*Autor: Eirik Salmi, Analista de Sistemas na **Passwork*** **Quando um agente de ameaças entra em sua rede usando um nome de usuário e senha legítimos, qual controle o impede?** Para a maioria das instituições financeiras, a resposta honesta é: nada o detecta imediatamente. O atacante se parece com um usuário autorizado. Eles se movem lateralmente, escalam privilégios e mapeiam sistemas críticos por uma média de 186 dias antes que a violação seja sequer identificada — e mais 55 dias para contê-la — de acordo com o [Relatório de Custo de Violação de Dados](https://www.ibm.com/reports/data-breach) da **IBM** (2025). Até lá, o dano operacional está feito, e o relógio regulatório já começou. Em 17 de janeiro de 2025, o [Regulamento de Resiliência Operacional Digital (DORA)](https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en) entrou em vigor em toda a UE. O Artigo 9 do regulamento torna a segurança de credenciais um controle de risco financeiro vinculativo, com consequências de supervisão para as instituições que falharem. A questão não é mais se sua postura de autenticação atende às melhores práticas. É se ela atende à lei — e se você pode provar isso. Este artigo traça os requisitos específicos do Artigo 9 que regem o gerenciamento de credenciais, explica por que uma senha comprometida é uma falha de resiliência operacional sob o framework do **DORA**, e descreve os controles práticos que fecham a lacuna. ## A ameaça que o DORA foi construído para combater Credenciais roubadas são o maior vetor de acesso inicial em 2025, respondendo por 22% de todas as violações de dados, de acordo com o [Relatório de Investigações de Violação de Dados](https://www.verizon.com/business/resources/reports/dbir/) da **Verizon**. Para instituições financeiras, o custo setorial específico dessa exposição é de uma média de US$ 5,56 milhões por incidente, de acordo com o Relatório de Custo de Violação de Dados da **IBM** — uma queda em relação aos US$ 6,08 milhões em 2024, mas ainda assim o segundo maior de qualquer setor globalmente. O lado da oferta do roubo de credenciais foi totalmente industrializado. Corretoras de Acesso Inicial vendem acesso verificado à rede corporativa por uma média de US$ 2.700, com 71% das listagens incluindo credenciais privilegiadas — acesso pré-embalado que não requer habilidade técnica para explorar, de acordo com pesquisas da **Rapid7**. Infostealers como **Lumma**, **RisePro**, **StealC**, **Vidar** e **RedLine** automatizam a coleta de credenciais em escala. Dados da **IBM** X-Force mostram que sua entrega via phishing aumentou 84% ano a ano em 2024, com dados de 2025 apontando para uma trajetória ainda mais acentuada. O Artigo 9 do **DORA** existe precisamente para interromper essa cadeia. O regulamento reflete uma ameaça documentada e contínua à continuidade operacional dos mercados financeiros europeus. ## O que o Artigo 9 do DORA realmente exige O [Artigo 9 do DORA](https://www.digital-operational-resilience-act.com/Article_9.html) — intitulado "Proteção e Prevenção" — está dentro do framework de gerenciamento de risco de TIC exigido pelo Artigo 6. Ele estabelece obrigações técnicas e procedimentais específicas que as entidades financeiras devem implementar. Duas disposições são diretamente relevantes para o gerenciamento de credenciais. * **Artigo 9(4)(c)** exige que as entidades financeiras "implementem políticas que limitem o acesso físico ou lógico aos ativos de informação e ativos de TIC ao que é necessário apenas para funções e atividades legítimas e aprovadas." Este é o princípio do menor privilégio, declarado como uma obrigação legal. * **Artigo 9(4)(d)** vai além, exigindo que as entidades "implementem políticas e protocolos para mecanismos de autenticação fortes, baseados em padrões relevantes e sistemas de controle dedicados, e medidas de proteção de chaves criptográficas pelas quais os dados são criptografados com base nos resultados de processos aprovados de classificação de dados e avaliação de risco de TIC." Desempacotando essa linguagem em termos operacionais: MFA é obrigatório. A referência a "padrões relevantes" aponta diretamente para FIDO2/WebAuthn — o padrão de autenticação mais amplamente implantado atualmente resistente a kits de phishing Adversary-in-the-Middle (AiTM), que podem contornar MFA baseado em SMS e TOTP em tempo real. O gerenciamento de chaves criptográficas é um requisito regulatório. Ferramentas de gerenciamento de acesso privilegiado (PAM) não são nomeadas explicitamente no regulamento — mas os controles que elas entregam mapeiam diretamente para os requisitos do Artigo 9. Gravação de sessão, provisionamento de acesso just-in-time (JIT) e cofre de credenciais privilegiadas são precisamente os "sistemas de controle dedicados" que o regulamento descreve. Instituições que não implementaram esses controles enfrentam uma lacuna de conformidade sobre a qual os supervisores podem agir. A Autoridade Bancária Europeia (**EBA**) e os Padrões Técnicos Regulatórios da **ESMA** sob o **DORA** fornecem especificidade adicional sobre os requisitos de gerenciamento de risco de TIC, reforçando a linha de base do Artigo 9 com orientação de implementação setorial. ## Comprometimento de credenciais como falha de resiliência operacional O propósito declarado do **DORA** é garantir que as entidades financeiras possam resistir, responder e se recuperar de interrupções de TIC. Um comprometimento de credenciais parece totalmente diferente sob essa ótica do que sob uma ótica de incidente de segurança. Com um tempo médio de permanência de 186 dias, uma credencial comprometida não produz um evento de segurança discreto. Ela produz uma ameaça sustentada e invisível à continuidade operacional — um atacante se movendo lateralmente, escalando privilégios e mapeando sistemas críticos enquanto aparece como um usuário legítimo. É uma ameaça direta à continuidade operacional que o **DORA** foi projetado para proteger. A violação do [registro nacional de bancos da França](https://www.bleepingcomputer.com/news/security/data-breach-at-french-bank-registry-impacts-12-million-accounts/) em janeiro de 2026 tornou a mecânica concreta. Um agente de ameaças obteve as credenciais de um único funcionário público com acesso ao Ficoba — o banco de dados interministerial que contém registros de todas as contas bancárias abertas na França. Usando apenas essa conta, o atacante acessou e extraiu dados de 1,2 milhão de contas bancárias, incluindo IBANs, nomes e endereços dos titulares das contas e números de identificação fiscal. O sistema afetado foi retirado do ar, as operações no registro foram interrompidas e o incidente foi relatado à autoridade de proteção de dados da França, a **CNIL**. O ataque não exigiu sofisticação técnica. Sob o **DORA**, um incidente dessa escala em uma entidade financeira acionaria obrigações de notificação obrigatória sob o Artigo 19 — uma notificação inicial dentro de 4 horas após a classificação (e não mais de 24 horas após a detecção), um relatório intermediário dentro de 72 horas e um relatório final dentro de um mês. ## A dimensão de terceiros: Credenciais de fornecedores são suas credenciais O Capítulo V do **DORA** impõe obrigações explícitas às entidades financeiras em relação ao risco de terceiros de TIC. O perímetro de conformidade não para nos sistemas da própria instituição. A [violação do Santander](https://www.bleepingcomputer.com/news/security/snowflake-account-hacks-linked-to-santander-ticketmaster-breaches/) em maio de 2024 é o ponto de referência europeu. Atacantes usaram credenciais roubadas de funcionários da **Snowflake** para acessar um banco de dados contendo dados de clientes e funcionários na Espanha, Chile e Uruguai. As credenciais haviam sido coletadas meses antes por malware infostealer que infectou estações de trabalho de contratados. Nenhuma das contas **Snowflake** comprometidas tinha autenticação multifator habilitada. O ponto de entrada não estava dentro do **Santander**. Foi a postura de autenticação fraca de um fornecedor — e expôs dados pertencentes a um dos maiores bancos da Europa sem que um único exploit fosse escrito. Sob o **DORA**, uma instituição financeira cujo provedor crítico de TIC sofre uma violação baseada em credenciais enfrenta exposição regulatória direta. As instituições devem exigir contratualmente padrões de autenticação equivalentes de seus fornecedores e auditar a conformidade com esses requisitos. A lacuna na política de senhas de um fornecedor não é apenas um problema do fornecedor — é uma responsabilidade regulatória da entidade financeira. ## Construindo um gerenciamento de credenciais em conformidade com o DORA Atender aos requisitos do Artigo 9 exige um programa estruturado em quatro áreas. * **Implante MFA resistente a phishing primeiro.** Autenticação baseada em FIDO2/WebAuthn — chaves de segurança de hardware, passkeys, autenticadores de plataforma. Senhas únicas baseadas em SMS e TOTP não são adequadas contra as técnicas de ataque atuais. Exija MFA resistente a phishing para todos os usuários, com rigor especial em contas privilegiadas e caminhos de acesso remoto. * **Aplique o princípio do menor privilégio.** Provisionamento JIT — conceder acesso elevado apenas pela duração de uma tarefa específica — elimina os privilégios permanentes que tornam o roubo de credenciais tão prejudicial. Desative contas imediatamente após o desligamento. Contas inativas estão entre os vetores de ataque mais comuns e evitáveis. * **Cofre todas as credenciais.** Senhas de contas de serviço, chaves de API e credenciais privilegiadas devem ser armazenadas em um cofre de credenciais criptografado e com controle de acesso. O gerenciamento manual de credenciais em escala é operacionalmente inviável e não produz trilha de auditoria. Um gerenciador de senhas corporativo