Jornal PT50

7 ago 2025 16:18

Economia

Destaques de Jornal PT50

Jornal PT50 · Economia · 7 ago 2025 16:42

Banco de Inglaterra baixa juros para 4%
Jornal PT50 · Economia · 7 ago 2025 16:18

Banco de Portugal reforça supervisão dos sistemas de pagamentos de retalho
Jornal PT50 · Economia · 7 ago 2025 15:43

Provisões dos maiores bancos britânicos subiram 82% na primeira metade de 2025, arrastados pelo HSBC

Ver mais notícias

Banco de Portugal reforça supervisão dos sistemas de pagamentos de retalho

Novas regras entraram em vigor nesta quinta-feira e obrigam à comunicação de incidentes severos, bem como a uma autoavaliação do modelo de gestão do ciber-risco.

Entraram em vigor nesta quinta-feira o Aviso n.º 5/2025 e a Instrução n.º 10/2025 do Banco de Portugal relativo ao reforço por parte do Banco de Portugal da supervisão dos sistemas de pagamentos que operam em Portugal. Depois de uma consulta pública que durou até 14 de maio, e que contou com seis contributos da Associação Portuguesa de Bancos (APB), o supervisor financeiro estabeleceu um conjunto de informações obrigatórias que estão sujeitas as entidades que exerçam atividade no âmbito dos sistemas de pagamentos.

Entre os vários deveres que constam naqueles documentos, destacam-se a necessidade dos operadores comunicarem ao banco central a existência de incidentes de carácter severo que afetem a atividade do sistema, sejam eles operacionais ou de segurança. Neste reporte, aqueles operadores devem discriminar o número de transações afetadas, o número de participantes afetados, a duração de interrupção do serviço, a falha de segurança de rede ou de sistemas de informação, bem como o encaminhamento que foi feito para instâncias superiores internas.

Para além disso, é também necessário comunicar o impacto reputacional do incidente detectado e se o mesmo ocorreu noutras infraestruturas do mercado financeiro.

Segundo as novas instruções do Banco de Portugal estas comunicações têm que ser realizadas até quatro horas após a classificação do incidente como tendo carácter severo, seguidas de um relatório intermédio quando as atividades regulares e o serviço tiverem voltado à normalidade ou até três dias úteis após o relatório inicial, acabando ainda num relatório final (ou reclassificação de incidente como não tendo carácter severo) até vinte dias úteis após o serviço voltar à normalidade (ou o incidente deixar de verificar os critérios de incidente de carácter severo).

O Banco de Portugal passa a realizar uma avaliação da ciber-resiliência dos sistemas de pagamentos de retalho sempre que um sistema entre em funcionamento pela primeira vez e, posteriormente, caso existam alterações relevantes. No âmbito desta avaliação, as entidades que operem ou processem sistemas de pagamentos de retalho deverão enviar ao supervisor os seguintes elementos: informação de carácter geral, incluindo, descrição do sistema, dados sobre a utilização do sistema, em valor e volume de transações e número de participantes, manuais de funcionamento e de comunicação.

São também obrigadas a realizar uma “autoavaliação, com evidência documental específica, sobre as seguintes dimensões; modelo de gestão do ciber-risco, identificação das operações críticas e ativos de informação que devem ser protegidos, mecanismos de proteção, mecanismos de deteção de ameaças ou incidentes, procedimentos de resposta, retoma e recuperação, incluindo plano de continuidade de negócio”.