Um levantamento feito pela empresa de gestão de riscos SecurityScorecard mostra que 96% das 100 maiores instituições financeiras da Europa foram afetadas por ao menos uma violação de segurança causada por terceiros no último ano. O dado representa um salto de 25% em relação ao relatório anterior, realizado há dois anos, quando o índice era de 78%.
Além disso, 97% das organizações foram atingidas por violações através de terceiros indiretos — ou seja, parceiros de seus parceiros —, também um crescimento em relação aos 84% verificados no estudo anterior. Já os ataques diretos caíram levemente, de 8% para 7%.
As descobertas surgem pouco depois da entrada em vigor da Lei de Resiliência Operacional Digital da União Europeia (DORA), em janeiro deste ano. A norma estabelece regras para resiliência cibernética, auditabilidade e responsabilidade compartilhada entre empresas do setor financeiro e fornecedores de tecnologia. Apesar disso, muitas instituições ainda não estavam preparadas para cumprir as exigências até o prazo de conformidade, em 17 de janeiro.
“A ameaça não está mais confinada ao perímetro. Ela se infiltra profundamente nas cadeias de suprimentos digitais”, alertou Corian Kennedy, gerente sênior da SecurityScorecard. “O crescimento de 25% nas violações de dados por terceiros é um chamado à ação. As instituições precisam evoluir de estratégias defensivas reativas para ações proativas.”
Um especialista em segurança de TI do setor bancário britânico, que preferiu manter o anonimato, confirmou o alerta: “Esperava que 100% fossem impactadas por falhas de terceiros. Os 4% que dizem não ter sido surpreendem ainda mais”.
A Suíça liderou a lista de incidentes, com média de 172 violações por empresa, seguida por Países Baixos (148) e Reino Unido (136).
A SecurityScorecard também revelou que apenas 10 grupos de cibercriminosos foram responsáveis por 44% dos incidentes globais. “Mesmo instituições consolidadas estão expostas a vulnerabilidades ocultas em ambientes digitais interconectados”, diz o relatório.
Entre as fintechs, o cenário é paradoxal: embora o setor apresente a melhor postura de segurança entre os avaliados, 41,8% das violações nas grandes empresas de tecnologia financeira tiveram origem em fornecedores terceirizados. Outros 18% vieram de terceiros indiretos, reforçando que mesmo ecossistemas robustos estão expostos a riscos externos.
