Giganți precum Microsoft sau Amazon vor răspunde în fața Băncii Naționale dacă serviciile lor cloud, folosite de bănci, pică. Aceasta este una dintre consecințele directe ale unei ordonanțe de urgență adoptate ieri de Guvern, care pune în mâinile BNR și ASF supravegherea totală a riscurilor cibernetice din sectorul financiar. Miza este uriașă: siguranța banilor și a datelor personale ale fiecărui client. Iată ce se schimbă, de la aplicația de mobil banking până la contractele cu furnizorii de tehnologie.
BNR și ASF, noii jandarmi digitali
Guvernul a oficializat joi, 5 martie 2026, o mișcare așteptată de peste un an în sectorul financiar. Printr-o Ordonanță de Urgență, Banca Națională a României (BNR) și Autoritatea de Supraveghere Financiară (ASF) au fost desemnate autorități competente pentru aplicarea unui regulament european care schimbă fundamental regulile jocului în materie de securitate digitală. Actul normativ consolidează mandatele celor două instituții, permițându-le să verifice și să sancționeze modul în care băncile, asigurătorii sau fondurile de pensii gestionează riscurile informatice.
Practic, orice entitate care gestionează banii românilor intră sub această nouă umbrelă de supraveghere. Lista este lungă și include instituții de credit, societăți de asigurare și reasigurare, administratori de fonduri de pensii, firme de investiții, instituții de plată și chiar furnizori de servicii de informare cu privire la conturi. Scopul declarat este creșterea rezistenței la atacuri și remedierea rapidă a oricăror breșe de securitate.
De la problemă IT la strategie de business
Decizia Guvernului nu vine din senin. Ea pune în aplicare la nivel național Regulamentul european DORA (Digital Operational Resilience Act), care a intrat în vigoare în toată Uniunea Europeană încă din 17 ianuarie 2025. De mai bine de un an, instituțiile financiare au avut timp să se pregătească pentru o schimbare majoră de mentalitate. DORA mută riscul cibernetic din departamentul tehnic direct în ședința consiliului de administrație.
Până acum, un atac cibernetic era văzut ca o problemă tehnică, izolată. Acum, capacitatea unei bănci de a gestiona un astfel de risc devine un indicator de guvernanță la fel de important ca solvabilitatea sau lichiditatea. Pentru investitori și autorități, o bancă vulnerabilă digital este o bancă instabilă financiar. Conformitatea cu DORA nu mai este un simplu proiect IT, ci un program integrat de guvernanță digitală, cu impact direct asupra continuității afacerii și încrederii clienților.
Giganții tech, chemați la raport
Poate cea mai importantă noutate adusă de DORA, și implicit de noua putere a BNR și ASF, este supravegherea furnizorilor terți critici. Ce înseamnă asta? Majoritatea băncilor și instituțiilor financiare nu își țin toate datele pe servere proprii, ci folosesc infrastructura cloud a unor giganți precum Amazon Web Services, Microsoft sau Google Cloud. O defecțiune la unul dintre acești furnizori ar putea paraliza simultan sistemul de plăți, tranzacționarea la bursă și operațiunile a zeci de bănci.
Pentru prima dată, acești giganți tech pot fi supravegheați direct de autoritățile financiare europene, și implicit de cele naționale. BNR și ASF vor putea cere audituri, teste de penetrare și strategii clare de exit, pentru a se asigura că o bancă nu este captivă unui singur furnizor. Dependența de infrastructuri globale este văzută acum ca un risc sistemic, iar noua legislație încearcă să reducă această vulnerabilitate structurală.
Ce înseamnă pentru clientul de rând
Toate aceste discuții tehnice și legislative au un impact direct asupra oricărei persoane cu un cont bancar, o asigurare sau o pensie privată. Beneficiile pentru client sunt concrete, chiar dacă nu imediat vizibile.
1. Protecție sporită a banilor și datelor. Băncile sunt obligate să investească mai mult în sisteme de monitorizare și să implementeze cadre avansate de testare, inclusiv simulări de atacuri cibernetice (Threat-Led Penetration Testing). Asta înseamnă că sistemele lor devin, teoretic, mai greu de penetrat de către hackeri.
2. Transparență în caz de incident. Regulamentul DORA obligă instituțiile financiare să raporteze autorităților orice „incident major”. Mai mult, dacă incidentul are un efect mare asupra clienților, banca sau asigurătorul trebuie să notifice direct persoanele afectate. S-a terminat cu incidentele ascunse sub preș. Datele preliminare de la nivel european, colectate în 2025, arată deja o creștere a numărului de raportări, de la atacuri ransomware și breșe de date, până la indisponibilitatea serviciilor externalizate în cloud.
3. Mai puține întreruperi ale serviciilor. Când aplicația de mobile banking nu funcționează în ziua de salariu sau când nu poți face o plată online, frustrarea este maximă. DORA impune planuri clare de continuitate a afacerii și de recuperare în caz de dezastru. Obiectivul este ca, în cazul unui incident, serviciile esențiale să fie repuse în funcțiune cât mai rapid posibil, minimizând impactul asupra clienților.
Pe termen scurt, aceste măsuri înseamnă costuri suplimentare pentru bănci și asigurători: tehnologie nouă, personal specializat, audituri. Pe termen lung, însă, o instituție care tratează reziliența digitală ca pe o investiție strategică devine mai sigură și mai credibilă. La finalul zilei, stabilitatea financiară, așa cum o arată și rapoartele Băncii Centrale Europene, depinde tot mai mult de stabilitatea digitală. Iar de acum, în România, BNR și ASF au toate pârghiile necesare pentru a o impune.
