BCE avança com teste de stress cibernético aos bancos em janeiro de 2024

O site do Banco Central Europeu publicou uma entrevista com Anneli Tuominen, Membro do Conselho de Supervisão do BCE, a propósito do lançamento do seu teste de stress cibernético em janeiro de 2024.

Anneli Tuominen diz que o teste simulará um ataque cibernético grave que interrompe as operações pelo que “vai direto ao cerne da questão do ponto de vista dos bancos”.

“Queremos saber como os bancos respondem e se recuperam de um ataque cibernético e como retomam os negócios normais. O nosso principal objetivo é identificar os pontos fracos dos bancos”, acrescenta

Esta é a primeira vez que o BCE realiza um teste de esforço cibernético. “Testes de stress desse tipo ainda são uma raridade, mas acho que isso vai mudar no futuro. A Autoridade Dinamarquesa de Supervisão Financeira já realizou um teste de ciberesforço, tal como a Autoridade de Regulação Prudencial no Reino Unido”, revela Tuominen .

Como tudo funciona? Quase todos os bancos sob supervisão direta do BCE, 109 atualmente, participarão. Desse grupo, 28 bancos participarão de um teste aprimorado para o qual terão que apresentar informações mais detalhadas. “O nosso objetivo é cobrir uma parte significativa do setor financeiro da área do euro, garantindo uma distribuição geográfica uniforme, ao mesmo tempo que abrange diferentes modelos de negócio e dimensões”, revela Tuominen.

A responsável do Conselho de Supervisão do BCE diz que “a cibersegurança está na nossa agenda há vários anos”.

“Estabelecemos uma estrutura de relatórios de incidentes cibernéticos em 2017, e a segurança de IT e os riscos cibernéticos fazem parte de nossas prioridades de supervisão. Este teste de esforço é, a meu ver, muito oportuno. Há riscos decorrentes de ataques de grupos ligados ao Estado”, acrescenta Tuominen.

“O Council on Foreign Relations estima que, desde 2005, quatro Estados autoritários patrocinaram 77% de todos os ataques cibernéticos patrocinados pelo Estado. Isso é bastante alarmante – todos temos de perceber que a ameaça aumentou”, considera a responsável.

O que fará o BCE com os resultados? Este vai ser um exercício qualitativo. “É importante que os bancos entendam seu próprio perfil de risco. Prevemos dar feedback com base nos resultados dos testes, por exemplo, na necessidade de implementar padrões da indústria para higiene cibernética em toda a organização”.

Questionada sobre se os resultados serão tidos em conta no Processo de Análise e Avaliação para a Supervisão (SREP)? Tuominen diz que “irão alimentar o SREP, mas este exercício não está orientado para aumentar os rácios de capital, uma vez que essa não seria uma forma eficaz de prevenir os riscos cibernéticos”.

“Os resultados só podem afetar indiretamente os requisitos do Pilar 2 em casos graves em que o Tribunal encontre deficiências significativas na gestão de riscos ou no governo corporativo de um banco”, acrescenta.

“Os riscos geopolíticos estão mais graves do que nunca” diz Tuominen acrescentando que “as informações sobre as vulnerabilidades dos bancos aumentarão os limiares de supervisão”.

“Outra questão é a dependência dos bancos de provedores terceirizados. Os bancos tentam economizar custos terceirizando alguns de seus processos de IT, mas isso nem sempre é compatível com uma boa gestão de riscos. Os bancos também devem entender os riscos associados à terceirização”, refere a responsável.

“Temos certamente de analisar mais de perto o tema dos fornecedores terceiros. Lembro-me de um ataque cibernético contra um financial trading services group no início deste ano, que também interrompeu as operações comerciais em alguns bancos. Conseguiram retomar o trabalho, mas o incidente mostra quais dependências existem. Precisamos levar isso a sério”, referiu a Membro do Conselho de Supervisão do BCE

O número de ataques cibernéticos é maior do que era antes da pandemia.”Os ataques em que os autores interrompem os serviços bancários inundando e entupindo os servidores bancários com pedidos falsos, foram os que mais aumentaram”, avança a responsável.

Até à data, os bancos da área do euro têm-se revelado resilientes, defende acrescentando que “os ataques não foram tão graves que desestabilizassem bancos individuais ou o sistema bancário. No entanto, temos de estar preparados: um ataque bem sucedido pode ocorrer em qualquer altura”.

“Precisamos prestar mais atenção a ameaças como a desinformação. A única maneira de os bancos enfrentarem esses riscos é criar proativamente um fluxo de informações o mais ativo possível”, acrescenta.

“Não creio que tenha havido um incidente deste tipo desde que a Supervisão Bancária do BCE começou. Mas uma campanha de desinformação foi lançada contra os bancos búlgaros em meados de 2014, o que desencadeou uma corrida bancária”, diz Anneli Tuominen.

Sobre os riscos relacionados à inteligência artificial, Anneli Tuominen disse que “os atacantes têm ferramentas cada vez mais sofisticadas à sua disposição, incluindo deepfakes – imagens, vozes e vídeos gerados por IA”. O BCE diz que “os bancos precisam de um quadro sólido de gestão de riscos”.

“A geopolítica tem se tornado cada vez mais importante, e precisamos considerar os riscos que ela representa. É também por isso que insistimos em que os bancos devem ser resilientes e dispor de reservas de capital e liquidez suficientes e de uma boa gestão dos riscos.”, refere ainda Anneli Tuominen.

“Precisamos entender todos os riscos relacionados, especialmente os riscos operacionais, incluindo as crescentes ameaças cibernéticas. Também estamos vendo riscos operacionais e reputacionais em bancos europeus ativos na Rússia, incluindo o risco de lavagem de dinheiro. Por conseguinte, pedimos a estes bancos que preparassem um roteiro para as suas estratégias de downsizing”, acrescenta.

Então, os bancos europeus deveriam deixar a Rússia, como defende seu colega Andrea Enria? Na resposta Anneli Tuominen diz que “quando vemos que há riscos excessivos, somos de opinião que os bancos devem reduzir a dimensão”.

Claudia Buch sucederá a Enria na presidência do Conselho de Supervisão do BCE em 1 de Janeiro. A propósito dessa mudança, Anneli Tuominen lembra que já é membro do Conselho de Supervisão do BCE, onde são tomadas as decisões de supervisão. “A Supervisão Bancária do BCE tem sido muito bem sucedida e não vejo necessidade de mudanças drásticas, mas há sempre espaço para melhorias”, refere.