Num setor financeiro cada vez mais digitalizado, as ameaças tecnológicas evoluem com rapidez. O Regulamento DORA (Digital Operational Resilience Act) impõe que as entidades financeiras mais relevantes realizem testes avançados de resiliência digital, conhecidos como TLPT (Threat-Led Penetration Testing).
Estes testes simulam ataques reais, conduzidos por especialistas certificados, e permitem avaliar a capacidade da instituição de resistir, detetar e responder a ciberameaças complexas. O objetivo é simples, mas crucial: garantir a estabilidade e confiança nas entidades financeiras.
O QUE SÃO OS TLPT E QUEM ESTÁ OBRIGADO A REALIZÁ-LOS
Os TLPT (Testes de Penetração Baseados em Ameaças) são avaliações avançadas realizadas em sistemas de produção ao vivo, destinadas a testar a resiliência das funções críticas e importantes das entidades financeiras.
De acordo com o DORA, devem realizar TLPT todas as entidades financeiras que não sejam microempresas e que não se enquadrem nas exceções (como pequenas empresas de investimento, instituições de pagamento ou moeda eletrónica isentas, ou pequenos planos de pensões profissionais).
A periodicidade mínima é de três em três anos, podendo a autoridade competente exigir uma frequência maior ou menor, consoante o perfil de risco e as circunstâncias operacionais da entidade.
ÂMBITO E ABRANGÊNCIA DOS TESTES
Cada TLPT deve abranger várias ou todas as funções críticas ou importantes da instituição, incluindo:
- Sistemas, processos e tecnologias TIC subjacentes;
- Funções e serviços TIC externalizados ou subcontratados;
- Serviços fornecidos por terceiros prestadores de TIC considerados críticos.
A entidade financeira deve identificar previamente quais as funções críticas a incluir no teste, decisão esta que é validada pela autoridade competente antes da sua execução.
PARTICIPAÇÃO DE TERCEIROS PRESTADORES DE TIC
Quando fornecedores externos estão envolvidos, a entidade financeira deve garantir:
- Participação efetiva e segura dos terceiros nos testes;
- Salvaguardas contratuais que evitem riscos para outros clientes do fornecedor;
- Proteção da confidencialidade dos dados durante a execução.
Em alguns casos, pode ser realizado um TLPT agrupado, em que um mesmo prestador de TIC é testado conjuntamente por várias entidades financeiras sob a coordenação de uma entidade designada.
Esses testes agrupados são reconhecidos como TLPT válidos para todas as instituições participantes, desde que cumpram os requisitos regulamentares.
CONTROLO DE RISCOS DURANTE OS TLPT
Durante a realização dos testes, as entidades devem aplicar controlos rigorosos de gestão de risco para evitar danos nos sistemas e dados, interrupções nas operações e impactos negativos noutras entidades do setor.
Os TLPT são realizados em ambiente de produção (“ao vivo”), o que exige uma coordenação minuciosa entre a entidade financeira, os testadores externos e os prestadores de TIC.
CONCLUSÃO DOS TESTES E COMUNICAÇÃO ÀS AUTORIDADES
Após a realização do TLPT, a entidade e os testadores desenvolvem um relatório final com resultados relevantes, um plano de correção das vulnerabilidades detetadas e a documentação que comprova a conformidade com os requisitos.
Esses documentos são enviados à autoridade competente, que emite um comprovativo oficial certificando a conformidade do teste, permitindo o reconhecimento mútuo entre autoridades nacionais no espaço da União Europeia.
Apesar deste comprovativo, a responsabilidade final pelo impacto dos testes permanece integralmente na entidade financeira.
TESTADORES EXTERNOS E CRITÉRIOS DE CONTRATAÇÃO
As entidades devem contratar testadores externos para realizar os TLPT.
Podem utilizar testadores internos, mas apenas se contratarem um testador externo de três em três testes.
As instituições de crédito significativas só podem recorrer a testadores externos.
As Autoridades Europeias de Supervisão (AES), em articulação com o BCE e o enquadramento TIBER-EU, estão a definir normas técnicas que especificam:
- Critérios para a contratação de testadores externos;
- Requisitos para o uso de testadores internos;
- Metodologias, fases, resultados e processos de correção pós-teste;
- Mecanismos de cooperação entre supervisores nacionais para reconhecimento mútuo dos TLPT.
IDENTIFICAÇÃO DAS ENTIDADES SUJEITAS A TLPT
As autoridades competentes determinam quais as entidades obrigadas a realizar TLPT com base em:
- Impacto sistémico e relevância dos serviços prestados;
- Estabilidade financeira, considerando o caráter sistémico da entidade;
- Perfil de risco TIC, maturidade tecnológica e exposição a ameaças digitais.
Os Estados-Membros podem designar uma autoridade única nacional responsável pela coordenação dos TLPT no setor financeiro.
CONCLUSÃO
Os testes avançados de penetração baseados em ameaças (TLPT) são uma ferramenta essencial do DORA para garantir que o setor financeiro está preparado para enfrentar ataques cibernéticos reais.
Mais do que um exercício técnico, os TLPT são uma prova de robustez e maturidade operacional, constituindo um processo que exige colaboração entre entidades financeiras, prestadores de TIC, testadores especializados e reguladores.
Cumprir estes requisitos não só assegura a conformidade regulatória, mas também fortalece a confiança e a estabilidade digital das entidades financeiras.
