições aumentaram o investimento em cibersegurança em cerca de 80% em relação aos demais bancos. Os bancos com pior desempenho também reduziram a dependência da subcontratação, estabilizaram as suas equipas especializadas em cibersegurança e ajustaram a cobertura de seguro cibernético”.

Em terceiro lugar, o BIS refere que “a resposta mais robusta dos bancos com pior desempenho foi impulsionada pela supervisão regulatória, e não por incidentes ou perdas cibernéticas”.

Por último, “a resposta em termos de investimento foi mais forte entre os bancos com pior desempenho sujeitos a uma supervisão regulatória mais rigorosa, incluindo revisões mais aprofundadas e conclusões mais detalhadas. Em contrapartida, os bancos com pior desempenho que receberam menos atenção da supervisão apresentaram poucas alterações. Isto sugere que a supervisão regulatória pode fortalecer a resiliência cibernética mesmo sem penalizações financeiras diretas”.

“A resposta é mais forte entre os bancos retardatários sujeitos a uma supervisão de elevada intensidade, o que é consistente com o efeito disciplinador da supervisão”, refere o BIS, acrescentando que, “no geral, os resultados sugerem que a supervisão direcionada pode ajudar a mitigar os incentivos ao subinvestimento e fortalecer a gestão do risco operacional dos bancos”.