No quadro normativo europeu e neerlandês contemporâneo, a resiliência das entidades críticas já não pode ser compreendida de forma convincente por meio de uma análise limitada à organização interna, à própria estrutura de governação, à segurança física das suas próprias instalações ou ao controlo formal dos processos diretamente utilizados pela própria entidade. Uma abordagem dessa natureza pressupõe implicitamente que a entidade crítica produz o serviço essencial principalmente dentro de um espaço institucional delimitado, cujas vulnerabilidades são, em substância, identificáveis internamente, enfrentáveis internamente e reparáveis internamente. Contudo, esse pressuposto corresponde cada vez menos à estrutura real da prestação de serviços vitais numa economia em que a continuidade operacional é sustentada, em medida considerável, por ecossistemas digitais, mercados concentrados de fornecedores, modelos transfronteiriços de manutenção e apoio, estruturas especializadas de externalização, prestadores de serviços financeiros, nós logísticos, funções de gestão baseadas em dados e estruturas contratuais que tornam cada vez mais porosos os limites organizacionais formais da entidade crítica. O quadro europeu decorrente da Diretiva sobre a Resiliência das Entidades Críticas e a legislação neerlandesa sobre a resiliência das entidades críticas impõem, portanto, uma leitura muito mais ampla da noção de resiliência, na qual não ocupa o centro apenas a situação da organização nuclear, mas sobretudo a capacidade do serviço essencial para se manter em circunstâncias nas quais a perturbação se manifesta em relações externas, na cadeia que rodeia a entidade, nas estruturas de propriedade e controlo de fornecedores e prestadores de serviços, ou em mecanismos de apoio que, no plano formal, parecem secundários, mas que, na realidade, são constitutivos da prestação da função vital. Nessa perspetiva, a resiliência já não é apenas uma qualidade da entidade enquanto tal, mas uma qualidade de uma rede de dependências da qual a entidade faz parte, da qual beneficia e pela qual também fica substancialmente condicionada. Com isso, desloca-se igualmente o centro de gravidade jurídico e de governação: a questão já não é apenas saber se a entidade crítica está bem organizada internamente, mas se o serviço essencial pode continuar a funcionar quando os reais pontos de vulnerabilidade se situam fora da organização formal.
Esse deslocamento acarreta consequências de grande alcance para a forma como devem ser abordadas, no interior das entidades críticas, a dependência da cadeia de abastecimento, o risco de terceiros e a Gestão Integrada do Risco de Criminalidade Financeira. Neste contexto, o risco de terceiros não constitui um tema isolado de procurement, nem uma questão meramente contratual, nem sequer um problema circunscrito de conformidade que possa ser gerido por meio de questionários padronizados ou controlos genéricos de fornecedores. No contexto das entidades críticas, esta noção adquire uma significação sistémica muito mais intensa, porque as partes externas dispõem frequentemente de acesso a infraestruturas críticas, dados essenciais, regimes de manutenção, ambientes de software, fluxos logísticos, circuitos de pagamento, processos de identidade e acesso ou rotinas operacionais que incidem diretamente na continuidade, na integridade e na governabilidade do serviço essencial. Daí resulta que a perturbação operacional, a vulnerabilidade em matéria de cibersegurança, os problemas de integridade, a opacidade da propriedade, a exposição a sanções, o risco de fraude, a exposição à corrupção e a concentração de dependências se entrelaçam, na prática, de forma indissociável. Um fornecedor pode parecer tecnicamente competente e comercialmente fiável, ao mesmo tempo que, por detrás da contraparte contratual jurídica, se oculta uma estrutura de controlo ou de financiamento que expõe a entidade crítica a manipulação, influência indevida, risco de sanções ou perda súbita da segurança do abastecimento. Um parceiro de manutenção pode oferecer um desempenho adequado no plano operacional, enquanto a exclusividade de facto da sua perícia coloca a entidade numa posição de bloqueio estrutural em que a substituibilidade permanece, em larga medida, teórica. Um prestador de serviços digitais pode surgir, no papel, como apenas um entre muitos intervenientes de apoio, ao passo que a arquitetura de sistemas, dados e interfaces faz com que se tenha tornado, em termos substanciais, um elo central sem o qual o serviço essencial não pode ser prestado, ou apenas pode sê-lo de forma severamente degradada. Neste contexto, a Gestão Integrada do Risco de Criminalidade Financeira não deve ser concebida como um programa de controlo paralelo à política de resiliência, mas como um componente constitutivo da arquitetura mais ampla de resiliência das entidades críticas, porque a criminalidade financeira, a opacidade da propriedade, a evasão a sanções, a corrupção no interior da cadeia e a manipulação fraudulenta dos serviços de apoio podem comprometer diretamente a continuidade e a fiabilidade das funções vitais.
Por que razão a resiliência das entidades críticas não termina nos limites da organização
A afirmação de que a resiliência das entidades críticas não termina nos limites da organização não constitui um exagero retórico, mas sim uma correção necessária de um modelo organizacional ultrapassado no qual a entidade é apresentada como um conjunto mais ou menos autossuficiente que recorre a partes externas apenas de forma instrumental. No quadro da Diretiva sobre a Resiliência das Entidades Críticas e da legislação neerlandesa sobre a resiliência das entidades críticas, o ponto de partida deve ser, pelo contrário, o reconhecimento de que o serviço essencial é normalmente produzido mediante um conjunto de capacidades internas e externas, no qual os componentes externos não são ocasionais nem marginais, mas incidem profundamente na forma como os ativos são mantidos, os dados são tratados, os sistemas são geridos, as decisões operacionais são apoiadas e a recuperação em situações de crise se torna possível na prática. Uma entidade crítica pode ser proprietária da sua infraestrutura física e dispor de uma governação formal adequada, e ainda assim continuar intensamente dependente de fornecedores de software para o controlo de processos, de prestadores especializados de manutenção para a disponibilidade operacional, de gestores de rede externos para a conectividade, de fornecedores de nuvem ou de dados para o tratamento de informação essencial, de prestadores logísticos para o abastecimento e de intermediários financeiros ou administrativos para a integridade dos processos de apoio. Num modelo desta natureza, o próprio limite da organização é certamente visível do ponto de vista jurídico, mas revela-se muito menos relevante do ponto de vista funcional como linha divisória entre aquilo que se integra na resiliência e aquilo que fica fora dela. O serviço essencial não termina onde termina o organograma; as condições reais da continuidade estendem-se à cadeia, às relações contratuais, às interfaces técnicas e às estruturas de propriedade situadas fora da hierarquia direta de governação.
Esta conceção implica que os métodos clássicos de controlo interno podem apresentar um ponto cego estrutural. Quando a avaliação do risco se concentra principalmente nas próprias instalações, no próprio pessoal, nas próprias medidas de segurança e nos próprios processos, existe o perigo real de permanecerem insuficientemente visíveis precisamente aquelas dependências externas dotadas de maior capacidade de desorganização. No contexto das entidades críticas, isso é particularmente problemático, porque a função social da entidade não é avaliada à luz da elegância da sua documentação interna de governação, mas à luz da disponibilidade real de um serviço essencial em condições de tensão. Uma organização pode estar formalmente muito regulada, disciplinada internamente e bem estruturada do ponto de vista procedimental, enquanto a continuidade da função vital assenta, na realidade, num número reduzido de elos externos sobre os quais a visibilidade permanece limitada. Isso pode dizer respeito a um fornecedor que detém um conhecimento exclusivo do sistema, a um produtor estrangeiro de peças de substituição, a um prestador com acesso remoto a tecnologias operacionais, a um prestador de serviços de pagamento que facilita processos de apoio ou a um subcontratado que, na prática, constitui o único interveniente capaz de remediar falhas dentro dos prazos de resposta exigidos. A implicação jurídica é considerável: a resiliência deve ser entendida como uma noção normativa que obriga a entidade não apenas a controlar as suas próprias vulnerabilidades, mas também a identificar, valorar e mitigar de forma sistemática as condições externas em que o serviço essencial continua assegurado.
Para a Gestão Integrada do Risco de Criminalidade Financeira, esta conceção transfronteiriça da resiliência reveste importância direta. Os riscos de criminalidade financeira raramente se manifestam exclusivamente no núcleo formal da entidade crítica. Frequentemente desenvolvem-se na periferia da organização, nas relações com fornecedores, nas cadeias de procurement, nas estruturas de consultoria e manutenção, nos modelos de agência, nos canais de distribuição, na subcontratação, nos mecanismos de financiamento e em serviços de apoio aparentemente rotineiros nos quais podem ser incorporados interesses opacos, pagamentos ilícitos, contrapartes sancionadas, fluxos de faturação fraudulentos ou mecanismos de influência manipuladora. Quando a noção de resiliência permanece confinada à esfera interna, tais fenómenos são erradamente tratados como questões de integridade separadas, desprovidas de um vínculo direto com a segurança do abastecimento do serviço essencial. Uma leitura assim configuraria um erro categorial. Um esquema corrupto em contratos de manutenção, uma estrutura fraudulenta de fornecedor, um subcontratado exposto a sanções ou uma cadeia logística contaminada por criminalidade financeira podem conduzir diretamente a interrupções, atrasos, perda do controlo diretivo, intervenções regulatórias ou cessação forçada de serviços de apoio críticos. Por essa razão, a Gestão Integrada do Risco de Criminalidade Financeira deve ser situada, no interior das entidades críticas, como elemento essencial da análise mais ampla da resiliência da cadeia de abastecimento, e não como um domínio autónomo de conformidade que apenas se tornaria relevante depois de o dano operacional já se ter produzido.
Os terceiros, fornecedores e prestadores de serviços como portadores de vulnerabilidade sistémica
No contexto das entidades críticas, os terceiros, os fornecedores e os prestadores de serviços atuam cada vez menos como intervenientes de mercado externos neutros que fornecem insumos estritamente delimitados, e cada vez mais como portadores de vulnerabilidade sistémica. Isso significa que a sua importância não pode ser adequadamente compreendida mediante a pergunta tradicional de saber se um determinado fornecedor executa corretamente o contrato, entrega dentro do prazo ou oferece condições comerciais vantajosas. A questão decisiva é, antes, saber se o sujeito em causa está tão entrelaçado com o serviço essencial que a sua falha, o seu atraso, a sua manipulação, as suas violações de integridade ou a perda súbita da sua disponibilidade produziriam consequências desproporcionadas para a função pública da entidade crítica. A noção de vulnerabilidade sistémica sublinha, assim, que não apenas importa a qualidade do terceiro, mas também a posição que ocupa no interior da rede de dependências operacionais. Um contrato de valor relativamente modesto pode ter um impacto sistémico extraordinariamente elevado quando o serviço em causa está profundamente integrado na arquitetura operacional, quando não existem substitutos realistas, quando o conhecimento reside exclusivamente na parte externa ou quando os pontos de acesso controlados pelo terceiro afetam processos, dados ou ativos vitais. À luz desta realidade, a qualificação jurídica e de governação dos terceiros deve evoluir: já não se trata de meros fornecedores, mas de coportadores funcionais da estrutura de resiliência.
Esta abordagem reveste especial importância em setores nos quais a especialização, a complexidade tecnológica e a concentração do mercado conduziram, na prática, a que as entidades críticas dependam de um número limitado de prestadores de software, manutenção, dados de sensores, monitorização remota, peças de substituição, apoio em matéria de conformidade ou execução logística. Um prestador que tenha acesso a tecnologias operacionais pode constituir simultaneamente uma fonte de risco cibernético, de exposição a ameaças internas, de problemas de integridade de dados e de paralisia operacional. Um fornecedor de componentes críticos pode representar, ao mesmo tempo, uma dependência produtiva, um risco de concentração geográfica e uma exposição sensível do ponto de vista das sanções. Um sujeito encarregado de uma gestão externa pode, à primeira vista, desempenhar apenas tarefas de apoio, ao passo que tais tarefas são, na realidade, essenciais para a resposta a incidentes, para a capacidade de recuperação ou para a retoma segura dos processos após uma perturbação. Daí decorre que a vulnerabilidade sistémica já não pode ser medida atendendo unicamente ao valor nominal do contrato ou à classificação formal do serviço prestado, mas deve ser medida à luz da capacidade efetiva de desorganização do terceiro em causa. Isso exige um quadro analítico capaz de resistir à tentação institucional de classificar os fornecedores exclusivamente segundo categorias de compra e que, pelo contrário, se concentre na posição operacional, digital, financeira e de governação do terceiro na cadeia de valor do serviço essencial.
No domínio da Gestão Integrada do Risco de Criminalidade Financeira, além disso, a noção de vulnerabilidade sistémica possui uma dimensão de integridade incontestável. Um terceiro profundamente integrado em processos críticos não apenas pode causar um prejuízo operacional devido à sua falha, como também pode servir de veículo para corrupção, fraude, conflitos de interesses, favorecimento indevido, falsificação de dados de desempenho ou ocultação dos beneficiários efetivos finais com antecedentes problemáticos. Em situações desta natureza, o terceiro não constitui apenas um risco operacional, mas também um mecanismo de transmissão através do qual a criminalidade financeira e as violações de integridade podem incidir sobre a continuidade do serviço essencial. Um fornecedor selecionado sob influência corrupta em vez de com base no mérito, um parceiro de manutenção que produza relatórios falsos, um consultor que atue, na realidade, como intermediário de pagamentos ilícitos ou um parceiro logístico implicado na evasão a sanções pode expor a entidade crítica a uma forma de vulnerabilidade sistémica que não pode ser reduzida a mero dano reputacional ou responsabilidade jurídica. Uma situação assim pode comprometer a governabilidade do serviço, intensificar a pressão regulatória, provocar o colapso das relações contratuais e minar a capacidade de recuperação operacional precisamente no momento em que a rapidez e a fiabilidade se tornam mais indispensáveis. Por essa razão, a análise dos terceiros como portadores de vulnerabilidade sistémica deve ser sempre realizada, pelo menos em parte, através do prisma da Gestão Integrada do Risco de Criminalidade Financeira, valorando não apenas o desempenho e a segurança, mas também a integridade, a transparência da propriedade, os fluxos financeiros e o risco de influência.
Externalização, digitalização e crescimento das dependências indiretas
A externalização e a digitalização redesenharam profundamente o panorama dos serviços críticos ao provocarem um forte aumento das dependências indiretas. Onde, no passado, as dependências eram frequentemente visíveis em relações contratuais diretas com fornecedores identificáveis, a organização contemporânea dos serviços essenciais deu origem a cadeias estratificadas nas quais a entidade crítica depende, na realidade, de múltiplos níveis de subcontratação, de dependência de plataformas, de camadas de software, de elos de dados, de ambientes de alojamento, de parceiros de integração e de funções de apoio que nem sempre são plenamente visíveis na imagem contratual primária. Uma entidade crítica pode, por exemplo, celebrar um contrato com um fornecedor principal para uma solução digital, enquanto tal solução se apoia, por sua vez, em infraestruturas subjacentes de nuvem, em serviços externos de identidade, em centros de apoio situados noutras jurisdições, em acessos especializados de cibersegurança, em equipas de desenvolvimento externalizadas e em dependências relativamente a sujeitos de terceira ou quarta linha sobre os quais a própria entidade apenas pode exercer uma influência direta muito limitada. O perfil de risco desloca-se, assim, de cadeias diretamente controláveis para estruturas de dependência complexas e imbricadas nas quais a fonte da perturbação, da manipulação ou da contaminação da integridade se situa frequentemente a um ou vários elos de distância do contratante formal. Do ponto de vista jurídico e da governação, trata-se de uma complicação substancial, pois a entidade crítica continua responsável, está sujeita a supervisão e permanece vinculada por obrigações de resiliência, enquanto uma parte significativa das condições efetivas de prestação do serviço pode situar-se fora da sua visibilidade e do seu controlo diretos.
A digitalização intensifica esta evolução na medida em que a continuidade operacional depende cada vez mais de serviços imateriais e persistentes que não podem ser localizados, inspecionados ou substituídos com facilidade. Um ativo físico é visível; uma dependência digital pode, pelo contrário, ficar enterrada nas profundezas da arquitetura e tornar-se percetível apenas quando já ocorreu uma falha ou um comprometimento. Uma entidade crítica pode, por exemplo, considerar que recorre a vários fornecedores e que, com isso, alcançou diversificação, quando, na realidade, diferentes aplicações, interfaces e fluxos de trabalho se apoiam, abaixo da superfície, no mesmo fornecedor de nuvem, na mesma biblioteca de software, na mesma camada de dados ou no mesmo integrador especializado. A ilusão de diversificação pode, em tais circunstâncias, mascarar uma concentração efetiva. O mesmo sucede com a externalização de funções de apoio que, no plano formal, parecem não críticas, mas que, na prática, oferecem acesso a sistemas críticos, a processos operacionais ou a informação sensível de natureza decisória. As funções de assistência, os serviços de monitorização, as atualizações de software, a gestão de identidades e acessos, a resposta externa a incidentes e a manutenção remota podem ser apresentados individualmente como mero suporte técnico, enquanto, em conjunto, criam uma considerável esfera de influência externa dentro do núcleo do serviço vital. As dependências indiretas, portanto, não emergem como um fenómeno marginal, mas como consequência estrutural da forma como a digitalização e a externalização reorganizam a produção dos serviços essenciais.
Para a Gestão Integrada do Risco de Criminalidade Financeira, o crescimento das dependências indiretas assume especial importância, porque os riscos de criminalidade financeira em cadeias digitalizadas e externalizadas de vários níveis tendem a ser mais difusos, menos visíveis e mais difíceis de rastrear. Estruturas complexas de subcontratação podem ser utilizadas para ocultar os beneficiários efetivos finais, encobrir jurisdições de alto risco, distribuir fluxos financeiros irregulares ou dissimular um envolvimento sensível do ponto de vista sancionatório sob modelos de prestação de serviços aparentemente neutros. Além disso, em ambientes fortemente externalizados e digitalizados, torna-se mais provável que decisões de procurement, pedidos de alteração, contratos de apoio e exceções técnicas sejam utilizados como veículos de favorecimento indevido, prestações fictícias, faturação fragmentada, manipulação da integração de fornecedores ou construção seletiva de dependências em benefício de um círculo restrito de intervenientes. A questão da integridade desloca-se, assim, do contratante individual para toda a pilha de serviços através da qual o serviço essencial se torna possível. Um quadro eficaz de Gestão Integrada do Risco de Criminalidade Financeira no interior das entidades críticas deve, por conseguinte, valorar não apenas o fornecedor direto, mas também a cadeia operacional e financeira subjacente, incluindo os subcontratados, as estruturas de propriedade, os circuitos de pagamento, a exposição geográfica e o grau de dependência efetiva da entidade relativamente a elos indiretos desprovidos de instrumentos próprios de governação direta. Na ausência de uma perspetiva alargada desta natureza, existe um risco sério de que a vulnerabilidade material e a exposição à criminalidade financeira sejam subestimadas precisamente onde a digitalização e a externalização tornaram a organização mais intensamente dependente de terceiros invisíveis.
Criminalidade financeira nas cadeias de fornecedores e nos serviços de apoio
No contexto das entidades críticas, a criminalidade financeira no interior das cadeias de fornecedores e dos serviços de apoio deve ser entendida como uma fonte de prejuízo direto para a resiliência, e não como um mero risco derivado de reputação ou de conformidade. Esta qualificação reveste grande importância, porque as abordagens tradicionais à criminalidade financeira nas organizações se têm concentrado frequentemente na proteção dos ativos próprios, na integridade das transações internas e no respeito, em sentido estrito, das normas em matéria de prevenção do branqueamento de capitais, combate à corrupção e sanções. Para as entidades críticas, esse quadro é necessário, mas insuficiente. Quando a criminalidade financeira se insere nas cadeias de fornecedores, nas estruturas de manutenção, nos serviços gerais, no apoio informático, na execução logística ou na subcontratação especializada, não afeta apenas a integridade da relação comercial, mas também pode danificar o serviço essencial no núcleo do seu próprio funcionamento operacional. A corrupção pode conduzir à seleção ou manutenção de fornecedores inadequados, ou de fornecedores que reforçam a dependência. A fraude pode implicar a ausência efetiva de manutenção, o fornecimento de componentes de qualidade inferior ou a existência, no papel, de capacidades que, na realidade, faltam. A evasão a sanções ou as estruturas de propriedade ocultas podem provocar, de forma repentina, bloqueios jurídicos, congelamento de serviços ou resolução forçada das relações contratuais. O branqueamento de capitais ou os fluxos financeiros fraudulentos nos serviços de apoio podem desencadear intervenções penais ou administrativas que coloquem sob pressão o controlo diretivo dos processos críticos. Em cada um destes casos, a criminalidade financeira não constitui um fenómeno periférico, mas um mecanismo de perturbação apto a comprometer a continuidade da função vital.
As cadeias de fornecedores são especialmente sensíveis a estes riscos, porque tendem a caracterizar-se por uma combinação de pressão concorrencial, transparência limitada, assimetria técnica e responsabilidade fragmentada. Em condições deste tipo, as irregularidades podem ocultar-se com relativa facilidade por detrás de contratos aparentemente rotineiros, ordens de alteração, fornecimentos urgentes, consultores, agentes locais, subcontratados ou desvios justificados por referência à necessidade operacional. No universo das entidades críticas, esta dinâmica revela-se particularmente perigosa, porque a rapidez, a disponibilidade especializada e as exigências de continuidade podem levar a organização a aceitar exceções que, posteriormente, se revelam como porta de entrada para violações de integridade ou para estruturas fraudulentas de dependência. Um prestador de manutenção titular de uma posição exclusiva de longa duração, um fornecedor informático com custos de saída muito elevados, um parceiro logístico com acesso regional dominante ou um fornecedor de dados ou software com integrações profundamente enraizadas pode criar uma situação em que a entidade crítica disponha, na prática, de muito poucas alternativas e desenvolva, em consequência, uma maior tolerância perante insuficiências, estruturas opacas ou desvios contratuais. É precisamente num contexto desta natureza que a criminalidade financeira tende a prosperar: não por meio de confronto aberto, mas através da normalização progressiva de posições excecionais, da insuficiência de escrutínio crítico, da falta de transparência e da ideia de que a necessidade operacional deve prevalecer sobre a disciplina da integridade.
A Gestão Integrada do Risco de Criminalidade Financeira deve incorporar expressamente esta realidade, tratando a criminalidade financeira no interior da cadeia como um risco de perda de governabilidade operacional. Isso exige uma abordagem em que a diligência devida sobre fornecedores, a análise dos beneficiários efetivos, o controlo relativamente a sanções, os controlos de pagamento, a deteção de fraude, a governação do procurement e a supervisão contratual não funcionem de forma isolada, mas se conectem com a questão de saber quais terceiros são essenciais para a função vital e quais violações de integridade podem produzir um impacto desproporcionado sobre a prestação dessa função. Por conseguinte, uma entidade crítica não pode limitar-se a constatar que um fornecedor existe juridicamente, parece financeiramente plausível e se encontra contratualmente disponível. Requer-se, pelo contrário, um exame mais profundo de quem exerce realmente o controlo, de que incentivos e dependências estruturam a relação, de que exceções se desenvolveram na prática, de que sinais de fraude na faturação, conflitos de interesses, corrupção ou risco sancionatório são visíveis, e da rapidez com que o serviço essencial seria afetado se a relação tivesse de ser interrompida abruptamente por razões de integridade. Este vínculo entre a análise da criminalidade financeira e a continuidade operacional constitui o núcleo de uma Gestão Integrada do Risco de Criminalidade Financeira robusta no interior das entidades críticas. Na ausência desse vínculo, o controlo da integridade permanece excessivamente abstrato, ao passo que a vulnerabilidade real reside na possibilidade de relações de apoio contaminadas pela criminalidade financeira virem a condicionar precisamente aquelas funções vitais que a Diretiva sobre a Resiliência das Entidades Críticas e a normativa neerlandesa sobre a resiliência das entidades críticas pretendem proteger.
Riscos de integridade no procurement, na manutenção, na informática e no apoio logístico
Os riscos de integridade no procurement, na manutenção, na informática e no apoio logístico merecem, no contexto das entidades críticas, uma atenção diferenciada e particularmente intensa, porque nestes domínios a fronteira formal entre apoio e função central se revela frequentemente enganadora. O procurement não determina apenas que sujeito obtém um contrato, mas estrutura, em numerosos casos, a arquitetura de dependências do serviço essencial durante anos. A manutenção não determina apenas se os ativos permanecem tecnicamente utilizáveis, mas também se as avarias podem ser corrigidas em tempo útil e se existe realmente uma capacidade efetiva de recuperação. O apoio informático não incide apenas sobre o desempenho dos sistemas, mas também sobre os acessos, a integridade dos dados, a visibilidade dos processos operacionais e a resposta a incidentes. O apoio logístico não se limita ao transporte ou à gestão de existências, mas pode constituir a verdadeira linha vital para peças de substituição, combustíveis, componentes críticos ou acesso físico às infraestruturas. Em todos estes domínios, a deterioração da integridade pode produzir um duplo prejuízo: a qualidade e a fiabilidade do serviço em causa diminuem, ao mesmo tempo que a entidade crítica constrói uma estrutura de dependência difícil de desmantelar. Em consequência, um incidente de integridade não constitui apenas uma infração normativa, mas potencialmente o início de uma perda estrutural de controlo sobre uma parte da função vital.
No procurement, tais riscos podem manifestar-se sob a forma de procedimentos de seleção enviesados, conluio entre fornecedores, manipulação de especificações, exceções opacas, dispositivos artificiais de urgência, conflitos de interesses, concorrência fictícia ou orientação para uma parte já pré-selecionada sob o pretexto de uma necessidade técnica. Na manutenção, podem surgir trabalhos fictícios, inspeções estruturalmente adiadas, certificações defeituosas, dados de desempenho falsificados ou dependência indevida de um único prestador de manutenção. Na informática, acessos privilegiados insuficientemente controlados, subcontratações opacas, componentes de software pouco transparentes, estruturas ocultas de apoio remoto ou cadeias de propriedade e desenvolvimento insuficientemente claras podem conduzir a uma situação em que a entidade crítica é formalmente cliente, mas possui, em substância, um controlo limitado sobre os sistemas que sustentam o seu serviço essencial. No apoio logístico, elos fraudulentos, desvios, intermediários não controlados, corretores pouco fiáveis, rotas sensíveis do ponto de vista sancionatório ou informação manipulada sobre existências e disponibilidade podem comprometer a fiabilidade e a integridade da cadeia. O que une todos estes exemplos é que o risco de integridade não pode aqui ser dissociado da governação da resiliência. Incide diretamente sobre a questão de saber se a entidade pode continuar a assegurar a sua função vital sob pressão sem ficar, na prática, refém de relações de apoio comprometidas ou ingovernáveis.
Por essa razão, a Gestão Integrada do Risco de Criminalidade Financeira deve, nestes domínios, ir muito além de um combate reativo à fraude ou de uma diligência devida padronizada relativamente a terceiros. Exige-se um quadro integrado em que as decisões de procurement sejam examinadas sob a perspetiva da criação de dependências, as relações de manutenção sob a perspetiva da substituibilidade real e da verificabilidade das prestações, os serviços informáticos sob a perspetiva da transparência técnica e de governação, e o apoio logístico sob a perspetiva da integridade das rotas, do risco ligado a intermediários e da exposição a sanções ou fraudes. Esse quadro deve incluir, além disso, uma visibilidade precisa sobre os mecanismos excecionais, pois frequentemente não é a regra formal, mas o desvio aparentemente temporário, que se converte no lugar onde se encontram o favorecimento indevido e a vulnerabilidade estrutural. Uma prorrogação contratual justificada pela urgência, um contorno provisório dos requisitos de integração, uma solução de emergência que implique acesso remoto, um intermediário logístico ad hoc ou um mecanismo de alteração contratual fora do circuito decisório ordinário podem transformar-se numa fonte duradoura de risco de integridade e de continuidade. No interior das entidades críticas, o procurement, a manutenção, a informática e a logística devem, portanto, ser entendidos não simplesmente como funções de apoio que devem operar de forma eficiente, mas como domínios estratégicos de resiliência nos quais a qualidade da gestão da integridade contribui para determinar se o serviço essencial permanece governável, fiável e sujeito a um controlo público e organizacional efetivo. É precisamente nesse ponto que um sistema de Gestão Integrada do Risco de Criminalidade Financeira fortemente estruturado e profundamente enraizado se torna indispensável.
Risco de concentração, pontos únicos de falha e perturbação entrelaçada na cadeia
O risco de concentração constitui, no domínio das entidades críticas, uma das manifestações mais subestimadas e, ao mesmo tempo, mais desestabilizadoras da dependência da cadeia de abastecimento. Não diz respeito apenas à situação em que uma entidade crítica depende formalmente de um único fornecedor, de uma única tecnologia, de um único parceiro de manutenção ou de um único corredor logístico, mas também à configuração mais subtil e, na prática, muitas vezes muito mais perigosa, em que relações que aparentam estar diversificadas convergem, na realidade, na mesma infraestrutura subjacente, na mesma estrutura financeira ou de propriedade, na mesma base de conhecimento técnico ou no mesmo espaço geográfico e jurídico de dependência. O risco de concentração assume, assim, um alcance muito mais vasto do que sugere a conceção clássica própria do direito da contratação pública ou da gestão operacional. O que releva não é apenas saber se existem várias contrapartes contratuais em termos numéricos, mas se essas partes operam de forma materialmente independente, se representam efetivamente capacidades substituíveis, se assentam em fundamentos operacionais separados e se a sua falha ou comprometimento simultâneos podem ser razoavelmente excluídos. No quadro da resiliência das entidades críticas, o risco de concentração não é, portanto, um problema abstrato de estrutura de mercado, mas uma ameaça direta à continuidade de um serviço essencial. Quando demasiadas funções críticas convergem num número limitado de elos, forma-se um sistema em que a perturbação deixa de ser local ou proporcional e se traduz rapidamente numa desorganização entrelaçada na cadeia, com potenciais consequências intersetoriais.
Os pontos únicos de falha não devem, neste contexto, ser entendidos num sentido técnico estrito. O conceito não se refere exclusivamente a um único servidor, a um único centro de dados, a um único componente de rede ou a uma única instalação física, mas também a dependências jurídicas, contratuais, humanas, geográficas e baseadas em especialização que podem, na prática, desempenhar a mesma função desestabilizadora. Uma entidade crítica pode, por exemplo, dispor formalmente de vários prestadores de serviços e, ainda assim, continuar dependente, em substância, de um único grupo de técnicos especializados que são os únicos com acesso a um sistema complexo, de um único fornecedor de software que é o único capaz de executar atualizações e ações de recuperação, de um único produtor estrangeiro de peças sobresselentes ou de um único nó logístico por onde transitam fluxos de bens essenciais. Em todos estes casos, um ponto único de falha não surge porque a organização tenha sido negligente num sentido elementar, mas porque a combinação de especialização tecnológica, concentração de mercado, lock-in contratual, pressão temporal e acumulação histórica de dependências conduziu a uma situação em que a substituibilidade operacional parece estar presente em teoria, enquanto na prática é quase inexistente. Para as entidades críticas, trata-se de uma base extremamente precária, porque a função social do serviço essencial não pode esperar por processos prolongados de substituição, renegociações internacionais ou migrações técnicas complexas. A existência de pontos únicos de falha ocultos coloca, por isso, a questão de saber se a entidade continua verdadeiramente a dirigir as condições da sua própria continuidade, ou se esse controlo já se deslocou, em termos materiais, para elos externos insuficientemente visíveis, insuficientemente influenciáveis ou insuficientemente substituíveis com rapidez.
No quadro da Gestão Integrada do Risco de Criminalidade Financeira, o risco de concentração adquire um significado adicional e particularmente agudo, porque os riscos de criminalidade financeira não apenas podem acompanhar os efeitos da concentração, como também aprofundá-los e acelerá-los. Uma relação concentrada com um fornecedor que seja acompanhada de opacidade na propriedade, fluxos financeiros invulgares, favorecimento de um fornecedor preferencial, incentivos ao suborno, concorrência simulada ou estruturas sensíveis do ponto de vista das sanções não cria apenas um problema de conformidade; cria uma situação em que a entidade crítica fica ancorada a um único elo arriscado precisamente no ponto em que a dependência operacional já é máxima. Em tais circunstâncias, a criminalidade financeira transforma-se num amplificador da vulnerabilidade sistémica. Pode conduzir à expulsão de alternativas do mercado, ao prolongamento artificial de dependências contratuais, ao abuso de monopólios técnicos ou logísticos e à deteção demasiado tardia ou demasiado hesitante de sinais de disfunção por receio de desorganização operacional. Um sistema robusto de Gestão Integrada do Risco de Criminalidade Financeira deve, portanto, atender não apenas à questão de saber se um fornecedor ou prestador de serviços atua com integridade, mas também à questão de saber se a concentração da dependência expõe estruturalmente a entidade a influências indevidas, à continuação fraudulenta de relações, à escalada do risco de sanções ou à perda súbita de serviços em caso de intervenção regulatória. O risco de concentração não é, neste sentido, nem uma questão puramente de resiliência nem uma questão puramente de integridade, mas antes um tema convergente em que continuidade, governabilidade e gestão dos riscos de criminalidade financeira coincidem.
Supervisão de terceiros no quadro da Diretiva sobre a Resiliência das Entidades Críticas e da Wwke, bem como nos regimes mais amplos de resiliência
A supervisão de terceiros no quadro da Diretiva sobre a Resiliência das Entidades Críticas e da Wwke deve ser compreendida à luz de um horizonte normativo profundamente deslocado. O objeto da atenção regulatória já não é exclusivamente o cumprimento interno da entidade crítica em sentido estrito, mas a questão mais ampla de saber se a entidade está em condições de proteger o seu serviço essencial, em situações de perturbação, contra vulnerabilidades que se situam em medida significativa fora dos seus próprios limites organizacionais. Isto não significa que as autoridades supervisoras adquiram, por essa via, um poder direto e genérico sobre todas as partes externas da cadeia, mas significa, sim, que se espera da entidade crítica um conhecimento demonstrável dos terceiros dos quais dependem, na prática, a continuidade, a integridade e a governabilidade da função vital. Nesse sentido, também muda o conteúdo material do que deve entender-se por governação adequada e gestão suficiente do risco. Uma entidade crítica não pode limitar-se a apresentar contratos, dossiês gerais de diligência devida ou avaliações padronizadas de fornecedores quando a estrutura efetiva de dependências é muito mais profunda e complexa. O que passa a ser mais relevante é saber se a entidade consegue justificar quais os terceiros que foram qualificados como críticos, em que fundamentos assentou essa qualificação, como mantém visibilidade sobre a subcontratação subjacente e sobre as estruturas de propriedade, que cenários de contingência existem e de que modo a governação da entidade assegura que os sinais de deterioração da fiabilidade ou da integridade em terceiros sejam tratados em tempo útil.
O quadro mais amplo da resiliência reforça esta evolução porque diferentes domínios regulatórios se cruzam de forma cada vez mais intensa na prática. A resiliência das entidades críticas não pode, com efeito, ser separada da cibersegurança, do cumprimento de sanções, dos regimes anticorrupção, da disciplina em matéria de contratação e aquisições, da gestão do risco operacional, da governação da externalização e dos requisitos setoriais de supervisão. Daqui resulta uma paisagem normativa estratificada em que um mesmo terceiro pode ser relevante sob múltiplas perspetivas: como ponto de acesso cibernético, como parceiro de manutenção, como ator logístico-chave, como responsável pelo tratamento de dados, como intermediário financeiro ou como potencial risco de integridade. Para a entidade crítica, isto significa que a supervisão já não pode ser abordada como uma série de linhas separadas de prestação de contas, cada uma delas com o seu próprio conjunto limitado de documentos. O que se exige, pelo contrário, é uma arquitetura de governação coerente, capaz de satisfazer diferentes expectativas supervisoras sem perder de vista a questão material central: onde se encontram os elos da cadeia que sustentam o serviço essencial ou que podem desestabilizá-lo, e como se mantém um controlo efetivo sobre eles em termos de governação e de operação? Nessa perspetiva, as obrigações de notificação, a resposta a incidentes e as avaliações periódicas do risco também adquirem um peso acrescido. Não apenas os incidentes internos, mas também as perturbações, as infrações à integridade ou os impedimentos jurídicos que afetam terceiros podem adquirir relevância supervisora quando incidem, ou podem incidir, sobre a função vital.
A Gestão Integrada do Risco de Criminalidade Financeira deve, dentro desta realidade supervisora, ser expressamente situada como um elemento integral de uma gestão demonstrável da resiliência. A supervisão de terceiros fica, de facto, materialmente esvaziada de conteúdo se os riscos de criminalidade financeira na cadeia só forem identificados de forma fragmentária ou puramente reativa. Uma autoridade supervisora que avalie a resiliência de uma entidade crítica dificilmente poderá dar-se por satisfeita, em termos materiais, com um modelo em que a criticidade operacional tenha sido cartografada enquanto a transparência da propriedade, a sensibilidade a sanções, o risco de corrupção, os padrões de fraude e os fluxos financeiros invulgares permanecem fora da análise central. Um terceiro pode, com efeito, ser operacionalmente indispensável e, ao mesmo tempo, instável do ponto de vista da integridade, juridicamente precário ou financeiramente opaco. Em tais circunstâncias, a vulnerabilidade do serviço essencial não pode ser seriamente avaliada sem incorporar a dimensão da integridade. Um modelo credível e preparado para a supervisão deve, por conseguinte, demonstrar que a entidade crítica não só sabe qual o terceiro que é importante, mas também como é avaliada a integridade desse terceiro, como são supervisionadas as alterações na propriedade ou no controlo, como são tratadas as transações invulgares ou os riscos crescentes de sanções, e de que modo é possível uma intervenção de governação quando um terceiro já não pode ser considerado fiável. A supervisão de terceiros no quadro da Diretiva sobre a Resiliência das Entidades Críticas, da Wwke e dos regimes conexos pressupõe, assim, uma organização que não vê as suas dependências externas como meras relações comerciais, mas como objetos de uma governação da resiliência permanente e demonstravelmente integrada.
Mapeamento da cadeia, diligência devida e monitorização contínua das dependências críticas
No interior das entidades críticas, o mapeamento da cadeia não constitui um mero exercício documental de apoio, mas um elemento constitutivo da questão de saber se a entidade compreende verdadeiramente a arquitetura da sua própria vulnerabilidade. Sem uma imagem profunda e dinâmica da cadeia, qualquer afirmação relativa à resiliência permanece, em larga medida, especulativa, porque continua incerto que elos externos sustentam efetivamente o serviço essencial, onde se situam as concentrações de dependência, que camadas de subcontratação são operacionalmente relevantes e onde as estruturas jurídicas, geográficas ou de propriedade podem enfraquecer o controlo de governação sobre os processos críticos. O mapeamento da cadeia deve, por isso, ir muito além da elaboração de uma lista de fornecedores ou da classificação de contratos em função do volume de despesa ou da categoria formal de serviço. O que se requer é uma imagem muito mais refinada que torne visíveis as partes que têm acesso a sistemas críticos, os terceiros que realizam manutenção sobre ativos vitais, os prestadores que tratam ou alojam dados operacionais, os nós logísticos essenciais para a continuidade, os subcontratados especializados indispensáveis à recuperação e as infraestruturas subjacentes utilizadas simultaneamente por vários prestadores de serviços que exteriormente parecem independentes uns dos outros. Só quando estas relações são postas a descoberto de forma sistemática se torna possível determinar onde a entidade é materialmente vulnerável e onde se revelam necessárias intervenções preventivas, contratuais, técnicas ou de governação.
Nesse quadro, a diligência devida adquire um caráter sensivelmente mais exigente do que aquele que normalmente se observa nos programas convencionais de gestão de fornecedores. Não se trata apenas de verificar se um terceiro existe legalmente, é capaz de apresentar documentação básica e parece respeitável em termos gerais. Mais importante é determinar se existe visibilidade sobre a identidade dos beneficiários efetivos finais, sobre as relações efetivas de controlo, sobre a solidez financeira, sobre a dependência relativamente a jurisdições de alto risco, sobre a sensibilidade a sanções, sobre o comportamento histórico em matéria de integridade, sobre as práticas de subcontratação, sobre as pessoas-chave, sobre a postura de cibersegurança e sobre a questão de saber se o fornecedor ou prestador de serviços ocupa uma posição tão singular que a entidade crítica dispõe, na prática, de muito poucas alternativas realistas. A diligência devida deve, além disso, diferenciar-se em função da natureza da dependência. Um fornecedor de material de escritório genérico não exige o mesmo grau de profundidade que um prestador com acesso privilegiado a tecnologia operacional, que um parceiro de manutenção para instalações vitais ou que um ator logístico que controle um corredor exclusivo para ativos críticos. O centro de gravidade normativo não reside, por conseguinte, numa uniformidade administrativa universal, mas numa profundidade seletiva nos pontos em que o impacto potencial sobre o serviço essencial é maior. Nesse sentido, a diligência devida no interior das entidades críticas não é um simples exercício de assinalar caixas, mas um instrumento para responder à questão material de saber se a continuidade da função pública pode ser confiada, de forma responsável, ao terceiro em causa.
A monitorização contínua é, depois, indispensável, porque as dependências críticas raramente permanecem estáticas. A propriedade pode mudar, a subcontratação pode expandir-se, o desempenho pode deteriorar-se gradualmente, as condições geopolíticas podem alterar-se, os regimes de sanções podem endurecer, a saúde financeira pode piorar, e aquilo que inicialmente parecia uma relação com um fornecedor controlável pode transformar-se silenciosamente num elo de facto indispensável. Uma mera fotografia tirada no momento da integração inicial é, por isso, insuficiente. Exige-se uma forma contínua de supervisão dentro da organização, na qual os sinais provenientes da gestão contratual, dos incidentes operacionais, dos acontecimentos cibernéticos, do comportamento de pagamento, das alterações nas estruturas de governação, da evolução do mercado e do contexto jurídico ou geopolítico sejam integrados num único processo de avaliação. No quadro da Gestão Integrada do Risco de Criminalidade Financeira, esta monitorização contínua reveste uma importância especial. Os riscos de criminalidade financeira tendem, com efeito, a revelar-se apenas ao longo do tempo: através de mudanças nos padrões de faturação, de intermediários invulgares, de rápidas transferências de propriedade, de uma dependência crescente de contratos excecionais, de pedidos de pagamento anómalos, de sinais de conflitos de interesses ou de uma exposição crescente a regiões sancionadas ou de alto risco. Uma arquitetura de monitorização eficaz deve, portanto, dirigir-se não apenas à disponibilidade e ao desempenho, mas também à evolução da integridade da relação e à questão de saber se a entidade crítica continua a ser capaz de governar o serviço essencial quando a fiabilidade de um terceiro é colocada sob pressão. O mapeamento da cadeia, a diligência devida e a monitorização contínua não constituem, assim, três técnicas de controlo separadas, mas uma única estrutura coerente mediante a qual a resiliência material do serviço essencial se torna visível e governável.
Cooperação público-privada perante perturbações nas cadeias de abastecimento vitais
Na conceção contemporânea da resiliência, a cooperação público-privada perante perturbações que afetam as cadeias de abastecimento vitais não constitui um mero complemento facultativo à preparação individual das empresas, mas uma condição estrutural para uma resposta eficaz quando a desorganização ultrapassa os limites de uma única organização. As entidades críticas operam, com efeito, em ambientes em que as perturbações raramente permanecem confinadas à relação direta entre a entidade e um único fornecedor. Escassez de componentes, falhas de prestadores especializados, impedimentos ao transporte, bloqueios geopolíticos, incidentes cibernéticos, atos de sabotagem, desordens financeiras ou infrações à integridade no interior da cadeia podem afetar simultaneamente múltiplos atores e propagar-se rapidamente entre setores, regiões e camadas de dependência. Em tais circunstâncias, uma lógica de resposta exclusivamente privada revela-se insuficiente, porque a entidade individual costuma carecer de informação suficiente, de capacidade coerciva, de mandato de coordenação ou de visão global do setor para mitigar eficazmente a perturbação. A cooperação público-privada adquire, por isso, um significado estratégico que vai muito além da simples partilha geral de informação. Refere-se à instituição de uma ordem de resposta na qual os poderes públicos, as autoridades supervisoras, as alianças setoriais e as entidades críticas trocam informação de forma controlada, definem prioridades, atribuem capacidades escassas, identificam obstáculos jurídicos e coordenam medidas de emergência destinadas a proteger os serviços essenciais.
A necessidade dessa abordagem torna-se especialmente evidente quando a perturbação afeta cadeias em que os mecanismos de mercado, sob pressão de crise, funcionam de forma insuficiente ou mesmo contraproducente. A escassez de peças sobresselentes, de pessoal especializado de manutenção, de capacidade de recuperação digital, de acesso logístico ou de prestadores alternativos fiáveis pode levar entidades individuais a competir pelos mesmos recursos limitados, quando o interesse coletivo exige, pelo contrário, uma afetação baseada na prioridade vital e no impacto sistémico. Do mesmo modo, um problema de integridade ou de sanções que afete um fornecedor dominante pode repercutir-se simultaneamente sobre várias entidades críticas, de tal modo que uma abordagem puramente contratual se torna insuficiente e emerge a necessidade de uma interpretação coordenada, de alinhamento jurídico e de vias temporárias de emergência. Nestas situações, a cooperação público-privada não deve ser entendida como uma fórmula ad hoc de consulta inventada apenas no momento da crise, mas como uma estrutura preparada antecipadamente, na qual já tenham sido desenvolvidos pontos de contacto, linhas de escalada, protocolos de informação, acordos de confidencialidade, mecanismos setoriais de priorização e cenários comuns. Só dessa forma se pode evitar que uma perturbação na cadeia de abastecimento vital conduza a uma tomada de decisão fragmentada, a assimetrias de informação e a uma situação em que cada ator atua isoladamente quando a vulnerabilidade é, em substância, coletiva.
No quadro da Gestão Integrada do Risco de Criminalidade Financeira, a cooperação público-privada neste domínio reveste igualmente uma importância fundamental, porque as perturbações em cadeias vitais são frequentemente acompanhadas por uma maior exposição à fraude, à corrupção, à manipulação de preços, à evasão de sanções, à falsificação documental, a intermediários oportunistas e a outras formas de abuso económico-financeiro. As condições de crise aumentam a pressão para contratar rapidamente, afastar-se dos controlos ordinários, admitir fornecedores de emergência e aceitar temporariamente documentação incompleta. É precisamente esse o contexto em que a criminalidade financeira encontra, muitas vezes, espaço para se desenvolver. Uma entidade que atue de forma isolada corre então o risco de recorrer aos mesmos intermediários arriscados que outros atores, de ignorar sinais de alerta que já se manifestaram noutros lugares ou de adotar, sob pressão operacional, medidas que posteriormente fragilizam a integridade e a sustentabilidade jurídica da resposta. A cooperação público-privada pode aqui desempenhar uma função de contrapeso através da agregação de sinais, da construção de visões partilhadas do risco, da identificação mais rápida de padrões de fraude e da organização de um estado de alerta coletivo relativamente a prestadores de risco, estruturas de pagamento invulgares ou fornecedores de emergência que surgem repentinamente. Fica, assim, claro que a cooperação público-privada perante perturbações nas cadeias de abastecimento vitais não diz respeito apenas à continuidade operacional, mas também a evitar que a própria resposta à crise se transforme no veículo de novas dependências, de contaminação da integridade e de enfraquecimento do controlo de governação.
A resiliência de terceiros como componente indispensável da Gestão Integrada do Risco de Criminalidade Financeira nas entidades críticas
No interior das entidades críticas, a resiliência de terceiros deve ser considerada uma componente indispensável da Gestão Integrada do Risco de Criminalidade Financeira, porque a clássica separação entre continuidade operacional e controlo da criminalidade financeira já não é sustentável neste contexto, nem do ponto de vista analítico nem da perspetiva da governação. As partes externas das quais depende uma entidade crítica não constituem apenas fontes de incerteza em matéria de abastecimento ou de desempenho, mas também potenciais portadoras de opacidade na propriedade, risco de corrupção, sensibilidade a sanções, padrões de fraude, influências indevidas e outras formas de dano à integridade suscetíveis de incidir diretamente sobre a disponibilidade, a fiabilidade e a governabilidade do serviço essencial. Um terceiro pode ser simultaneamente parceiro de manutenção, titular de acesso a dados, elo logístico, destinatário de pagamentos e mecanismo de recuperação operacional. Numa relação desta natureza, seria artificial colocar, por um lado, as avaliações do risco operacional e, por outro, a análise da criminalidade financeira, como se ambos os planos apenas estivessem marginalmente ligados. Para as entidades críticas, a questão central consiste, antes, em saber se as dependências externas são governadas de tal modo que não exponham a função vital a uma convergência de perturbação da continuidade, degradação da integridade e perda de controlo de governação. A resiliência de terceiros, por conseguinte, não constitui um capítulo adicional em relação à Gestão Integrada do Risco de Criminalidade Financeira, mas um dos lugares em que esse sistema de gestão demonstra a sua relevância material.
Esta conclusão acarreta consequências profundas para a configuração da governação, das linhas de reporte e dos processos de decisão. Quando a resiliência de terceiros é tratada seriamente como parte da Gestão Integrada do Risco de Criminalidade Financeira, a avaliação de fornecedores e prestadores de serviços já não pode permanecer fragmentada entre diferentes funções na ausência de um quadro analítico unificador. As compras não podem continuar a prosseguir autonomamente uma otimização puramente comercial enquanto a integridade e a formação de dependências são avaliadas noutro lugar. As funções cibernéticas não podem limitar-se a controlos técnicos sem visibilidade sobre a propriedade, a subcontratação e a exposição a sanções. A conformidade normativa não pode contentar-se com controlos de entrada enquanto permanece alheada da criticidade operacional da relação. As operações, por seu turno, não podem presumir que o desempenho histórico constitui prova suficiente de fiabilidade quando a estrutura subjacente é frágil do ponto de vista da integridade ou financeiramente opaca. O que se exige é um modelo em que criticidade, substituibilidade, concentração, transparência da propriedade, comportamento de pagamento, incidentes de integridade, exposição jurídica e relevância em crise dos terceiros sejam integrados numa única linguagem de governação. Só no interior de um modelo dessa natureza se torna visível quais os terceiros que suportam o maior valor de risco composto e onde se revelam necessárias a intervenção, a reestruturação, o reforço contratual, uma monitorização adicional ou a redução estratégica da dependência.
No sentido mais fundamental, esta abordagem confirma que a Gestão Integrada do Risco de Criminalidade Financeira no interior das entidades críticas só possui verdadeira força de convicção quando se concentra nos lugares em que convergem a proteção das funções públicas e a realidade da cadeia. A criminalidade financeira não é aqui simplesmente uma questão de ilícito financeiro; é um mecanismo capaz de deformar a arquitetura da dependência, colocar terceiros inadequados ou arriscados em posições-chave, paralisar a deteção, excluir alternativas e ancorar vulnerabilidades regulatórias ou geopolíticas no núcleo operacional do serviço essencial. A resiliência de terceiros funciona, por isso, como a prova decisiva da profundidade de todo o sistema. Se uma entidade crítica dispõe de regras gerais de integridade mas carece de uma visibilidade precisa sobre que partes externas condicionam a função vital, falta a ligação material entre a norma e o risco. Se, pelo contrário, a transparência da propriedade, o mapeamento da cadeia, a sensibilidade a sanções, a deteção de fraude, a capacidade de alavancagem contratual, a análise da substituibilidade e a monitorização contínua se integram conjuntamente na governação das dependências críticas, emerge uma forma de Gestão Integrada do Risco de Criminalidade Financeira que não só é formalmente sólida, como contribui efetivamente para a proteção dos serviços essenciais perante as ameaças entrelaçadas da economia contemporânea. Neste sentido, a resiliência de terceiros não é simplesmente uma componente relevante do sistema, mas uma das condições centrais da sua credibilidade e do seu funcionamento efetivo.
