Banca europeia exposta a risco de terceiros

A maioria das instituições bancárias europeias enfrenta riscos crescentes associados a terceiros, segundo o “European Banking Cybersecurity Report 2026” da Fortinet, que aponta para uma expansão da superfície de ataque no setor financeiro.

De acordo com o estudo, 96% dos bancos europeus foram afetados por falhas de segurança em parceiros externos, um aumento de 25% em pouco mais de dois anos. Além disso, 97% reportaram incidentes relacionados com terceiros, evidenciando a dependência crescente de fornecedores e serviços externalizados.

O relatório destaca que esta evolução está ligada à adoção de modelos como Banking-as-a-Service (BaaS) e ao aumento da utilização de serviços cloud. O mercado de BaaS deverá crescer de 5,8 mil milhões de dólares em 2022 para 19,7 mil milhões em 2030, enquanto o segmento de cloud soberana poderá atingir 823,9 mil milhões de dólares até 2032.

A Fortinet alerta que esta interdependência facilita ataques como o “island hopping”, em que os atacantes comprometem fornecedores com menor nível de segurança para aceder a sistemas de maior dimensão. Este tipo de abordagem reforça a necessidade de controlo contínuo sobre o ecossistema de parceiros.

Outro dado relevante é o aumento de 1.300% nas tentativas de fraude com recurso a deepfakes em 2024, refletindo o impacto da inteligência artificial nas ameaças emergentes. Em paralelo, 61% das organizações na Europa, Médio Oriente e África não estão preparadas para a era pós-quântica, o que levanta preocupações adicionais sobre a resiliência futura.

O enquadramento regulatório também está a evoluir. Com a entrada em vigor do Digital Operational Resilience Act (DORA), os órgãos de gestão passam a ter responsabilidade direta na gestão de risco associado a terceiros, exigindo maior visibilidade, segmentação e avaliação contínua.

Iniciativas europeias, como investimentos em cloud soberana e o desenvolvimento de arquiteturas SASE sob jurisdição europeia, procuram reforçar o controlo sobre dados e infraestruturas críticas.

Neste contexto, o relatório recomenda a adoção de modelos de defesa baseados em Inteligência Artificial, capazes de detetar comportamentos anómalos em tempo real e automatizar processos críticos, como KYC e prevenção de branqueamento de capitais.

A preparação para a computação quântica surge também como prioridade. A possibilidade de ataques do tipo “recolher agora, descodificar depois” coloca pressão sobre os sistemas atuais de criptografia, exigindo medidas antecipadas por parte das instituições.

O estudo conclui que a capacidade de gerir riscos distribuídos e antecipar novas ameaças será determinante para a competitividade da banca europeia, num cenário marcado pela rápida evolução tecnológica e crescente complexidade regulatória.