"A pesada carga regulatória que impende sobre as instituições, a transformação digital que as mesmas têm promovido e os riscos legais e reputacionais decorrentes dessa maior exposição operacional são uma combinação explosiva que não permite que os gestores não dediquem a sua atenção à cibersegurança, que é sem dúvida uma preocupação no topo de gestão das instituições financeiras", referem Paulo Costa Martins, sócio, e Francisco Soares Machado, associado sénior, da Cuatrecasas.A cibersegurança tornou-se uma das principais preocupações das administrações do setor financeiro porque hoje são autênticas organizações tecnológicas para a criação constante de novas experiências digitais para os clientes, a recolha e análise de dados sofisticadas, a massiva regulação, a utilização de ferramentas como a robotização e a inteligência artificial, a que se veio juntar a crise pandémica de covid-19. Estes desafios de inovação, tecnologia, e segurança requerem uma governance de topo nas instituições financeiras.Um estudo da Mckinsey de outubro de 2020 refere que 95% dos conselhos de administração de instituições financeiras discutem temas relacionados com os riscos tecnológicos e a cibersegurança em pelo menos quatro reuniões por ano. Mas 25% debatem estes temas em 10 a 13 reuniões durante o ano. Em 2017, apenas 25% das instituições financeiras tinham os temas da cibersegurança e da tecnologia na agenda das reuniões de administração mais do que uma vez por ano. Por outro lado, hoje 65% destas empresas têm pelo menos um administrador com expertise em cibersegurança e riscos tecnológicos. A discussão destes tópicos nas reuniões de administração pode durar 30 minutos a duas horas. "Os conselhos de administração despendem não só uma quantidade significativa de tempo com os desafios da cibersegurança e formas de enfrentar as ameaças cibernéticas, como criam comissões para lidar especificamente com essas questões".Por sua vez um inquérito da Deloitte de julho de 2020 acentuava que a cibersegurança vira aumentar o seu peso em 2020 nos orçamentos de tecnologia em cerca de 0,48% da receita da empresa, em média, acima de 0,34% no ano anterior. Refere-se ainda que uma das razões para este aumento do orçamento da cibersegurança tinha a ver com o incremento da pressão sobre as administrações e as equipas executivas. Acrescenta que o empenhamento da gestão de topo não se limitava às áreas estratégicas ou operacionais. As tecnologias de segurança passaram a ocupar um lugar mais destacado na agenda indiciando que a gestão de topo está interessada em compreender tanto os aspetos técnicos, como as funções e responsabilidades da segurança cibernética.Como afirma Frederico Macias, partner da Deloitte, "essa preocupação não é de hoje, mas tem tido um interesse crescente. O setor financeiro foi dos pioneiros a atuar nesta matéria". Os motivos são vários. "Em primeiro lugar porque foi dos primeiros setores a ser largamente fustigado por este tipo de ataques, uma vez que os seus ativos são bastante apetecíveis para os atacantes, e em segundo, porque a regulamentação amadureceu mais rapidamente do que nos restantes setores, com a criação de várias iniciativas regulatórias por parte do Banco Central Europeu ou de linhas orientadoras da Autoridade Bancária Europeia. Esta tendência obrigou, naturalmente, as instituições financeiras a adotarem medidas de controlo bastante mais cedo do que na generalidade dos restantes setores", concluiu.Nuno Sousa, Vertical Lead de Financial Services na Claranet Portugal, confirma que os temas da cibersegurança estão na lista das prioridades das administrações das instituições Financeiras. Mas alerta que "além do investimento em infraestruturas de segurança há também necessidade de investir na formação dos seus utilizadores, bem como em soluções que, preventivamente, detetem possíveis ataques. O que muitas vezes é verdade hoje pode não ser aplicável no dia de amanhã; isto porque existe um dinamismo acelerado no surgimento de novos tipos de ameaças cibernéticas. A sofisticação e a profissionalização que temos verificado, nomeadamente, o ataque direcionado a um indivíduo, reforçam o propósito de ter uma abordagem cada vez mais preventiva".