O Banco de Moçambique (BM) lançou um novo mecanismo obrigatório de reporte de incidentes tecnológicos e cibernéticos, destinado a reforçar a segurança do sistema financeiro e proteger os mais de 4,8 milhões de utilizadores de serviços bancários em Moçambique. A medida consta do Aviso n.º 8/GBM/2025, publicado no Boletim da República de 9 de Dezembro de 2025, e estabelece regras vinculativas para todas as instituições de crédito e sociedades financeiras.
O enquadramento regula, pela primeira vez, como, quando e que tipo de incidentes devem ser comunicados ao regulador, criando um sistema formal de monitorização e resposta que alinha Moçambique às melhores práticas internacionais de cibersegurança no sector financeiro.
Incidentes deverão ser comunicados ao Banco de Moçambique em menos de 24 horas
O Aviso define que todas as instituições financeiras ficam obrigadas a reportar ao Banco de Moçambique quaisquer incidentes com impacto na continuidade de serviços, integridade de dados, indisponibilidade de sistemas, ataques cibernéticos ou falhas operacionais.
De acordo com o Artigo 6, o reporte preliminar deve ser feito:
Até 24 horas após a detecção do incidente, ou
De imediato, caso se trate de um evento crítico que afecte operações essenciais.
O reporte final deve ser entregue após a resolução total da ocorrência, detalhando causas, medidas correctivas e planos de mitigação.
O Aviso apresenta uma classificação detalhada de incidentes tecnológicos e cibernéticos. Entre os tipos mencionados (Anexo 1 e Anexo 2) incluem-se:
Ataques de malware, ransomware e DDoS;
Quebras ou interrupções de sistemas críticos;
Erros de software ou actualizações mal-sucedidas;
Acesso não autorizado a contas, dados ou infra-estruturas;
Falhas em equipamentos, redes e servidores;
Vulnerabilidades detectadas que possam comprometer segurança;
Eventos de engenharia social, como phishing.
Cada incidente será classificado como alto, médio ou baixo impacto, considerando efeitos financeiros, reputacionais e operacionais.
Instituições ficam obrigadas a manter sistemas de monitorização activa
O novo regime determina que todas as instituições devem adoptar:
Planos internos de gestão de incidentes,
Equipes dedicadas à resposta a ciber-ameaças,
Procedimentos de contenção e comunicação imediata,
Sistemas de registo e auditoria.
O Banco de Moçambique reforça que estas medidas são essenciais para garantir a resiliência do sistema financeiro e prevenir riscos sistémicos.
Com a crescente digitalização, incluindo mobile banking, internet banking, POS e pagamentos instantâneos, o sector financeiro tornou-se mais vulnerável a ataques e falhas tecnológicas.
O novo regulamento surge para:
Melhorar a capacidade de resposta das instituições,
Proteger serviços críticos,
Evitar interrupções que afectem transacções e saldos,
Reforçar a confiança dos utilizadores no sistema bancário,
Garantir continuidade operacional mesmo perante incidentes graves.
Medida é marco na supervisão tecnológica
Com a entrada em vigor deste Aviso, Moçambique passa a integrar o grupo de países africanos com sistemas formais de reporte de incidentes, aproximando-se dos padrões da União Europeia, Reino Unido e Singapura em matéria de supervisão tecnológica no sector financeiro.
As instituições devem iniciar imediatamente a conformidade regulatória, dado que o Aviso entrou em vigor no dia da sua publicação, 9 de Dezembro de 2025.
