O Banco de Moçambique emitiu a Circular 03/EFI/2025, obrigando todas as instituições financeiras a realizarem uma auto-avaliação anual de risco e resiliência cibernética. A medida reforça a supervisão prudencial, aumenta a responsabilização das administrações e integra o risco cibernético no quadro formal da estabilidade financeira.
O Banco de Moçambique introduziu um novo quadro de supervisão prudencial focado na segurança digital através da Circular n.º 03/EFI/2025, que obriga todas as instituições de crédito e sociedades financeiras a realizar, anualmente, uma auto-avaliação de risco e resiliência cibernética.
O documento, emitido a 19 de Novembro de 2025, surge num momento em que os ataques cibernéticos à escala global se tornam mais sofisticados e representam uma ameaça directa à confiança do público, integridade dos pagamentos e estabilidade financeira nacional.
A Circular determina que cada instituição deve preencher e submeter ao Banco de Moçambique um questionário de auto-avaliação que mede:
o nível de exposição ao risco cibernético;
a maturidade dos sistemas de defesa digital;
a capacidade de resposta e recuperação perante incidentes.
O exercício deverá avaliar domínios críticos como:
governação e liderança em cibersegurança;
controlo interno e gestão de políticas;
monitorização contínua;
resposta a incidentes;
recuperação de operações;
formação do pessoal;
infra-estruturas tecnológicas e vulnerabilidades técnicas.
A auto-avaliação torna-se obrigatória todos os anos entre Janeiro e Fevereiro, com reporte formal ao regulador, que analisará os resultados no âmbito da supervisão de estabilidade financeira.
A Circular estabelece que os conselhos de administração passam a ter responsabilidade directa sobre:
validação do exercício de auto-avaliação;
implementação de medidas de mitigação;
integração dos riscos identificados nos planos de gestão.
O documento enfatiza a exigência de:
planos formais de prevenção e reacção;
mecanismos robustos de recuperação de desastres;
procedimentos de gestão de crises;
políticas de continuidade de negócios proporcionais ao nível de risco.
O objectivo é elevar a disciplina interna, reduzir vulnerabilidades estruturais e institucionalizar uma cultura de segurança digital em todo o sector financeiro.
Os anexos técnicos apresentam matrizes padronizadas para avaliar:
probabilidade de ocorrência de incidentes,
impacto potencial nas operações, clientes e estabilidade financeira,
nível de risco residual após aplicação dos controlos existentes.
As instituições deverão classificar os riscos entre “baixo” e “crítico”, o que orientará investimentos, prioridades de mitigação e decisões de reforço operacional.
O Banco de Moçambique recorda que o sector financeiro nacional se encontra num processo acelerado de digitalização, o que aumenta a superfície de ataque e a necessidade de coordenação entre instituições e regulador.
Ataques cibernéticos representam, segundo o regulador, uma ameaça directa à:
confiança dos utilizadores;
integridade dos sistemas de pagamento;
protecção de dados financeiros sensíveis;
estabilidade do sistema bancário.
A Circular afirma que o exercício anual de auto-avaliação contribuirá para:
reforçar a resiliência operacional do sector;
prevenir interrupções nos serviços;
proteger dados e contas dos clientes;
melhorar a coordenação entre instituições e o supervisor.
Com esta medida, o Banco de Moçambique dá um passo decisivo na integração formal do risco cibernético no quadro de supervisão prudencial, alinhando o país às melhores práticas internacionais em segurança financeira.
Segundo o documento, todas as informações e evidências que fundamentam a auto-avaliação devem ser submetidas ao Departamento de Supervisão Prudencial dentro dos prazos estipulados, reforçando a disciplina regulatória e a capacidade de resposta do sector.
