DORA, fornecedores críticos de ICT e impacto nos bancos

Inteligência Artificial para Empresas PortuguesasBy 3L3C

DORA e fornecedores críticos de ICT vão redefinir a resiliência digital na banca portuguesa. Veja o que muda, riscos, oportunidades e passos práticos a dar já.

DORAICT terceiros críticosbanca portuguesaresiliência operacionalregulação europeiaoutsourcing tecnológicoinovação financeira
Share:

Featured image for DORA, fornecedores críticos de ICT e impacto nos bancos

DORA, fornecedores críticos de ICT e o que isto muda para a banca portuguesa

Em novembro de 2025, as Autoridades Europeias de Supervisão deram um passo decisivo: publicaram a lista oficial de fornecedores terceiros críticos de ICT ao abrigo do DORA – Digital Operational Resilience Act. Na prática, isto significa que os grandes prestadores de cloud, infraestrutura e serviços digitais que sustentam o sistema financeiro europeu passaram a estar sob um novo tipo de escrutínio direto.

Isto interessa – e muito – à banca portuguesa, às fintechs, às gestoras de ativos e a qualquer entidade que viva da tecnologia para prestar serviços financeiros. O modelo atual é simples: quanto mais digital é o negócio, mais dependente está de terceiros críticos. Quando esses terceiros falham, a operação pára. E quando a operação pára, a confiança do cliente evapora.

O objetivo deste artigo é explicar, de forma prática, o que significa esta designação de fornecedores críticos, como o DORA altera a relação entre bancos e prestadores de ICT e que decisões estratégicas as instituições portuguesas têm de começar a tomar já em 2025/2026.

O que mudou com a designação dos fornecedores críticos de ICT

A publicação da lista de Critical ICT Third-Party Providers (CTPPs) marca o início efetivo do mecanismo de supervisão DORA sobre fornecedores. Até aqui, o foco regulatório estava quase todo nas instituições financeiras; agora, o holofote passa também para quem lhes presta serviços digitais estruturantes.

Em termos simples:

Um CTPP é um fornecedor de ICT cuja falha pode gerar impacto sistémico no setor financeiro europeu.

A designação seguiu três etapas principais:

  1. Recolha de dados junto dos bancos e demais entidades financeiras, através dos registos de informação sobre contratos de serviços ICT.
  2. Avaliação de criticidade, em articulação com as autoridades nacionais, com base em critérios como:
    • importância sistémica do fornecedor,
    • papel em funções críticas ou importantes,
    • nível de substituibilidade dos serviços.
  3. Direito de audição dos fornecedores identificados como críticos, antes da decisão final das Autoridades Europeias.

Com a lista agora publicada, estes CTPPs passam a estar sob um regime específico de supervisão direta das Autoridades Europeias de Supervisão (EBA, EIOPA e ESMA). Isto tem consequências diretas para a gestão de risco operacional e de ICT em todos os bancos portugueses que utilizam estes prestadores.

Porque é que isto é tão relevante para a banca portuguesa

O sistema financeiro português, especialmente desde 2020, intensificou o uso de:

  • serviços de cloud pública e híbrida,
  • soluções de core banking as-a-service,
  • plataformas de pagamentos, KYC/AML e scoring de crédito fornecidas por terceiros,
  • ferramentas de cibersegurança, monitorização e gestão de incidentes.

Na prática, muitas instituições já são altamente dependentes de 3 ou 4 grandes fornecedores globais de ICT. Essa concentração cria um risco óbvio: um incidente grave num único fornecedor pode afetar simultaneamente dezenas de instituições, em vários países, em poucos minutos.

O DORA vem responder diretamente a este problema. Ao colocar os CTPPs sob supervisão, o regulador passa a ter meios para:

  • avaliar se a governação de risco dos fornecedores é adequada à sua importância sistémica;
  • exigir melhorias concretas em resiliência operacional, testes, redundâncias e resposta a incidentes;
  • mitigar riscos de “single point of failure” no sistema financeiro europeu.

Para os bancos portugueses, isto muda o equilíbrio de forças na relação com os fornecedores. Deixa de ser apenas uma negociação contratual privada e passa a existir um enquadramento regulatório europeu explícito que influencia contratos, due diligence e decisões estratégicas.

Como o DORA altera na prática a relação com fornecedores de ICT

A partir da designação dos CTPPs, a supervisão deixa de ser indireta. As Autoridades Europeias vão:

  • conduzir exames e avaliações periódicas à gestão de risco dos fornecedores críticos;
  • analisar se existem planos de continuidade de negócio realistas e testados;
  • verificar se as estruturas de governação, reporting e segurança estão alinhadas com as expectativas regulatórias.

O que isto significa para um banco ou fintech em Portugal

Mesmo que a relação formal de supervisão seja entre ESAs e CTPPs, há impactos concretos para as entidades reguladas:

  1. Reforço da due diligence de ICT
    Os bancos terão de demonstrar que conhecem:

    • o grau de dependência de cada fornecedor crítico;
    • os cenários de falha e impacto em funções críticas;
    • as alternativas (ou ausência delas) disponíveis no mercado.

  2. Revisão de contratos com CTPPs
    Espera-se uma pressão crescente para incluir cláusulas sobre:

    • testes de resiliência e partilha de resultados;
    • acesso a informação relevante para supervisão;
    • obrigações de notificação de incidentes e cooperação em exercícios conjuntos.

  3. Integração dos resultados da supervisão no risk management
    Se um CTPP for alvo de recomendações ou medidas de remediação por parte das Autoridades Europeias, as entidades clientes terão de refletir esse risco nos seus:

    • mapas de risco,
    • planos de continuidade,
    • comités de risco operacional e tecnológico.

  4. Maior escrutínio interno sobre decisões de outsourcing
    Os conselhos de administração deixam de poder tratar a contratação de ICT como mero tema técnico. A escolha de um fornecedor crítico passa a ser também uma decisão de risco regulatório e reputacional.

Três prioridades para a banca portuguesa em 2025/2026

A designação dos CTPPs não é um detalhe burocrático; é um sinal claro da direção da regulação europeia. Para as instituições portuguesas que querem estar na dianteira da inovação financeira baseada em IA e digitalização, há três movimentos estratégicos que não podem ser adiados.

1. Mapear a pegada de ICT crítica – saber quem realmente sustenta o negócio

O primeiro passo é ter uma visão objetiva das dependências tecnológicas.

Sugestão prática:

  • Criar um inventário atualizado de todos os fornecedores de ICT, classificando:
    • serviços prestados,
    • criticidade para o negócio,
    • se constam ou não da lista de CTPPs,
    • localização de dados e grau de concentração.
  • Identificar cadeias de subcontratação (por exemplo, um fornecedor português que, por sua vez, usa cloud de um CTPP global).
  • Cruzar este inventário com as funções críticas definidas internamente (pagamentos, core banking, canais digitais, reporting regulatório, etc.).

Sem este mapa, qualquer conversa sobre resiliência operacional é teórica.

2. Reforçar a governação de risco de ICT com foco em DORA

O DORA não é apenas um regulamento “de IT”; é um regulamento de resiliência operacional digital. As equipas de risco operacional, compliance, IT e negócio têm de trabalhar em conjunto.

Medidas a considerar:

  • Rever a estrutura de comités para garantir que o risco de terceiros críticos é discutido ao nível certo.
  • Atualizar políticas de:
    • gestão de incidentes,
    • continuidade de negócio,
    • testes de resiliência (incluindo cenários de indisponibilidade prolongada de um CTPP).
  • Integrar a informação de supervisão sobre CTPPs nos dashboards de risco apresentados à administração.

A instituição que tratar o DORA como um “projeto de conformidade” vai gastar muito dinheiro e ganhar pouco. A que o tratar como peça central da estratégia digital vai usar o regulamento como alavanca para melhorar processos, automatizar controlos e criar confiança adicional junto dos clientes.

3. Reavaliar a estratégia de outsourcing e de multi-cloud

Muitos bancos portugueses seguiram uma estratégia de concentração em 1 ou 2 grandes fornecedores de cloud e serviços core. É eficiente em custo e velocidade, mas cria um risco de concentração elevado.

À luz do DORA e da lista de CTPPs, vale a pena rever:

  • Modelos multi-cloud ou dual vendor para funções mais críticas.
  • Estratégias de portabilidade de workloads (evitar lock-in excessivo).
  • Planos de fallback operacional caso um fornecedor crítico sofra uma interrupção prolongada.

Não se trata de abandonar fornecedores críticos – até porque, em muitos casos, são tecnicamente superiores – mas de ter estratégias realistas de mitigação e negociar contratos que reflitam esta nova realidade regulatória.

Onde entra a IA nesta história de resiliência e DORA

Dentro da campanha “IA no Setor Bancário Português: Inovação Financeira”, o tema DORA pode parecer, à primeira vista, muito regulatório. Mas a ligação é direta: sem resiliência operacional e governação de ICT robusta, a adoção de IA em grande escala torna-se arriscada.

A IA generativa, os modelos de scoring avançados, a deteção de fraude em tempo real ou a personalização de ofertas dependem de:

  • dados fiáveis e continuamente disponíveis;
  • infraestruturas escaláveis (tipicamente cloud fornecida por CTPPs);
  • pipelines de dados e modelos que muitas vezes recorrem a serviços de terceiros.

Se a infraestrutura falha, a IA pára. E se a IA pára, a experiência digital do cliente degrada-se de forma visível.

Há aqui uma oportunidade clara para os bancos e fintechs portugueses:

  • Usar ferramentas de IA para monitorização de risco operacional e de ICT, detetando padrões anómalos em tempo real.
  • Aplicar IA à análise de contratos e documentação de fornecedores, acelerando due diligence e identificação de riscos.
  • Criar modelos de simulação de incidentes (por exemplo, falha prolongada de um CTPP) e avaliar impacto em volumes de transações, tempos de resposta e SLA.

Os players que conseguirem combinar conformidade DORA com uso inteligente de IA vão estar em posição forte para inovar em produtos financeiros sem comprometer resiliência.

Próximos passos para instituições portuguesas que querem liderar

A designação dos CTPPs inaugura uma nova fase na regulação europeia da resiliência digital. Para a banca portuguesa, este momento é uma chamada à ação, não apenas um “alerta de compliance”.

Os movimentos prioritários são claros:

  • Mapear e classificar dependências de ICT críticas.
  • Reforçar a governação de risco de terceiros, envolvendo a administração.
  • Rever contratos e estratégias de outsourcing à luz da lista de fornecedores críticos.
  • Aproveitar a IA para ganhar escala e profundidade na gestão de risco operacional.

Quem tratar o DORA como um aliado estratégico vai transformar a obrigação regulatória numa vantagem competitiva: operações mais robustas, menos incidentes críticos, maior confiança dos clientes e mais espaço para inovar com IA no centro do negócio.

O próximo ano vai mostrar uma diferença clara entre quem se limitou a “cumprir o regulamento” e quem decidiu usar este momento para redesenhar a sua arquitetura de resiliência digital. De que lado quer estar a sua instituição?