Instituições financeiras europeias reportaram 3.383 grandes incidentes relacionados a TIC durante 2025 sob a Lei de Resiliência Operacional Digital (Digital Operational Resilience Act, DORA), de acordo com um relatório conjunto da Autoridade Bancária Europeia, da Autoridade Europeia de Valores e Mercados e da Autoridade Europeia de Seguros e Pensões Ocupacionais. Os achados representam um dos primeiros grandes conjuntos de dados a mostrar como interrupções operacionais, falhas de sistemas e incidentes cibernéticos se espalham pelo setor financeiro da Europa no novo arcabouço de reporte de DORA. As autoridades afirmaram que os dados revelam um sistema financeiro cada vez mais dependente de infraestrutura compartilhada, provedores externos de tecnologia e serviços digitais interconectados, com a DORA entrando em vigor em janeiro de 2025 para introduzir obrigações harmonizadas de reporte de riscos de TIC em todo o sistema financeiro europeu.
Instituições de Crédito Responderam por Mais de 60% dos Incidentes de TIC Reportados
As instituições de crédito responderam por mais de 60% de todos os incidentes reportados, enquanto empresas de pagamento representaram mais 16%. As autoridades disseram que essa concentração não indica necessariamente fragilidade estrutural em bancos ou pagamentos, mas sim reflete a natureza altamente digital e voltada ao cliente desses setores, além das obrigações de reporte preexistentes sob a PSD2.
Um Terço dos Incidentes Se Espalhou Além do País de Origem
Os dados mostraram que a disrupção operacional se tornou cada vez mais transfronteiriça. Cerca de um terço dos incidentes se espalhou além do país em que teve origem, enquanto aproximadamente 8% afetaram mais de 10 países simultaneamente. As autoridades associaram essa tendência ao aumento da dependência de provedores de tecnologia compartilhados, infraestrutura comum e modelos de negócios multinacionais. O relatório chega enquanto reguladores europeus intensificam o escrutínio da resiliência operacional após várias interrupções de alto perfil em pagamentos, infraestrutura de negociação e sistemas bancários nos últimos dois anos.
Falhas de Sistema Representaram 51% de Todos os Casos Reportados
Falhas de sistema representaram a maior categoria de incidentes, respondendo por 51% de todos os casos reportados. Eventos externos representaram mais 27%, enquanto incidentes relacionados a pagamentos atingiram 18%. Incidentes relacionados a cibersegurança responderam por 10% do total. As autoridades afirmaram que a parcela relativamente baixa de incidentes de cibersegurança pode indicar que salvaguardas existentes e sistemas de detecção estão limitando ataques bem-sucedidos. Ao mesmo tempo, o relatório alertou que ferramentas cibernéticas cada vez mais sofisticadas baseadas em IA podem alterar o cenário de ameaças nos próximos anos.
Entre os incidentes cibernéticos, ataques de Negação de Serviço Distribuída representaram 33% dos eventos reportados, enquanto exfiltração e manipulação de dados responderam por 31%. As instituições de crédito tiveram a maior concentração desses ataques por causa do seu papel em pagamentos, banco digital e processamento de grandes volumes de dados de clientes.
Falhas de Provedores Terceirizados Tiveram Origem em 29% dos Maiores Incidentes
Quase 29% dos grandes incidentes tiveram origem em falhas envolvendo provedores terceirizados, incluindo fornecedores de TIC, operadores de infraestrutura e prestadores de serviços subcontratados. As autoridades disseram que os achados destacam como falhas operacionais em um único provedor podem se propagar rapidamente por múltiplas instituições financeiras e jurisdições. O relatório observou que muitas instituições financeiras dependem de infraestrutura comum para pagamentos, bancos centrais e serviços de conectividade. Em alguns casos, uma única interrupção gerou dezenas de relatórios de incidentes separados porque várias instituições dependiam do mesmo provedor.
Interrupção do TARGET2 e Apagão na Península Ibérica Disruptaram Operações em 2025
As interrupções operacionais durante 2025 incluíram vários eventos em larga escala que contribuíram para picos nos volumes de reporte. O relatório citou especificamente a interrupção do TARGET2 em fevereiro de 2025, que prejudicou por várias horas a liquidação de títulos e o processamento de pagamentos, e o apagão na Península Ibérica em abril de 2025, que afetou operações em múltiplos setores.
Dois Terços dos Incidentes Causaram Disrupção Limitada ao Cliente
Apesar do número de incidentes, as autoridades disseram que a maior parte das disrupções causou pouco dano a jusante. Cerca de dois terços dos incidentes não causaram disrupção a clientes e transações ou afetaram menos de 1.000 clientes ou transações. Apenas 1% dos incidentes afetou mais de um milhão de transações. O relatório afirmou que medidas rápidas de detecção e contenção tiveram um papel central para limitar efeitos de propagação. As instituições geralmente estabilizaram os incidentes por meio de intervenções técnicas imediatas antes de implementar medidas de remediação de longo prazo, como melhorias de monitoramento, aprimoramentos de testes e mudanças de configuração dos sistemas.
Contrapartes financeiras também pareceram relativamente protegidas contra a maioria dos incidentes. Menos de 18% dos incidentes afetaram outras instituições financeiras, apesar do aumento da interconectividade do sistema financeiro europeu. As autoridades atribuíram isso em parte às salvaguardas já implementadas entre as instituições e operadores de infraestrutura.
Reguladores Identificaram Inconsistências de Reporte Durante o Primeiro Ano da DORA
O relatório destacou inconsistências nas práticas de reporte entre setores e jurisdições durante o primeiro ano de implementação da DORA. Cerca de 15% dos incidentes notificados durante 2025 foram excluídos da análise porque os relatórios finais ainda não tinham sido submetidos até o corte de fevereiro de 2026. Enquanto isso, aproximadamente 93% das submissões passaram por verificações de qualidade e entraram no banco de dados final. As ESAs afirmaram que a coordenação supervisora adicional e a padronização do reporte continuarão sendo prioridade à medida que a implementação da DORA amadureça. Os reguladores pretendem continuar refinando a análise de incidentes e melhorando a comparabilidade dos dados em todo o sistema financeiro europeu.
Os achados chegam no momento em que a resiliência operacional se torna um dos temas regulatórios definidores nos mercados financeiros globais. Nos últimos dois anos, reguladores na Europa, no Reino Unido e nos EUA têm mudado cada vez mais o foco para riscos de concentração de infraestrutura, dependência de nuvem, resiliência cibernética e governança de tecnologia. Grandes instituições financeiras agora operam em um ambiente em que interrupções podem se espalhar rapidamente entre fronteiras, contrapartes e sistemas de pagamento em minutos. O conjunto de dados da DORA sugere que reguladores europeus estão cada vez mais enxergando a resiliência operacional não como um problema estreito de cibersegurança, mas como um desafio mais amplo de estabilidade sistêmica ligado ao desenho da infraestrutura, à concentração de terceirização e à interdependência digital.
O relatório também ilustra como o risco operacional está evoluindo junto com a modernização dos serviços financeiros. Banco móvel, pagamentos instantâneos, negociação algorítmica, ativos digitais e finanças embutidas seguem ampliando os volumes de transações e a complexidade de infraestrutura na indústria. Esse crescimento aumenta a probabilidade de que disrupções operacionais ocorram mesmo quando as instituições mantêm padrões fortes de cibersegurança. Para empresas financeiras, os achados podem intensificar a pressão para fortalecer a supervisão de terceiros, diversificar provedores críticos e melhorar as capacidades de contenção de incidentes. Para reguladores, o relatório oferece um parâmetro inicial para medir como o setor financeiro europeu adapta-se ao arcabouço de resiliência operacional da DORA nos próximos anos.
FAQ
O que as instituições financeiras europeias reportaram sob a DORA em 2025?
Instituições financeiras europeias reportaram 3.383 grandes incidentes relacionados a TIC durante 2025 sob a Lei de Resiliência Operacional Digital, de acordo com um relatório conjunto da Autoridade Bancária Europeia, da Autoridade Europeia de Valores e Mercados e da Autoridade Europeia de Seguros e Pensões Ocupacionais.
Qual a porcentagem de incidentes de TIC originados de falhas de provedores terceirizados?
Quase 29% dos grandes incidentes tiveram origem em falhas envolvendo provedores terceirizados, incluindo fornecedores de TIC, operadores de infraestrutura e prestadores de serviços subcontratados, de acordo com o relatório das autoridades.
Quais grandes interrupções operacionais ocorreram na Europa durante 2025?
O relatório citou especificamente a interrupção do TARGET2 em fevereiro de 2025, que prejudicou por várias horas a liquidação de títulos e o processamento de pagamentos, e o apagão na Península Ibérica em abril de 2025, que afetou operações em múltiplos setores.
