Por Jorge Raminhos (*)

A crescente sofisticação das ameaças cibernéticas exige uma transformação fundamental na forma como o setor financeiro encara a cibersegurança. Já não se trata apenas de proteger dados, mas de garantir a resiliência face a ataques persistentes e cada vez mais complexos. Este compromisso com a segurança está na base da confiança que os clientes depositam nas instituições financeiras.

Os ciberataques ocorrem diariamente e sublinham a importância de proteger dados sensíveis. No dinâmico mundo da banca de investimento e dos criptoativos, onde a agilidade e a inovação são cruciais, os riscos de cibersegurança são ainda mais críticos. O recente roubo de criptomoedas da exchange Bybit, um dos maiores da história, serve como um exemplo claro da vulnerabilidade a que podemos estar expostos.

A complexidade dos ambientes digitais no setor financeiro é um verdadeiro desafio. Um estudo global recente da F5 Networks aponta para que, em média, cada empresa do setor financeiro trabalhe com 554 aplicações em produção e 601 APIs. Essa proliferação de APIs, embora essencial para a inovação, também aumenta a superfície de ataque e exige estratégias de proteção eficazes.

Neste contexto, a implementação do Digital Operational Resilience Act (DORA) e da diretiva NIS2 representaram um passo fundamental no reforço e resiliência do setor financeiro. DORA, é o regulamento europeu que estabelece requisitos uniformes de cibersegurança e estabilidade digital para todo o setor financeiro da EU, e o NIS2 (Network and Information Security), uma diretiva sobre a Segurança das Redes e da Informação destinada a garantir um elevado nível comum de cibersegurança em toda a União Europeia. No entanto, a conformidade regulatória é apenas o ponto de partida.

A abordagem à cibersegurança deve assentar em três pilares fundamentais. O primeiro consiste na adoção das recomendações do regulador, no nosso caso o Banco de Portugal e das diretrizes estabelecidas pelas regulamentações europeias – com a implementação de sistemas de segurança e a realização de testes regulares que incentivem novos protocolos de resposta mais eficazes.

O segundo pilar centra-se no investimento contínuo em tecnologias de ponta para proteger os ativos dos clientes. A Computação Multi-Party (MPC), por exemplo através de ferramentas como o Fireblocks, funciona como uma plataforma poderosa na proteção das chaves privadas de criptoativos, pois garante que o acesso a estes ativos apenas se faça através da sintonia de múltiplas permissões, o que reduz significativamente o risco de acesso não autorizado.

O terceiro pilar tem por base o reconhecimento de que a tecnologia é apenas uma parte da solução. Num mundo cada vez mais digital, a literacia financeira e em cibersegurança tornou-se uma competência tão essencial quanto saber ler e escrever. O conhecimento sobre burlas digitais - do phishing por email, SMS ou telefone, até técnicas mais sofisticadas como ransomware e spoofing - precisam de passar a fazer parte do vocabulário comum. É crucial investir em programas de formação e sensibilização, tanto para a população em geral como para setores específicos da economia. A aposta tem de ser na prevenção destes ataques de engenharia social. A cibersegurança pode parecer um tema complexo e intimidante. No entanto, o compromisso é simplificar este processo para os clientes, garantir-lhes a proteção dos seus ativos e fazer chegar toda a informação com a máxima transparência e profissionalismo.

A cibersegurança é uma jornada contínua, não um ponto de chegada. E na banca é essencial que as instituições se mantenham na vanguarda das melhores práticas e tecnologias, para proporcionar aos clientes a tranquilidade de saberem que os seus interesses estão protegidos.

(*) Head of IT and Operations no Bison Bank