- Partilhar artigo
- ...
O número de incidentes registados pelo Centro Nacional de Cibersegurança (CNCS) no primeiro semestre de 2020 foi de 689, 101% do que em período homólogo em 2019, referia o Observatório de Cibersegurança em julho de 2020. Mais de um terço dos ataques de phishing registado teve como alvo o setor bancário.
Frederico Macias, partner da Deloitte, refere não só as implicações reputacionais de um ataque cibernético, que "podem acarretar desvantagens competitivas e perdas de produtividade, em especial no curto-médio prazo". Aponta para a possível aplicação de multas financeiras, e/ou instauração de processos contraordenacionais, em termos legais e regulatórios, no caso de implicar a perda de dados pessoais de cidadãos ou residentes na União Europeia, ou se prove a falta de implementação dos controlos de segurança e operacionais mínimos exigidos pelos reguladores.
Na análise de Paulo Costa Martins, sócio, e Francisco Soares Machado, associado sénior, da Cuatrecasas, são várias as potenciais repercussões. De um ponto de vista legal, e desde logo se a informação disser respeito aos seus clientes, a instituição poderá, em certas circunstâncias, ser responsabilizada por violação das suas obrigações de sigilo bancário e tratamento de dados pessoais, levando possivelmente a processos contraordenacionais do Banco de Portugal e da CNPD ou, inclusive, a ações judiciais por parte dos seus clientes.
Driver de atuação
Assinalam que se tratando de um crime por parte de quem procede ao ataque cibernético e ao roubo de dados, "a responsabilização ou não da própria instituição centrar-se-á no seu nível de diligência quanto aos procedimentos e sistemas informáticos, de modo a saber se a instituição, que beneficia do uso da tecnologia na sua atividade, adotou todas as medidas razoáveis para evitar o ataque ou os resultados nefastos de um possível ataque".
Alertam ainda para impactos reputacionais. "Com efeito, o roubo de dados de clientes pode ser devastador para uma instituição, pois poderá levar à quebra de confiança e saída dos seus clientes, com potenciais implicações ao nível da estabilidade financeira. A confiança sempre foi, e continuará a ser, um aspeto essencial no mundo financeiro e, em particular, na banca comercial", afirmam Paulo Costa Martins e Francisco Soares Machado
"A confiança é uma das bases da transformação digital das organizações financeiras e, para além das implicações legais e regulamentares, será seguramente importante falar e atuar ao nível da confiança que os consumidores têm numa organização e no que isso pode significar em termos de retorno. Deve ser este o driver de atuação das organizações", aconselha Frederico Macias. Por isso mesmo os supervisores por toda a Europa têm-se centrado nos últimos anos na importância dos aspetos operacionais das instituições financeiras e, em particular, da cibersegurança.
"Os danos reputacionais serão incalculáveis e qualquer instituição levará sempre vários anos a estabelecer o seu nome no mercado", adverte Nuno Sousa, Vertical Lead de Financial Services na Claranet Portugal. Mas acrescenta que "ninguém está preparado a 100% para uma situação destas: algumas soluções possíveis para minimizar os potenciais impactos passam pela prevenção, pela forma como se agilizará a sua resolução e ainda pelo nível de transparência com que a respetiva comunicação for feita ao ecossistema de pessoas e organizações direta ou indiretamente interessadas".
Frederico Macias, partner da Deloitte, refere não só as implicações reputacionais de um ataque cibernético, que "podem acarretar desvantagens competitivas e perdas de produtividade, em especial no curto-médio prazo". Aponta para a possível aplicação de multas financeiras, e/ou instauração de processos contraordenacionais, em termos legais e regulatórios, no caso de implicar a perda de dados pessoais de cidadãos ou residentes na União Europeia, ou se prove a falta de implementação dos controlos de segurança e operacionais mínimos exigidos pelos reguladores.
Na análise de Paulo Costa Martins, sócio, e Francisco Soares Machado, associado sénior, da Cuatrecasas, são várias as potenciais repercussões. De um ponto de vista legal, e desde logo se a informação disser respeito aos seus clientes, a instituição poderá, em certas circunstâncias, ser responsabilizada por violação das suas obrigações de sigilo bancário e tratamento de dados pessoais, levando possivelmente a processos contraordenacionais do Banco de Portugal e da CNPD ou, inclusive, a ações judiciais por parte dos seus clientes.
Driver de atuação
Assinalam que se tratando de um crime por parte de quem procede ao ataque cibernético e ao roubo de dados, "a responsabilização ou não da própria instituição centrar-se-á no seu nível de diligência quanto aos procedimentos e sistemas informáticos, de modo a saber se a instituição, que beneficia do uso da tecnologia na sua atividade, adotou todas as medidas razoáveis para evitar o ataque ou os resultados nefastos de um possível ataque".
Alertam ainda para impactos reputacionais. "Com efeito, o roubo de dados de clientes pode ser devastador para uma instituição, pois poderá levar à quebra de confiança e saída dos seus clientes, com potenciais implicações ao nível da estabilidade financeira. A confiança sempre foi, e continuará a ser, um aspeto essencial no mundo financeiro e, em particular, na banca comercial", afirmam Paulo Costa Martins e Francisco Soares Machado
"A confiança é uma das bases da transformação digital das organizações financeiras e, para além das implicações legais e regulamentares, será seguramente importante falar e atuar ao nível da confiança que os consumidores têm numa organização e no que isso pode significar em termos de retorno. Deve ser este o driver de atuação das organizações", aconselha Frederico Macias. Por isso mesmo os supervisores por toda a Europa têm-se centrado nos últimos anos na importância dos aspetos operacionais das instituições financeiras e, em particular, da cibersegurança.
"Os danos reputacionais serão incalculáveis e qualquer instituição levará sempre vários anos a estabelecer o seu nome no mercado", adverte Nuno Sousa, Vertical Lead de Financial Services na Claranet Portugal. Mas acrescenta que "ninguém está preparado a 100% para uma situação destas: algumas soluções possíveis para minimizar os potenciais impactos passam pela prevenção, pela forma como se agilizará a sua resolução e ainda pelo nível de transparência com que a respetiva comunicação for feita ao ecossistema de pessoas e organizações direta ou indiretamente interessadas".