Como a nova regulamentação DORA afetará as entidades de investimento?
A entrada em vigor do Regulamento de Resiliência Operacional Digital (DORA) marca um antes e um depois no panorama da regulamentação financeira europeia. Esta normativa, que obriga as entidades financeiras, incluindo as de investimento ou financiamento participativo, a reforçar a sua resiliência digital, gerir adequadamente os riscos tecnológicos e melhorar os seus protocolos de resposta a ciberataques, está destinada a transformar não apenas a operação interna destes agentes, mas também o ecossistema em que operam, incluindo os setores Fintech e Proptech.
A Urbanitae, como um ator relevante no setor de investimento, encontra-se no centro desta mudança, o que sublinha a importância de se adaptar a um ambiente regulatório cada vez mais exigente.
O que é o DORA?
DORA, ou Digital Operational Resilience Act, é uma normativa da União Europeia que estabelece um quadro legal uniforme para garantir a resiliência operacional digital no setor financeiro. O seu principal objetivo é que todas as entidades financeiras, desde bancos a sociedades de investimento e fornecedores de serviços TIC, disponham de sistemas robustos que lhes permitam gerir os riscos tecnológicos e operacionais, proteger as informações dos seus clientes e garantir a continuidade dos seus serviços perante possíveis ciberataques ou incidentes disruptivos.
O regulamento entrou em vigor a 16 de janeiro de 2023 e começou a ser aplicado a 17 de janeiro de 2025, oferecendo um prazo de adaptação de dois anos para que as entidades cumpram os seus exigentes requisitos. Entre eles, inclui-se a implementação de planos de contingência, avaliações periódicas de riscos e testes de resiliência operacional, todas medidas essenciais para reforçar a resiliência digital e proteger os dados num ambiente cada vez mais interligado e vulnerável.
Tal como indicado pelo Ministério da Economia, Comércio e Empresa, esta normativa é especialmente relevante para as entidades de investimento, pois reforça a cibersegurança na gestão de grandes volumes de informações sensíveis, estabelecendo um padrão que harmoniza as práticas em toda a União Europeia.
Segundo Nacho Bautista, responsável pela vertical de crowdfunding da AEFI (Associação Espanhola de FinTech e InsurTech) e CEO da Fundeen, “DORA não vem sugerir, vem exigir. E o que exige é que as entidades de investimento deixem de ver a cibersegurança como uma mera formalidade e passem a tratá-la como um pilar fundamental da sua operação. Já não basta ter um antivírus razoável ou fazer uma cópia de segurança de vez em quando. Agora, trata-se de gerir riscos digitais com a mesma seriedade com que gerimos riscos financeiros.”
Como devem as entidades preparar-se para a nova regulamentação?
A adaptação ao DORA requer uma transformação integral na gestão de riscos e na operação digital. As instituições financeiras devem iniciar um diagnóstico completo da sua infraestrutura tecnológica, identificando e classificando detalhadamente os seus ativos e processos críticos, o que lhes permitirá detetar vulnerabilidades e estabelecer as medidas de proteção necessárias para minimizar riscos.
“A gestão de riscos tornar-se-á mais proativa do que reativa. Não se trata apenas de resolver problemas quando surgem, mas de antecipá-los e preveni-los. Isto implica estabelecer controlos contínuos sobre todos os sistemas críticos, realizar auditorias internas frequentes e manter uma vigilância constante sobre possíveis vulnerabilidades”, explica Bautista.
Paralelamente, é essencial rever a relação com os fornecedores externos. De acordo com a Autoridade Europeia dos Valores Mobiliários e dos Mercados (ESMA), o DORA impõe um controlo rigoroso sobre toda a cadeia de fornecimento de serviços TIC, exigindo que cada colaborador cumpra os padrões de segurança estabelecidos. A revisão e atualização dos contratos, com cláusulas claras que definam responsabilidades e protocolos de notificação, será essencial.
Além disso, as entidades precisarão de “equipas dedicadas à cibersegurança, profissionais que compreendam tanto a tecnologia como os riscos específicos do setor financeiro”, destaca o representante da AEFI e da Fundeen. “Também serão necessárias ferramentas de monitorização em tempo real e sistemas de deteção de intrusões que permitam reagir rapidamente a qualquer ameaça.”
Como o DORA afeta entidades como a Urbanitae?
A Urbanitae, sendo uma plataforma de financiamento participativo regulada pela CNMV, está sujeita a um quadro normativo que garante a transparência e a proteção dos investidores, mas que também deve adaptar-se às exigências do novo regulamento DORA.
“As plataformas de crowdfunding imobiliário e de outros setores, pela sua natureza digital, estão particularmente expostas a riscos tecnológicos. Cumprir o DORA pode parecer um fardo no início (mais custos, mais processos, mais auditorias…), mas também pode ser um fator diferenciador chave”, explica Bautista.
O impacto do DORA numa entidade como a Urbanitae manifesta-se na necessidade de reforçar a cibersegurança e a gestão de riscos tecnológicos. A regulamentação exige que as entidades financeiras, incluindo aquelas dedicadas ao crowdfunding imobiliário, implementem sistemas robustos para identificar e mitigar vulnerabilidades nas suas infraestruturas digitais. Isto significa que a Urbanitae terá de rever e auditar não apenas os seus próprios sistemas, mas também toda a cadeia de fornecedores tecnológicos que utiliza para processar e armazenar as informações dos seus investidores e dos projetos financiados.
Neste sentido, Nacho Bautista reconhece que “os investidores não procuram apenas bons rendimentos, procuram também confiança. E num mundo onde os ciberataques são cada vez mais frequentes, saber que o seu dinheiro está protegido por uma plataforma que cumpre os mais elevados padrões de segurança é, sem dúvida, um valor acrescentado.”
A adaptação ao DORA, embora implique desafios em termos de investimento e atualização tecnológica, é vista na Urbanitae como uma oportunidade para se posicionar como uma referência no setor, demonstrando um forte compromisso com a segurança digital e a resiliência operacional.
Aplicação do DORA noutros setores
Embora o DORA seja direcionado principalmente para o setor financeiro, as suas implicações estendem-se a outros domínios. Seguradoras, fornecedores de serviços em nuvem e empresas de telecomunicações serão forçados a elevar os seus padrões de proteção, promovendo a padronização das práticas de segurança a nível europeu.