No contexto do DORA, os Testes de Penetração Baseados em Ameaças (TLPT) são considerados a “prova de fogo” da resiliência operacional digital de uma entidade financeira. Mas, mais importante do que o teste em si, é quem realiza esse teste. Os testadores devem cumprir exigências rigorosas para assegurarem qualidade, independência e segurança do processo. Este artigo explica os requisitos aplicáveis aos testadores para a realização de TLPT.
QUALIFICAÇÃO OBRIGATÓRIA DOS TESTADORES
Para que uma entidade financeira possa efetuar TLPT válidos, deve recorrer a testadores que cumpram os seguintes critérios:
- Adequação e reputação: os testadores devem ser “os mais adequados e os mais idóneos” para o efeito. Eles precisam de uma reputação sólida e credibilidade no mercado.
- Capacidades técnicas e organizativas: devem possuir competências evidentes em: inteligência de ameaças (threat intelligence), ou seja, análise de atores, modus operandi, motivação; testes de penetração (penetration testing); testes do tipo “equipe vermelha” (red team testing). Estas capacidades asseguram que o teste simula cenários realistas e provocativos.
- Certificação ou adesão a códigos de conduta: o testador deve estar certificado por um organismo de acreditação num Estado‑Membro, ou subscrito a códigos de conduta ou quadros éticos formais.
- Garantia independente ou relatório de auditoria: o prestador deve fornecer uma garantia independente ou um relatório de auditoria sobre a boa gestão dos riscos associados à realização dos TLPT, incluindo proteção da informação confidencial da entidade financeira e cobertura dos riscos operacionais dessa entidade.
- Seguro de indemnização profissional adequado: deve haver cobertura de seguro profissional pertinente, incluindo contra conduta irregular e negligência.
CONDIÇÕES ESPECIAIS PARA TESTADORES INTERNOS
Caso a entidade financeira utilize testadores internos (ou seja, uma equipa interna que execute o TLPT), aplicam‑se condições adicionais:
- A sua utilização deve ser aprovada pela autoridade competente pertinente ou pela autoridade pública única designada.
- A autoridade competente deve verificar que a entidade financeira destinou recursos suficientes e garantir que são evitados conflitos de interesse durante as fases de conceção e execução do teste.
- O prestador de inteligência de ameaças (threat intelligence provider) deve ser externo à entidade financeira. Essa separação ajuda a manter a imparcialidade e qualidade da simulação.
CONTRATOS E PROTEÇÃO DE DADOS
As entidades financeiras devem assegurar que os contratos com testadores externos incluam cláusulas que garantam gestão adequada dos resultados do TLPT.
O tratamento, armazenamento, comunicação, destruição de dados devem respeitar os riscos da entidade financeira. Aquele tratamento de dados não crie novos riscos para a entidade (por ex., confidencialidade, integridade, disponibilidade).
Essa salvaguarda contratual reforça a cadeia de responsabilidade e reduz riscos pós‑teste.
CONCLUSÃO
Selecionar o testador correto para um TLPT não é apenas uma formalidade: é uma condição essencial da conformidade com o DORA. Um testador mal qualificado pode comprometer a eficácia do exercício, gerar riscos novos ou tornar o resultado inválido para efeitos regulatórios.
Ao cumprir os requisitos de capacitação técnica, certificação, independência, seguro e contrato rigoroso, as entidades financeiras garantem que o TLPT não só cumpre o regulamento mas contribui efetivamente para elevar a sua resiliência operacional digital.
