É nesse contexto que surge o Digital Operational Resilience Act (Lei de Resiliência Operacional Digital, DORA no acrónimo em inglês), um novo regulamento europeu que procura reforçar a resiliência operacional digital do setor financeiro.
A ideia é simples: garantir que todas as instituições financeiras, bem como prestadores de serviços tecnológicos críticos, adotem padrões elevados de cibersegurança e estejam preparadas para resistir a crises digitais.
Mas, olhando de perto, percebe-se que a ambição do DORA esbarra num problema central: exige “resiliência”, mas sem definir com clareza quais medidas concretas devem ser implementadas.
Este vazio deixa demasiado espaço para interpretações diferentes entre instituições e Estados‑Membros. Em vez de aproximar a Europa em torno de um quadro comum, a norma pode acentuar desigualdades e criar várias Europas digitais a diferentes velocidades, moldadas pela capacidade financeira, maturidade tecnológica e ambiente político de cada país.
Há ainda o risco de este projeto se revelar mais político do que técnico.
Enquanto potências como Estados Unidos, China ou Israel seguem estratégias digitais claras e operacionais, a União Europeia pode ficar presa a normas abstratas, agradáveis no papel, mas com pouco efeito prático.
O DORA estabelece objetivos, mas carece de um manual de instruções: faltam-lhe orientações técnicas, testes definidos e mecanismos de auditoria que transformem intenções em prática.
Outro aspeto merece reflexão: será o setor financeiro o único que justifica esta prioridade? O impacto devastador de falhas em áreas como energia, saúde, comunicações ou infraestruturas do Estado mostra que a vulnerabilidade não se limita às finanças.
Talvez faça mais sentido uma visão transversal, integrando quadros como a NIS2 e normas técnicas já consolidadas, em vez de multiplicar regulamentos setoriais fragmentados.
As dificuldades práticas já se fazem sentir. O DORA apresenta um quadro complexo e exigente que obriga as instituições a recorrer a consultores e análises de conformidade sem oferecer um ‘roadmap’ realista.
Implica monitorização contínua de riscos, testes regulares, revisões contratuais e novas obrigações de governação.
Mas mais do que sistemas, o grande desafio será cultural: mudar mentalidades, investir em conhecimento e criar uma verdadeira consciência organizacional de ciberresiliência.
Acresce a difícil questão da partilha de informação entre entidades e reguladores.
O regulamento incentiva essa cooperação, mas construir redes de confiança genuínas continua a ser um desafio pouco resolvido.
Sem confiança, a rede falha; e sem essa rede, não há resiliência coletiva.
O DORA é, ainda assim, uma oportunidade.
Obriga as instituições financeiras a olhar para os riscos digitais de forma mais estratégica. Mas não basta decretar resiliência: é preciso transformar os enunciados políticos em processos claros, investimentos concretos e práticas efetivas.
Uma Europa digitalmente segura exige mais do que regulamentação — exige ação.
Se queremos que o continente se afirme como bloco competitivo e estável no mundo digital, não podemos continuar a confundir declarações de intenção com garantias de cibersegurança.
Sem medidas técnicas sólidas, recursos dedicados e auditorias rigorosas, o DORA corre o risco de se tornar apenas mais uma norma de prateleira — elegante no papel, mas irrelevante na realidade.
A ambição europeia é justa e necessária. Mas, se não for acompanhada da capacidade para transformar teoria em prática, o grande perigo será este: trocar a verdadeira resiliência por uma ilusão regulatória.
