DORA em Vigor: O Que Muda para os 22.000 Bancos e Fintechs Europeus a Partir de Janeiro de 2025

O Digital Operational Resilience Act (DORA, Regulamento EU 2022/2554) entrou em aplicação em 17 de janeiro de 2025, encerrando um período de preparação de dois anos. O regulamento harmoniza requisitos de resiliência digital para aproximadamente 22.000 entidades financeiras na União Europeia: bancos, seguradoras, resseguradoras, corretoras, instituições de pagamento e de moeda eletrônica, empresas de investimento e provedores de ativos cripto.

O alcance não se limita a instituições tradicionais. Fintechs em estágio inicial que operam como plataformas de pagamento, crédito digital, seguros digitais ou exchanges de criptoativos se enquadram nas mesmas categorias e enfrentam as mesmas obrigações que os grandes bancos. Não há isenção por tamanho.

Os Cinco Pilares

Gestão de risco de TIC: exige que as entidades mantenham frameworks documentados de gestão de risco tecnológico com governança clara, aprovados pelo conselho de administração. Não é suficiente ter um CISO; é necessário demonstrar que o conselho supervisiona ativamente as decisões de risco cibernético.

Resposta e reporte de incidentes: incidentes graves de TIC devem ser reportados ao regulador dentro de prazos definidos, com notificação inicial em 4 horas, relatório intermediário em 72 horas e relatório final em um mês.

Gestão de risco de terceiros: as entidades são responsáveis pelos riscos introduzidos por seus fornecedores de tecnologia, especialmente provedores de cloud. Contratos com fornecedores críticos devem incluir cláusulas específicas de auditoria, continuidade de serviço e planos de saída.

Testes de resiliência: organizações acima de determinados limiares de relevância sistêmica devem conduzir Threat-Led Penetration Tests (TLPT) a cada três anos, usando metodologia TIBER-EU.

Compartilhamento de informações: o DORA incentiva formalmente o compartilhamento de inteligência de ameaças entre entidades financeiras, criando mecanismos legais que antes apresentavam ambiguidade regulatória em relação a dados sigilosos.

A Designação dos 19 Provedores Críticos

Em 18 de novembro de 2025, as Autoridades de Supervisão Europeias designaram 19 provedores de serviços de TIC como críticos sob o DORA, incluindo AWS, Microsoft Azure e Google Cloud. Essa designação significa que esses provedores estão sujeitos a inspeções diretas pelos reguladores europeus, independentemente de onde estão domiciliados. É a primeira vez que reguladores financeiros europeus obtêm autoridade formal de supervisão direta sobre infraestrutura de cloud americana.

As Penalidades

Entidades financeiras que descumprirem o DORA podem ser multadas em até 2% do faturamento mundial anual. Para provedores de TIC designados como críticos, as penalidades chegam a 1% do faturamento médio diário mundial por dia de incumprimento.

O Que Ainda Está em Aberto

A implementação prática revelou ambiguidades. A interpretação de "incidente grave" para fins de reporte, os critérios exatos de aplicação dos testes TLPT para entidades intermediárias e a forma de tratar dependências de sub-contratação em cadeias de fornecimento tecnológico complexas ainda estão sendo clarificadas pelas autoridades nacionais competentes.