O surgimento da Diretiva relativa à resiliência das entidades críticas (Critical Entities Resilience Directive, CERD) e da lei neerlandesa sobre a resiliência das entidades críticas (Wet weerbaarheid kritieke entiteiten, Wwke) assinala uma profunda reconfiguração do pensamento jurídico em matéria de proteção, continuidade e responsabilidade de governação nos setores vitais e críticos. Onde os modelos anteriores de proteção estavam, em larga medida, orientados para normas de segurança setoriais, obrigações de proteção técnica e intervenções desencadeadas por incidentes, este novo quadro normativo reflete um deslocamento muito mais fundamental. O centro da análise já não reside apenas na questão de saber como prevenir riscos isolados ou como conter os danos após uma perturbação, mas, em muito maior medida, na questão de saber como assegurar, de forma duradoura, a prestação de serviços essenciais em condições de desorganização, pressão híbrida, tensão geopolítica, influência económica, sabotagem, infiltração e interrupção das cadeias de abastecimento. Esta distinção é decisiva. Implica que a apreciação jurídica das entidades críticas já não se realiza principalmente à luz de obrigações de conformidade rigidamente delimitadas, mas por referência ao critério muito mais exigente da resiliência estrutural. Dentro desse critério, a governação, a identificação dos riscos, o controlo das cadeias de abastecimento, o exame das estruturas de propriedade, as dependências operacionais, as estruturas de investimento, as relações com terceiros e a preparação para crises ficam reunidos numa única lógica analítica coerente. Daí resulta um campo normativo em que a proteção das infraestruturas críticas e dos serviços essenciais já não pode ser entendida como um conjunto de obrigações técnicas ou administrativas separadas, mas como um complexo de exigências de direito público e de organização que incide diretamente sobre a estabilidade da ordem social e económica.
Para a gestão integrada dos riscos de criminalidade financeira, esta evolução reveste uma importância verdadeiramente excecional, na medida em que o novo quadro de resiliência ultrapassa os limites tradicionais do governo da integridade. A criminalidade financeira, os abusos económico-financeiros e as relações opacas relativas a fluxos monetários e controlo já não são entendidos exclusivamente como riscos suscetíveis de dar origem a sanções administrativas, multas, danos reputacionais ou exposição penal. Passam, pelo contrário, a ser lidos como fatores capazes de afetar materialmente a autonomia, a governabilidade, a fiabilidade na prestação dos serviços e a capacidade de restabelecimento das entidades críticas. Uma entidade pode, no papel, cumprir obrigações diferenciadas em matéria de combate ao branqueamento, observância de sanções, tratamento da fraude ou filtragem de fornecedores e, ainda assim, continuar a ser substancialmente vulnerável do ponto de vista da resiliência quando processos críticos dependam de sujeitos cuja estrutura de propriedade seja incerta, quando as linhas de financiamento permaneçam materialmente expostas à influência de fontes de risco, quando as cadeias contratuais deixem espaço a formas corruptoras ou dissimuladas de direção, ou quando a governação não permita um grau suficiente de visibilidade sobre a forma como uma pressão económico-financeira se traduz em enfraquecimento operacional. A Diretiva CER e a lei neerlandesa sobre a resiliência das entidades críticas introduzem, por conseguinte, um aprofundamento conceptual com consequências muito consideráveis para a gestão integrada dos riscos de criminalidade financeira. Já não é o incidente isolado que constitui o ponto central de referência. A questão decisiva passa a ser a de saber se uma contaminação económico-financeira, uma dependência estratégica ou uma erosão da integridade podem condicionar a continuidade de um serviço essencial até ao ponto de submeter a própria função crítica a pressão. Deste modo, a gestão integrada dos riscos de criminalidade financeira deixa de ser um domínio especializado de controlo para se tornar um elemento central da governação da resiliência, da robustez face às crises e da proteção da continuidade pública.
Do modelo de proteção setorial para uma arquitetura europeia de resiliência
O pensamento europeu e nacional anterior em matéria de proteção das infraestruturas vitais foi, durante muito tempo, essencialmente de natureza setorial. Essa abordagem obedecia a uma lógica própria, uma vez que os riscos eram tradicionalmente ordenados em função do tipo de infraestrutura afetada, da natureza do serviço em causa e da estrutura da supervisão administrativa. A energia, os transportes, as telecomunicações, a água potável, a saúde e as infraestruturas financeiras eram assim tratados, em larga medida, como universos regulatórios distintos, cada um com as suas próprias normas, as suas próprias autoridades de supervisão e os seus próprios instrumentos. Esta estrutura era administrativamente inteligível, mas padecia de uma limitação importante: apenas correspondia de forma parcial à interdependência real das funções críticas modernas. Os serviços essenciais já não são prestados dentro de silos institucionais fechados. Funcionam através de redes digitais, cadeias internacionais de abastecimento, fluxos transfronteiriços de capital, complexos acordos de manutenção, relações com prestadores de serviços de computação em nuvem, dependências contratuais, estruturas de externalização e modelos organizativos híbridos público-privados. Numa realidade deste tipo, a vulnerabilidade raramente surge no interior de um único compartimento setorial. A desorganização manifesta-se cada vez mais nos pontos de interseção: entre infraestruturas físicas e digitais, entre financiamento e governação, entre logística e pressão geopolítica, entre contratos de manutenção e exposição a sanções, bem como entre dependência operacional e influência económica. A passagem de um modelo de proteção setorial para uma arquitetura europeia de resiliência deve, por conseguinte, ser entendida como uma resposta à insuficiência estrutural de modelos fragmentados numa época em que as perturbações são multidimensionais, transfronteiriças e mutuamente reforçadas.
Neste contexto, a arquitetura europeia de resiliência visa estabelecer um quadro coerente em que os Estados-Membros, as autoridades competentes e as entidades críticas já não possam limitar-se a reagir a ameaças que já se tornaram manifestas, mas fiquem sistematicamente obrigados a identificar antecipadamente as vulnerabilidades, avaliar a sua relevância sistémica e ancorar a proteção da continuidade ao nível organizacional. A própria noção de “arquitetura” é aqui essencial. Não designa apenas uma nova lei ou um regime adicional de supervisão, mas um projeto normativo em que diferentes categorias de riscos e distintos níveis de governação são colocados em relação recíproca. Nesse esquema, a entidade crítica deixa de ser apenas o objeto de proteção e passa também a ser titular de uma responsabilidade própria consistente em analisar os riscos, adotar medidas, absorver os incidentes e manter, sob pressão, a prestação de serviços essenciais. A dimensão europeia acentua ainda mais este efeito, na medida em que introduz uma estrutura mínima de conceitos, obrigações e quadros de avaliação comuns, tornando as abordagens nacionais menos discricionárias. Daí resulta uma transição de uma proteção ad hoc para uma organização sistémica da resiliência. Dentro dessa organização, a prevenção, a preparação, a governação, a interdependência e a capacidade de restabelecimento deixam de ser tratadas como temas periféricos para passarem a constituir condições centrais da legitimidade e da fiabilidade das organizações que desempenham funções vitais.
Para a gestão integrada dos riscos de criminalidade financeira, esta transição significa que a integridade financeira e económica já não pode ser relegada para fora do debate sobre a resiliência. Num modelo setorial, ainda era relativamente simples delimitar o controlo da integridade como uma função de conformidade encarregada de velar pela observância das normas contra o branqueamento, do direito das sanções, dos indicadores de fraude ou de determinadas obrigações de notificação. Numa arquitetura europeia de resiliência, essa delimitação torna-se muito mais difícil de sustentar. A partir do momento em que a prestação de um serviço essencial depende de estruturas de financiamento, esquemas de propriedade, empresas comuns, fornecedores, subfornecedores, parceiros de software, financiadores ou investidores estrangeiros, a influência económico-financeira converte-se num elemento da análise da vulnerabilidade estrutural. Daí decorre que a gestão integrada dos riscos de criminalidade financeira já não pode limitar-se à supervisão das transações ou à análise do risco caso a caso, mas deve ligar-se à análise da governação, ao rastreio das cadeias de abastecimento, ao exame dos beneficiários efetivos, à sensibilidade dos terceiros em relação às sanções, aos mecanismos contratuais de escalada e aos cenários de pressão operacional exercida através de meios económicos. A evolução para uma arquitetura europeia de resiliência põe assim em evidência que a proteção das entidades críticas não depende apenas de vedações, firewalls e planos de crise, mas também da capacidade das relações económicas sobre as quais a entidade assenta para resistirem a abusos, à criação de dependências e à infiltração estratégica.
Finalidade e estrutura sistemática da Diretiva CER
A Diretiva CER não é, pela sua conceção, um instrumento técnico de pormenor, mas uma medida-quadro dotada de um marcado significado constitucional para o funcionamento dos serviços essenciais no seio da União. A sua finalidade não consiste simplesmente em elevar o nível de proteção de determinadas infraestruturas, mas em reforçar a resiliência das entidades que prestam serviços cuja interrupção pode provocar graves perturbações sociais, económicas ou administrativas. Em termos jurídicos, este objetivo é sensivelmente mais amplo do que a proteção clássica de infraestruturas. Não se trata nem exclusivamente da segurança das instalações nem simplesmente da proteção face a uma única categoria de ameaça, mas antes de uma abordagem integrada da perturbação, da vulnerabilidade e da continuidade. A Diretiva indica assim, com clareza, que a relevância de uma entidade deriva da função que desempenha para a sociedade e para a economia. O centro normativo desloca-se da proteção de ativos individuais para a salvaguarda de serviços, processos e funções essenciais para a estabilidade coletiva. Dentro desta estrutura, a continuidade da prestação torna-se um conceito jurídico central, e a questão de saber se uma entidade é suficientemente resiliente depende da sua capacidade para identificar os riscos, mitigá-los, gerir os incidentes e manter ou restabelecer atempadamente as funções operacionais sob pressão.
A estrutura sistemática da Diretiva CER está, por isso, deliberadamente construída em torno de um conjunto de responsabilidades recíprocas entre os Estados-Membros e as entidades críticas. Na perspetiva do Estado-Membro, a Diretiva exige uma estratégia nacional, uma avaliação nacional dos riscos, um mecanismo de identificação e designação das entidades críticas, bem como uma estrutura de supervisão proporcionada à gravidade dos interesses protegidos. Na perspetiva da entidade, o quadro impõe a avaliação dos riscos pertinentes, a adoção de medidas técnicas, de segurança e organizacionais adequadas, bem como a gestão de incidentes com impacto significativo dentro de uma lógica mais ampla de responsabilidade em matéria de resiliência. Esta estrutura multinível reveste grande importância, porque mostra que a resiliência não pode reduzir-se a uma questão puramente interna de empresas isoladas, do mesmo modo que também não pode ser transferida por completo para o Estado. O modelo é híbrido: a determinação pública das normas e a responsabilidade privada de aplicação ficam juridicamente articuladas entre si. Aí reside a força da Diretiva, mas também o seu peso administrativo. A Diretiva exige uma forma de alinhamento estrutural em que a análise pública da segurança, o conhecimento setorial, os processos empresariais, as dependências das cadeias de abastecimento e a realidade operacional ficam reunidos num único quadro de avaliação.
Do ponto de vista da gestão integrada dos riscos de criminalidade financeira, a amplitude sistemática da Diretiva CER apresenta uma relevância particular. A Diretiva não prescreve de forma exaustiva quais as categorias concretas de risco que devam, em qualquer hipótese, receber um tratamento idêntico, mas cria um quadro normativo no qual toda a ameaça pertinente para a prestação de serviços essenciais adquire relevância jurídica desde que seja suscetível de afetar a resiliência da entidade. Isso abre espaço, e muitas vezes também a necessidade, para integrar de forma muito mais explícita as ameaças económico-financeiras na análise da resiliência. Estruturas acionistas opacas, montagens de investimento manipuladoras, financiamentos sensíveis às sanções, corrupção nas aquisições, fraude em contratos de manutenção, dependências ocultas relativamente a terceiros economicamente arriscados e relações logísticas caracterizadas por uma sensibilidade acrescida em matéria de integridade não constituem, nesta lógica, questões acessórias. Fazem parte dos mecanismos reais através dos quais uma entidade crítica pode ser enfraquecida, orientada ou afetada na sua continuidade. O próprio objetivo da Diretiva CER, a saber, o reforço da resiliência efetiva das entidades críticas, implica, por conseguinte, que a gestão integrada dos riscos de criminalidade financeira não pode situar-se fora da estrutura sistemática da Diretiva. Pelo contrário, a Diretiva impõe uma leitura em que a integridade financeira se compreende como uma das condições estruturais do funcionamento fiável dos serviços essenciais.
As relações entre a CER, a NIS2 e a normativa mais ampla em matéria de segurança
As relações entre a Diretiva CER e a NIS2 mostram que o legislador europeu manifesta uma preferência cada vez mais explícita por uma legislação coerente em matéria de resiliência, em detrimento de regimes separados e isolados. Ambos os instrumentos prosseguem a proteção de funções essenciais e importantes, mas fazem-no a partir de perspetivas distintas. A Diretiva CER refere-se à resiliência mais ampla, física, organizacional e operacional das entidades críticas, ao passo que a NIS2 se centra sobretudo na cibersegurança, nas redes e sistemas de informação, bem como na governação dos riscos digitais. Essa distinção é funcional, mas não deve ser sobrevalorizada no plano analítico. No funcionamento real das entidades críticas, os riscos físicos, operacionais, digitais e económicos raramente permanecem nitidamente separados. Um fornecedor vulnerável com ligações sensíveis do ponto de vista sancionatório pode dispor simultaneamente de acesso a ambientes de gestão digital, a processos de manutenção física e a informação operacional de relevância estratégica. Um risco de fraude económico-financeira pode manifestar-se através das aquisições informáticas, da externalização de serviços de software críticos ou de uma dependência relativamente a sujeitos estrangeiros profundamente integrados na infraestrutura não apenas no plano económico, mas também no digital. Daí resulta um panorama normativo em que a CER e a NIS2 continuam a ser formalmente regimes distintos, ainda que materialmente se refiram à mesma realidade organizacional. As entidades críticas que continuem a abordar estes regimes de forma compartimentada correm o risco de que as vulnerabilidades mais graves permaneçam invisíveis precisamente nos pontos de ligação.
Esta configuração é, além disso, reforçada pela normativa mais ampla em matéria de segurança. A par da CER e da NIS2, existem, com efeito, quadros nacionais e europeus nos domínios das sanções, do controlo dos investimentos, da contratação pública, da proteção de dados, dos requisitos prudenciais setoriais, das obrigações de combate ao branqueamento, do controlo das exportações, da gestão de crises e da proteção da segurança nacional. O panorama jurídico não corresponde, portanto, a um simples dualismo entre resiliência física e resiliência digital, mas antes a um sistema estratificado de responsabilidades sobrepostas e de objetivos de proteção parcialmente convergentes. O principal desafio não reside apenas no cumprimento de cada um dos instrumentos considerados isoladamente, mas no desenvolvimento de um quadro interpretativo que permita a uma entidade determinar de que modo esses instrumentos definem conjuntamente a sua posição de resiliência. Não se trata, de forma alguma, de um exercício puramente teórico. Quando vários regimes captam, cada um, uma parte do mesmo risco, pode facilmente configurar-se uma situação em que exista conformidade formal no papel, enquanto o controlo substancial continua a ser insuficiente devido à fragmentação da informação, da propriedade e do processo decisório. Uma organização pode, por exemplo, dispor de uma política cibernética adequada, de procedimentos separados em matéria de sanções, de um código de fornecedores, de um quadro antifraude e de um plano de continuidade e, ainda assim, continuar insuficientemente informada acerca da forma como um terceiro economicamente arriscado exerce uma influência desproporcionada sobre um serviço essencial através de acesso digital, presença física e entrelaçamento contratual. As relações entre a CER, a NIS2 e a normativa mais ampla em matéria de segurança exigem, por isso, não apenas um conhecimento jurídico de regimes paralelos, mas, sobretudo, uma integração da governação.
Para a gestão integrada dos riscos de criminalidade financeira, daí decorre que esta função já não pode manter-se como um domínio ativado exclusivamente por ocasião de transações, alertas, investigações sobre clientes ou notificações de incidentes. Na lógica interligada da CER, da NIS2 e da normativa mais ampla em matéria de segurança, a gestão integrada dos riscos de criminalidade financeira deve situar-se como uma disciplina-ponte que ligue a integridade económica às vulnerabilidades operacionais, digitais e estratégicas. Isso exige uma leitura muito mais ampla do risco. Um risco sancionatório já não é, então, apenas uma questão de proibição jurídica, mas também uma questão de fiabilidade do abastecimento e de dependência sistémica. Um risco de corrupção na contratação ou nas aquisições não constitui apenas uma questão de governação e de exposição penal, mas também um risco para a qualidade, a fiabilidade e a capacidade de restabelecimento de um serviço vital. Uma estrutura de propriedade complexa relativa a um parceiro de software ou de manutenção não é relevante apenas numa perspetiva de conhecimento da contraparte, mas igualmente do ponto de vista de verificar se uma influência oculta, uma pressão económica ou um controlo opaco afetam um nó operacional crítico. O verdadeiro significado das relações entre a CER, a NIS2 e a normativa mais ampla em matéria de segurança reside, por conseguinte, na necessidade de uma estrutura integrada de governação e gestão do risco. Dentro dessa estrutura, a gestão integrada dos riscos de criminalidade financeira deve ocupar um lugar pleno e próprio como instrumento que permita traduzir uma contaminação económico-financeira em ameaças concretas para a continuidade dos serviços essenciais.
A aplicação neerlandesa através da Wwke
A aplicação neerlandesa da Diretiva CER mediante a lei sobre a resiliência das entidades críticas apresenta uma importância particular tanto no plano legislativo como no administrativo, pois optou-se por concentrar essa aplicação num único quadro legislativo central em vez de a dispersar por múltiplos regimes setoriais. Essa escolha não é de natureza puramente redacional ou codificadora. Exprime uma visão clara da resiliência como princípio global de governação e proteção. Ao situar a aplicação numa única lei central, torna-se manifesto que o interesse protegido não é, em primeiro lugar, setorial, mas antes respeita à manutenção dos serviços essenciais enquanto funções públicas e económicas. Esta técnica legislativa evita que a unidade normativa subjacente ao quadro europeu de resiliência se fragmente em minirregimes setoriais distintos, dotados de terminologias divergentes, de intensidades variáveis das obrigações e de uma visibilidade limitada das suas interdependências respetivas. A lei sobre a resiliência das entidades críticas permite, pelo contrário, partir de uma estrutura comum de designação, avaliação dos riscos, obrigações, supervisão e coordenação administrativa, dentro da qual as especificidades setoriais podem certamente ser tidas em consideração, mas sem prejuízo da lógica central da resiliência.
Esta centralização tem consequências importantes sobre a forma como as organizações devem ler e tornar operacionais as suas obrigações. Num modelo fragmentado, existe o risco de que as entidades considerem as obrigações de resiliência como exigências setoriais de conformidade suscetíveis de serem absorvidas pelos departamentos existentes sem uma refundação substancial da governação. Uma lei central torna esse reflexo muito mais difícil. Indica que não se trata de uma soma de obrigações administrativas, mas de um regime coerente de resiliência que se dirige à organização no seu conjunto. Isso tem implicações para a direção, a supervisão, os controlos internos, as linhas de escalada, as aquisições, a gestão de terceiros, a gestão de crises, as decisões de investimento e as dependências das cadeias de abastecimento. Além disso, os documentos explicativos neerlandeses clarificaram expressamente que as obrigações decorrentes da Diretiva CER só se aplicarão nos Países Baixos após a entrada em vigor da lei sobre a resiliência das entidades críticas e depois da designação de uma organização como entidade crítica. Esta clarificação reveste uma importância singular na perspetiva do Estado de direito, uma vez que proporciona certeza quanto ao momento em que determinadas obrigações concretas se tornam juridicamente vinculativas. Ainda assim, esta clareza temporal não atenua de modo algum a mensagem substantiva da normativa: as organizações potencialmente abrangidas fariam bem em submeter desde já a sua governação, a sua avaliação dos riscos e a sua arquitetura de integridade ao escrutínio deste regime, tendo em conta a amplitude das suas implicações organizacionais.
Para a gestão integrada dos riscos de criminalidade financeira, a escolha neerlandesa de uma única lei central de aplicação sublinha que a integridade financeira não pode ser colocada como uma função periférica de conformidade ao lado da exigência de resiliência, devendo antes integrar-se nela. No momento em que o legislador organiza a proteção das entidades críticas em torno de uma lógica global de resiliência, torna-se cada vez menos defensável sustentar que as estruturas de propriedade, as relações de capital, a exposição a sanções, a integridade dos fornecedores e a influência económico-financeira continuam a ser questões próprias exclusivamente de equipas especializadas separadas. A estrutura central da lei sobre a resiliência das entidades críticas aponta na direção de uma governação integrada. Isto significa que os órgãos de direção e as funções de controlo devem estar em condições de demonstrar não apenas a conformidade formal com regras específicas de integridade, mas também que os riscos económico-financeiros foram ligados de forma sistemática à avaliação dos processos críticos, dos ativos essenciais, das dependências operacionais e da robustez face às crises. Onde essa ligação falte, existe o risco de que uma entidade apareça juridicamente ordenada em expedientes diferenciados de conformidade e, ainda assim, continue materialmente exposta a perturbações suscetíveis, através de relações económicas ou de terceiros opacos, de esvaziar de conteúdo a continuidade de um serviço essencial. É precisamente a centralização legislativa neerlandesa que põe em evidência o caráter cada vez mais insustentável de uma tal separação entre conformidade e resiliência.
Âmbito de aplicação: que setores e que entidades são afetados
O âmbito de aplicação do quadro CER/Wwke é amplo e responde a uma decisão estratégica. Esta amplitude não constitui um efeito secundário acidental, mas a consequência direta da abordagem funcional que sustenta o regime. O que é decisivo não é a qualificação formal de uma organização como pública ou privada, grande ou pequena, comercial ou semipública, mas a questão de saber se a entidade em causa presta um serviço essencial cuja interrupção seja suscetível de produzir graves consequências sobre a estabilidade social, a saúde pública, a segurança pública, a continuidade económica ou a ordem administrativa. É por essa razão que o quadro abrange setores como a energia, os transportes, o setor bancário, as infraestruturas dos mercados financeiros, a saúde, a água potável, as águas residuais, a infraestrutura digital, os serviços públicos, a alimentação e o espaço. Esta amplitude setorial reflete o reconhecimento de que as dependências críticas não se limitam às infraestruturas tradicionalmente visíveis. Uma sociedade moderna depende em medida muito considerável de serviços que nem sempre são materialmente tangíveis e que, ainda assim, desempenham uma função de relevância sistémica. As infraestruturas dos mercados financeiros, o tratamento de dados, a coordenação logística, as funções públicas essenciais e determinadas cadeias industriais podem, em caso de interrupção, revelar-se tão desestabilizadores como os serviços públicos tradicionais. O âmbito de aplicação do quadro deve, por conseguinte, ser lido como uma expressão jurídica da dependência sistémica.
Dentro deste amplo perímetro setorial, contudo, nem todo o ator se converte automaticamente em entidade crítica. O centro normativo reside na identificação e designação das organizações cuja função, dimensão, posição na cadeia, importância geográfica, relevância de mercado ou grau de substituibilidade sejam tais que uma perturbação possa gerar consequências desproporcionadas. É precisamente essa seletividade que confere ao regime o seu refinamento jurídico. O quadro não se dirige a uma regulação económica geral, mas às entidades que desempenham um papel desproporcionado no funcionamento dos serviços essenciais. Isso significa que, na prática, a apreciação do âmbito de aplicação dependerá em grande medida do contexto: a posição da entidade dentro da cadeia, a disponibilidade de alternativas, o grau de concentração do mercado, a amplitude dos efeitos a jusante em caso de falha, a interconexão com outras funções críticas e as possibilidades de restabelecimento após uma perturbação. Para as organizações, isso acarreta uma consequência importante no plano da governação. A questão de saber se uma entidade é afetada não pode ser abordada exclusivamente mediante uma leitura formal das etiquetas setoriais, mas requer uma análise substantiva da função e da dependência. Nessa análise, até sujeitos que tradicionalmente não se consideravam vitais ou críticos podem ver-se confrontados com a realidade de que a sua posição operacional os situa, de facto, no coração dos serviços essenciais.
Para a gestão integrada dos riscos de criminalidade financeira, este âmbito de aplicação amplo mas seletivo acarreta consequências muito consideráveis. À medida que um número crescente de setores e de tipos de entidades entra no quadro de resiliência, aumenta também o número de contextos em que os riscos económico-financeiros devem ser lidos como questões de resiliência. No setor energético, as questões pertinentes podem referir-se a veículos de investimento, cadeias de abastecimento de combustíveis, prestadores de manutenção e fornecedores de componentes. No setor da saúde, podem afetar relações de aquisição, logística farmacêutica, sistemas digitais de cuidados e prestadores externos especializados. Nas infraestruturas dos mercados financeiros, a ênfase pode colocar-se na propriedade, na governação, nas relações de compensação, na externalização e nas conexões de mercado sensíveis às sanções. Nos transportes e na logística, as cadeias contratuais, a exploração de terminais, as plataformas digitais, as vulnerabilidades relacionadas com as alfândegas e a influência operacional estrangeira podem adquirir relevância. Uma amplitude desta natureza significa que a gestão integrada dos riscos de criminalidade financeira não pode apoiar-se num modelo uniforme de controlo desligado do papel funcional da entidade dentro do sistema. Exige uma análise sensível às especificidades setoriais, mas capaz de atravessar os diferentes quadros, na qual se preste atenção constante ao modo como a contaminação económico-financeira, o controlo opaco, a influência corruptora, a evasão às sanções ou as relações fraudulentas dentro das cadeias de abastecimento podem afetar a fiabilidade do serviço essencial em causa. O âmbito de aplicação do quadro CER/Wwke demonstra assim, com clareza, que a relevância da gestão integrada dos riscos de criminalidade financeira não se limita ao setor financeiro, mas se estende ao conjunto do domínio das funções críticas sociais e económicas.
Serviços essenciais, funções sociais e continuidade económica
O par conceptual formado pelos “serviços essenciais” e pelas “funções sociais” constitui o núcleo normativo do novo quadro de resiliência, porque nele se tornam visíveis os interesses que a Diretiva relativa à resiliência das entidades críticas e a Lei sobre a resiliência das entidades críticas pretendem, em última análise, proteger. Isto vai consideravelmente além da salvaguarda de interesses empresariais isolados ou da prevenção de falhas meramente técnicas. Neste quadro, os serviços essenciais adquirem relevância jurídica porque criam as condições necessárias ao funcionamento da sociedade no seu conjunto e à preservação da ordem económica, da segurança pública, da saúde pública, da continuidade administrativa e da estabilidade social. A própria noção de “essencial” adquire, assim, um caráter fundamentalmente relacional. Um serviço não é essencial apenas pela sua importância abstrata, mas pela cadeia de consequências que pode desencadear-se quando a sua prestação é estruturalmente perturbada. Em consequência disso, o olhar jurídico desloca-se da organização considerada isoladamente para o papel que esta desempenha no seio da rede mais ampla de dependências em que se inserem cidadãos, empresas, autoridades públicas e outras funções críticas. A interrupção de um serviço essencial raramente afeta apenas o destinatário imediato. Os seus efeitos propagam-se através de cadeias de confiança, disponibilidade, fluxos transacionais, logística, saúde, acesso a bens de primeira necessidade e capacidade de ação dos poderes públicos. É esta conceção mais ampla do sistema que explica por que razão a nova ordem de resiliência coloca a continuidade da prestação em primeiro plano, como norma cardinal.
A ligação entre funções sociais e continuidade económica aprofunda ainda mais esta análise. Em modelos de segurança mais antigos, existia por vezes a tendência para tratar a proteção social e a racionalidade económica como esferas distintas, situando a segurança e a continuidade sobretudo no domínio público, enquanto o mercado, a contratação e o financiamento eram remetidos para o domínio privado. O quadro CER/Wwke rompe com essa separação de forma principial. Nas economias modernas, as funções sociais são frequentemente asseguradas por estruturas privadas, híbridas ou fortemente externalizadas, de modo que a continuidade dos serviços vitais depende em larga medida de relações comerciais, decisões de investimento, modelos de aprovisionamento, estratégias de digitalização, disponibilidade de capital e organização das cadeias. A continuidade económica deixa, assim, de ser um mero interesse empresarial e passa a constituir um elemento constitutivo da resiliência pública. Quando a base económica de um serviço essencial se torna frágil em virtude de financiamentos arriscados, de dependência excessiva de fornecedores opacos, da concentração de processos críticos em terceiros vulneráveis ou de estruturas de governação insuficientemente resistentes a influências externas, não é apenas a empresa que fica sob pressão, mas também o interesse social que o próprio serviço corporiza. É por isso que o novo quadro não se satisfaz com a existência formal de processos e contratos, colocando no centro a questão de saber se a função crítica pode continuar a operar materialmente em condições de perturbação.
Para a gestão integrada dos riscos de criminalidade financeira, isto significa que a integridade financeira deve ser diretamente ligada à proteção das funções sociais e da continuidade económica. A partir do momento em que o objeto de proteção deixa de ser exclusivamente a própria organização e passa a ser o serviço essencial que ela presta, altera-se também o significado dos riscos económico-financeiros. Um fluxo de fundos fraudulento, uma relação contratual corruptiva, uma estrutura de controlo encoberta ou um nível intermédio sensível do ponto de vista das sanções deixam então de constituir apenas uma questão de integridade em sentido estrito e passam a representar uma potencial afetação da função social desempenhada pela entidade. Isto é particularmente verdadeiro quando tais riscos se situam em pontos em que a organização depende operacionalmente de terceiros, onde as alternativas de emergência são limitadas, onde a substituição é difícil ou onde a tomada de decisão tem de ser acelerada sob pressão. Em tais circunstâncias, a contaminação económico-financeira pode enfraquecer a continuidade económica da organização a tal ponto que o próprio serviço essencial fica comprometido. A gestão integrada dos riscos de criminalidade financeira deve, por isso, ser concebida com uma aguda consciência do impacto funcional. A questão relevante não é apenas saber se uma operação é suspeita, se uma relação se afasta de um perfil de conformidade ou se um fornecedor passou formalmente por um processo de seleção. A questão decisiva é saber se os riscos económico-financeiros são capazes de condicionar, enfraquecer ou interromper a função social da entidade. Deste modo, a gestão integrada dos riscos de criminalidade financeira torna-se parte inseparável do mandato jurídico e administrativo de proteger a continuidade social e económica.
Harmonização europeia versus margem nacional de execução
A Diretiva relativa à resiliência das entidades críticas encarna uma tensão clássica, embora particularmente aguda neste domínio, no seio do Direito da União: a tensão entre harmonização europeia, por um lado, e margem nacional de execução, por outro. A harmonização é necessária neste contexto, porque a vulnerabilidade das entidades críticas e dos serviços essenciais não pode ser contida dentro de fronteiras nacionais. Interligações energéticas, corredores de transporte, infraestruturas dos mercados financeiros, redes digitais, cadeias logísticas, ambientes de computação em nuvem e fluxos de investimento operam todos, em larga medida, através de fronteiras. Uma abordagem nacional profundamente divergente quanto às obrigações de resiliência enfraqueceria, por conseguinte, não só o mercado interno, mas também a segurança coletiva e a continuidade da União. É por essa razão que a Diretiva cria um quadro conceptual comum, um nível mínimo de obrigações e um dever estrutural para os Estados-Membros de identificar as entidades críticas e abordar a sua resiliência de forma sistemática. Esta harmonização europeia desempenha uma função clara. Impede que a resiliência dependa exclusivamente de preferências nacionais de política pública e pretende garantir que em todos os Estados-Membros exista uma arquitetura mínima de proteção para aquelas funções que frequentemente também revestem importância indireta para outros Estados-Membros.
Ao mesmo tempo, um espaço de execução nacional é inevitável e, em larga medida, desejável. As dependências críticas diferem, de facto, de um Estado-Membro para outro, tal como diferem a localização geográfica, a estrutura setorial, a organização institucional, a perceção das ameaças, o grau de concentração de determinados serviços e as arquiteturas de supervisão existentes. Um país com grandes nós marítimos, um país com uma economia fortemente digitalizada ou um país com uma infraestrutura energética excecionalmente concentrada colocará necessariamente ênfases distintas na identificação de entidades críticas e na operacionalização concreta da supervisão e das obrigações de resiliência. A margem nacional de execução permite precisamente ter em conta esses fatores contextuais sem abandonar o objetivo europeu subjacente. A tensão entre harmonização e margem de execução não constitui, por isso, apenas um problema institucional, mas um elemento essencial do próprio desenho da Diretiva. A verdadeira questão não é saber se estes dois polos coexistem, mas como devem ser ordenados de modo a produzir suficiente uniformidade para impor padrões comuns de resiliência, preservando ao mesmo tempo um grau adequado de flexibilidade para atender corretamente às realidades nacionais. Muito dependerá, na prática, precisamente desse ponto: das opções de técnica legislativa, das práticas de designação, da coordenação administrativa e do modo como a supervisão for materialmente configurada.
Para a gestão integrada dos riscos de criminalidade financeira, esta tensão reveste importância considerável. A harmonização europeia aumenta a pressão em favor de uma abordagem mais coerente e menos discricionária dos riscos económico-financeiros nos setores críticos. Uma vez que a proteção dos serviços essenciais é elevada a interesse comum do Direito da União, torna-se cada vez mais difícil permitir que o escrutínio das estruturas de propriedade, a sensibilidade às sanções, a integridade de terceiros ou a avaliação de dependências economicamente arriscadas sejam determinados apenas por culturas empresariais nacionais divergentes ou por hábitos setoriais particulares. Ao mesmo tempo, a margem nacional de execução implica que a configuração precisa da gestão integrada dos riscos de criminalidade financeira não será completamente uniforme. Os perfis de risco concretos das entidades críticas diferem substancialmente, tal como variam as expectativas institucionais em matéria de governação, supervisão e partilha de informação entre o setor público e o setor privado. O verdadeiro desafio consiste, assim, em desenvolver um modelo que seja suficientemente robusto para satisfazer uma lógica europeia de resiliência e, ao mesmo tempo, suficientemente sensível ao contexto para incorporar padrões nacionais de ameaça, especificidades setoriais e estruturas particulares de cadeia. Onde esse equilíbrio falte, corre-se o risco, por um lado, de uma harmonização formalista sem eficácia material ou, por outro, de uma flexibilidade nacional interpretada de forma tão ampla que esvazie de conteúdo o objetivo central da resiliência. Neste campo de tensão, a gestão integrada dos riscos de criminalidade financeira deve evoluir para uma disciplina que seja simultaneamente legível à escala europeia e aplicável à escala nacional.
Obrigações jurídicas, encargos administrativos e viabilidade prática
O novo quadro de resiliência acarreta, indiscutivelmente, um endurecimento significativo das obrigações jurídicas, mas o sentido dessa alteração não reside apenas num aumento da densidade normativa. A transformação essencial encontra-se na própria natureza das obrigações impostas. Não se trata simplesmente de prescrições isoladas ou de atos administrativos pontuais, mas de exigências que penetram profundamente na governação, na avaliação dos riscos, na visibilidade das cadeias, na gestão de incidentes, na arquitetura de segurança e na responsabilidade administrativa. Obrigações desta natureza pertencem a uma ordem diferente da dos requisitos clássicos de conformidade, que podem ser traduzidos com relativa facilidade em listas de verificação, relatórios periódicos ou procedimentos delimitados. O quadro CER/Wwke exige preparação demonstrável, controlo estrutural dos riscos e coerência organizacional. Daí resulta um conjunto de obrigações que não pode ser reduzido à mera produção de documentação, antes reclamando uma avaliação material sobre se uma entidade crítica está verdadeiramente em condições de continuar a prestar um serviço essencial sob pressão. Neste modelo, as obrigações jurídicas não são simplesmente administradas; são aferidas à luz da sua eficácia dentro de uma lógica mais ampla de continuidade. Isto torna a execução mais exigente, mas também conceptualmente mais honesta: o quadro obriga as organizações a pôr em relação a sua conformidade formal com a sua posição real de resiliência.
Esse endurecimento conduz inevitavelmente a encargos administrativos. As análises de risco têm de ser aprofundadas, as estruturas de governação recalibradas, as linhas de responsabilidade clarificadas, as relações com terceiros reavaliadas e os mecanismos de crise e continuidade ligados, no plano material, às funções de integridade e segurança. Para muitas organizações, isto implicará investimentos significativos em conhecimento especializado, sistemas, coordenação e atenção ao nível da direção. Todavia, os encargos administrativos não constituem aqui um fenómeno puramente quantitativo, como se o problema consistisse apenas num maior número de relatórios, procedimentos ou contactos com as autoridades supervisoras. O encargo é, antes de mais, de natureza qualitativa. As organizações veem-se obrigadas a ligar disciplinas que historicamente estavam organizadas separadamente. Assuntos jurídicos, segurança, risco, compras, finanças, cibersegurança, operações, conformidade e gestão de crise já não podem funcionar como compartimentos estanques justapostos, devendo operar dentro de um quadro partilhado de resiliência. Isto gera fricções institucionais, porque os conceitos, as prioridades e os critérios de avaliação diferem. Aquilo que parece eficiente de uma perspetiva operacional pode revelar-se inaceitável do ponto de vista da integridade; o que parece defensável do ponto de vista jurídico pode mostrar-se insuficientemente robusto à luz da continuidade. O encargo administrativo não consiste, portanto, apenas em trabalho adicional, mas também na necessidade de reordenar e disciplinar lógicas organizacionais sob um único princípio geral de proteção.
Nesse contexto, a questão da viabilidade prática assume caráter decisivo. Um quadro de resiliência perde legitimidade quando onera as organizações com obrigações formalmente extensas, mas praticamente insuficientemente orientadoras, ou quando o peso da execução se torna tão elevado que a atenção se desloca para a produção documental em detrimento do controlo real dos riscos. Para a gestão integrada dos riscos de criminalidade financeira, este constitui um ponto especialmente agudo. O domínio já apresenta notável complexidade normativa, exigências elevadas em matéria de constituição de processos, intensas obrigações de monitorização e uma marcada tendência para a proceduralização. Se esta função for simplesmente sobreposta, sem estruturação adicional, a um regime amplo de resiliência, existe um risco real de camadas de controlo duplicadas, análises paralelas e exaustão administrativa sem aumento proporcional da segurança material. A abordagem viável não reside, por isso, em somar obrigações distintas, mas em integrá-las. A análise da propriedade, a triagem de fornecedores, a avaliação de sanções, os controlos em matéria de aprovisionamento, a governação de terceiros e os cenários de continuidade devem ser ligados dentro de um único modelo coerente, de modo que os mesmos dados e avaliações possam servir várias funções no âmbito de uma arquitetura partilhada de resiliência. Aí reside a chave para uma gestão integrada dos riscos de criminalidade financeira praticável no interior das entidades críticas: não como encargo isolado, mas como componente integrada de uma governação mais ampla da resiliência. Onde isso funcione, as obrigações jurídicas e os encargos administrativos poderão traduzir-se num reforço real da continuidade. Onde falhe, o quadro corre o risco de ficar preso a uma pressão formal sem aumento equivalente da proteção material.
O significado do quadro CER/Wwke para a gestão integrada dos riscos de criminalidade financeira nos setores vitais
É difícil exagerar o significado do quadro CER/Wwke para a gestão integrada dos riscos de criminalidade financeira nos setores vitais, na medida em que esse quadro redefine o lugar da integridade económico-financeira no seio da estrutura de governação das entidades críticas. Em muitas organizações, a gestão integrada dos riscos de criminalidade financeira era tradicionalmente colocada como um domínio especializado de controlo, frequentemente concentrado em torno de obrigações legais relativas ao combate ao branqueamento de capitais, ao cumprimento de sanções, à prevenção da fraude, à diligência devida relativa ao cliente, à monitorização transacional ou a mecanismos internos de investigação. Tal posicionamento era compreensível dentro de um paradigma clássico de conformidade em que a questão central era saber se a organização detetava irregularidades em tempo útil, cumpria os seus deveres de reporte e limitava a sua exposição a sanções jurídicas. O quadro CER/Wwke desloca, porém, o centro de gravidade para uma questão radicalmente diferente. O que está em causa não é apenas a licitude de comportamentos ou relações individuais, mas a questão de saber se os riscos económico-financeiros são capazes de comprometer a fiabilidade da prestação, a autonomia administrativa e a estabilidade operacional de uma função vital. Isto significa que a gestão integrada dos riscos de criminalidade financeira deixa de constituir apenas uma linha defensiva face ao risco de atuação sancionatória e passa a converter-se num instrumento para salvaguardar a resiliência material dos serviços essenciais.
Nos setores vitais, esta deslocação assume um conteúdo extremamente concreto. Nos contextos energéticos, a influência económico-financeira pode manifestar-se através de estruturas de investimento em torno de ativos críticos, relações de manutenção com partes estrangeiras, aquisição de componentes escassos, cadeias contratuais marcadas por elevada sensibilidade à corrupção ou dependência de fornecedores expostos a sanções. No setor da saúde, as questões relevantes podem dizer respeito à distribuição de recursos cruciais, a prestadores privados com acesso a processos essenciais, a estruturas de aprovisionamento vulneráveis e à incidência da fraude ou do abuso económico sobre a disponibilidade de capacidade assistencial. Nos transportes e na logística, os serviços terminais, a manutenção, as plataformas de software, a subcontratação e as cadeias transfronteiriças podem constituir importantes vetores de vulnerabilidade económico-financeira. Nas infraestruturas digitais e nas infraestruturas dos mercados financeiros, a propriedade, a externalização, as relações em nuvem, as funções de compensação, o tratamento de dados e as redes internacionais de governação podem suscitar questões comparáveis. Em todos estes contextos, a questão relevante do ponto de vista da integridade não se limita a determinar se existe uma irregularidade suscetível de ser investigada separadamente. O que é decisivo é saber se os riscos económico-financeiros se situam em pontos onde proporcionam acesso a processos críticos, onde podem afetar a qualidade da tomada de decisão, onde podem aprofundar dependências ou onde podem comprometer a capacidade de recuperação durante perturbações. O quadro CER/Wwke, por conseguinte, não só alarga o alcance da gestão integrada dos riscos de criminalidade financeira, como também aprofunda a sua intensidade substantiva.
Esta evolução exige um reposicionamento estrutural da gestão integrada dos riscos de criminalidade financeira no interior da governação dos setores vitais. A função já não pode operar na periferia da organização como um centro especializado de controlo que apenas se ativa depois de as linhas de negócio, as compras ou as operações terem já tomado decisões essenciais. Deve ser integrada no nível em que são adotadas decisões relativas à propriedade, à cooperação estratégica, à seleção de fornecedores, à estrutura de capital, à externalização, às compras de emergência, ao acesso de terceiros, às dependências digitais e aos modelos operacionais de contingência. Só nesse nível é possível avaliar se uma relação económico-financeira é não apenas juridicamente admissível, mas também defensável do ponto de vista da resiliência. Isto exige novas capacidades. A gestão integrada dos riscos de criminalidade financeira deve desenvolver compreensão da criticidade dos ativos, da dependência de processos, da lógica de cadeia, da governação da crise e do impacto sistémico das perturbações. Dito de outro modo, esta função deve aprender a falar a linguagem das operações e da continuidade sem perder a sua precisão jurídica nem a sua acuidade em matéria de integridade. É precisamente aí que reside o significado do quadro CER/Wwke para os setores vitais. Ele converte a gestão integrada dos riscos de criminalidade financeira num componente estrutural da questão de saber se a entidade crítica pode continuar a cumprir, de forma credível, a sua função social sob pressão.
O quadro CER/Wwke como alargamento normativo e operativo da governação da integridade
O quadro CER/Wwke deve, em última análise, ser entendido como um alargamento normativo e operativo da governação da integridade. Normativo, porque a noção de integridade já não remete principalmente para a conformidade, para a gestão de incidentes ou para a correção moral da tomada de decisão dentro de domínios funcionais separados, mas para a fiabilidade estrutural da entidade crítica enquanto portadora de um serviço essencial. Operativo, porque esse alargamento não se detém numa redefinição abstrata, antes penetrando diretamente no desenho de processos, na governação, na avaliação das cadeias, na contratação, na supervisão de terceiros, na preparação para crises e na informação aos órgãos de direção. Em abordagens mais tradicionais, a governação da integridade podia ser isolada com relativa facilidade dentro de departamentos de conformidade, funções de investigação ou domínios de controlo jurídico. O novo quadro de resiliência torna essa separação organizacional cada vez menos sustentável. Quando a contaminação económico-financeira, a dependência sensível a sanções, a influência corruptiva ou estruturas de propriedade opacas podem afetar a continuidade dos serviços essenciais, a governação da integridade deixa, por definição, de ser uma disciplina periférica. Torna-se uma condição da fiabilidade operacional. Com isso, altera-se também o significado jurídico de uma governação da integridade deficiente. A questão já não consiste apenas numa insuficiência de conformidade, mas potencialmente numa carência estrutural de resiliência.
O alargamento operativo da governação da integridade implica que as organizações devem analisar com muito maior precisão os pontos em que as relações financeiras e económicas atingem o núcleo da função vital. Nem toda a questão de integridade tem o mesmo impacto sistémico, e nem todo o desvio em relação à conformidade deve ser elevado ao patamar de ameaça existencial para a resiliência. O novo quadro exige, por isso, uma diferenciação profunda. A atenção mais intensa deve concentrar-se naqueles pontos em que propriedade, capital, aprovisionamento, manutenção, dados, software, logística, dependência de terceiros e influência administrativa convergem em torno de processos determinantes para o serviço essencial. Nesses pontos, a triagem, a diligência devida, as garantias contratuais, os protocolos de escalonamento, os mecanismos de saída, a avaliação de sanções, a prevenção da fraude e a análise de cenários devem ser desenhados de tal forma que as vulnerabilidades económico-financeiras se tornem visíveis numa fase precoce. Isto requer uma forma de governação da integridade que faça mais do que verificar se as regras foram cumpridas no papel. Deve apreciar se uma complexidade legítima pode ser explicada de forma convincente, se existem dependências ocultas, se procedimentos de emergência colocam salvaguardas de integridade sob pressão e se determinadas escolhas operacionais tornam a entidade recetiva a processos de condicionamento ou infiltração. O alargamento não equivale, portanto, a um endurecimento indiscriminado, mas a uma ligação muito mais precisa entre integridade e impacto sistémico.
Para a gestão integrada dos riscos de criminalidade financeira, é aqui que se situa a consequência mais fundamental. No quadro CER/Wwke, este domínio é retirado da esfera do controlo reativo e colocado no centro da proteção estratégica da continuidade. Isto implica uma deslocação da linguagem, das prioridades e das expectativas dos órgãos de direção. O critério de eficácia já não se encontra apenas no número de alertas, comunicações, processos ou resultados de investigação, mas na questão de saber se os riscos económico-financeiros são identificados de forma suficientemente atempada e convincente precisamente nos pontos em que são capazes de afetar materialmente a função crítica. O que é decisivo é o grau em que a entidade pode demonstrar que a propriedade, o controlo, o financiamento, as relações com fornecedores e o acesso de terceiros foram compreendidos e governados de tal modo que o abuso não possa transformar-se numa vulnerabilidade estrutural de um serviço essencial. Esse é o significado profundo do alargamento normativo e operativo produzido pela CER e pela Lei sobre a resiliência das entidades críticas. A governação da integridade passa, assim, a ser não apenas a prova de uma conformidade ordenada, mas um elemento constitutivo da resiliência da própria entidade crítica. Onde esta transformação seja levada a sério, surgirá um modelo integrado em que a gestão integrada dos riscos de criminalidade financeira constituirá um pilar de sustentação da proteção das funções sociais e económicas vitais. Onde isso não aconteça, o que restará será, na melhor das hipóteses, conformidade formal, permanecendo a organização materialmente vulnerável precisamente nos pontos que o novo quadro de resiliência pretende reforçar.
