No âmbito do reforço da estabilidade financeira e da resiliência do sistema bancário nacional, o Banco de Moçambique (BM) oficializou, a 14 de janeiro de 2026, um novo protocolo de comunicação para incidentes tecnológicos e cibernéticos. Através da Circular N.º 01/EFI/2026, a autoridade monetária exige que todas as instituições de crédito e sociedades financeiras passem a detalhar vulnerabilidades e ataques com um rigor sem precedentes, estabelecendo um cronograma de reporte que se inicia apenas 24 horas após a detecção de qualquer anomalia.
A Estrutura do Rigor: O Ciclo de Reporte
A nova regulamentação, assinada pela Administradora Maria Esperança Majimeja, determina que a comunicação de incidentes não seja um ato isolado, mas um processo contínuo de transparência. O modelo de reporte, estruturado no Anexo I da circular, define três fases críticas de acompanhamento: o Relatório Preliminar, que deve ser remetido em até 24 horas após a ocorrência; o Relatório Intermédio, com prazo de 10 dias úteis; e o Relatório Final, que encerra a investigação em 30 dias úteis.
Nas notas explicativas que acompanham o documento, o regulador é taxativo sobre a necessidade de precisão. O Banco de Moçambique determina que as instituições devem identificar não apenas a hora da ocorrência, mas o “vector de entrada do incidente”, que pode variar desde ataques baseados em identidade até falhas na infraestrutura de redes.
Tipologia das Ameaças: Do Erro de Sistema ao Crime Organizado
A circular detalha um catálogo exaustivo de eventos que obrigam à notificação. No campo dos incidentes tecnológicos, o foco reside em falhas de configuração, obsolescência de equipamento e interrupções na infraestrutura de comunicações. Já no domínio dos incidentes cibernéticos, o espectro é mais sombrio, abrangendo desde a propagação de códigos maliciosos como Worms, Trojans e Spyware, até tácticas complexas de engenharia social e phishing.
O Banco de Moçambique sublinha a importância de identificar a origem do ataque, questionando formalmente nos seus modelos: “Quem está a liderar a investigação do incidente?” e se houve o envolvimento de “Hackers”, “Agentes internos” ou mesmo “Autoridades policiais”. Esta exigência visa mapear se as instituições possuem planos de resposta e gestão de crises devidamente aprovados.
Impacto e Resiliência Financeira
Um dos pontos mais sensíveis da nova norma é a avaliação do impacto. As instituições são agora obrigadas a quantificar perdas financeiras directas e indirectas, utilizando métricas baseadas nos seus fundos próprios. O impacto na reputação também é escrutinado, com o BM a exigir informações sobre o “nível de visibilidade nacional ou internacional” do incidente e o volume de reclamações de clientes geradas pela interrupção de serviços.
Para garantir a fluidez desta comunicação, o Banco de Moçambique instrui que os modelos sejam remetidos através do Portal BSA (Banking Supervision Application). Em casos excepcionais de indisponibilidade técnica, o regulador abriu um canal directo via correio electrónico, reforçando que a prioridade é a manutenção do fluxo informativo.
O Horizonte de 2026
Com a entrada em vigor agendada para o dia 9 de Março de 2026, o sistema financeiro moçambicano entra numa nova era de vigilância. O objectivo final, conforme transparece na documentação técnica, é a criação de uma base de dados estatística agregada que permita ao regulador antecipar crises e mitigar riscos sistémicos.
A circular encerra com uma advertência implícita à responsabilidade da gestão de topo, exigindo que os relatórios sejam validados por membros do Conselho de Administração e responsáveis técnicos, garantindo que “a informação contida… está de acordo com o registo de incidentes ocorrido na instituição no período reportado”.
Analogia para compreensão: O novo sistema de reporte do Banco de Moçambique funciona como uma caixa-preta de aviação aplicada aos bancos: no momento em que surge uma “turbulência” tecnológica, o sistema não espera pelo fim da viagem para investigar; ele exige dados em tempo real para garantir que, se um banco vacilar, os outros possam ser alertados e o “espaço aéreo” financeiro permaneça seguro.
