Banco de Portugal avança com auditoria externa para analisar risco na área de compras de Tecnologias de Informação

O Banco de Portugal decidiu avançar com uma auditoria externa depois dos dois casos que levaram às inspeções da Polícia Judiciária à sede do banco central em 2025 e que estão relacionados com procedimentos de compras. A instituição está neste momento em fase de contratação de uma auditoria externa aos procedimentos de aquisição de bens e serviços por parte do Banco de Portugal, com especial enfoque na área da contratação dos sistemas de informação e tecnologias de informação.

Segundo apurou o Jornal Económico, o banco central conta ter a conclusão da auditoria externa ainda no primeiro semestre deste ano.

Em causa estão as operações Pactum e Nexus, realizadas em 2025, que visaram suspeitas de corrupção e fraude em contratos públicos de informática envolvendo o Banco de Portugal (BdP) e outros organismos estatais.  A investigação abrange suspeitas de crimes de corrupção passiva e ativa, participação económica em negócio, falsidade informática e abuso de poder.

No primeiro caso (Operação Pactum) a Polícia Judiciária (PJ) realizou em abril buscas nas instalações do banco em abril de 2025. O Diretor do Departamento de Sistemas e Tecnologias de Informação do BdP, Carlos Moura, foi constituído arguido.  A operação incluiu 75 mandados de busca e resultou em 43 arguidos. Além do BdP, foram visados a Secretaria-Geral do Ministério da Justiça e o Instituto dos Registos e do Notariado.

No segundo caso, a Operação Nexus (julho de 2025), está em causa o combate a um alegado “cartel tecnológico” que viciava contratos de material informático e cibersegurança, alguns financiados pelo Plano de Recuperação e Resiliência (PRR).

Foi a segunda vez em três meses que o banco foi alvo de buscas. Um funcionário do BdP foi detido e outro ficou em prisão domiciliária.

Há dois arguidos, um por cada caso. Num dos casos, o trabalhador está suspenso e, no outro caso, o trabalhador continua, mantém-se ao serviço, mas já não na mesma direção.

O objeto da auditoria vai ser o sistema de controle interno do Banco de Portugal, ou seja, o que é pedido à empresa que vier a ser contratada é que analise o  sistema de constituído por procedimentos, por regras, por mecanismos, por segregação de funções. Não é pedido que avalie o contrato A, B ou C. Portanto, é olhar para uma área de negócio do BdP, que é a contratação pública e a gestão documental, e num primeiro momento fazer uma avaliação do modelo de governo que o Banco de Portugal tem nesta matéria, segundo revelaram fontes conhecedoras do processo.

A auditoria que será feita avaliará o Sistema de Controlo Interno, e não vai, obviamente, olhar para todos os processos de compras dos últimos 10 anos, porque isso não é possível fazer dada a elevada dimensão. As auditorias fazem-se em regra por amostra, o que deverá também ocorrer neste caso, sendo que a seleção será feita pelo auditor.

Fora desta auditoria, está o processo de aquisição do novo edifício sede do Banco de Portugal.

O que diz o Relatório?

O Banco de Portugal publicou esta quarta-feira um relatório de avaliação intercalar na sequência destas duas investigações judiciais no ano passado aos contratos de compras do banco central. A informação que consta deste relatório reporta-se ao período compreendido entre abril e novembro de 2025. No relatório intercalar do Plano de Prevenção de Riscos de Corrupção e infrações conexas, o supervisor considera quatro tipologias de risco, que classifica quanto à gravidade e probabilidade de se materializarem.

“As medidas de mitigação dos riscos de corrupção e infrações conexas englobam um conjunto de medidas genéricas e um conjunto de medidas específicas. Em conjunto, resultam na moldura global de medidas de mitigação de riscos de corrupção e infrações conexas do Banco de Portugal”, explica o banco central. “Esta moldura genérica de mitigação foi aperfeiçoada e fortalecida pelas decisões, de alcance transversal, tomadas pelo Conselho de Administração em 2025”, acrescenta.

O relatório é publicado todos os anos e identifica os riscos na área de corrupção e também avalia a probabilidade de ocorrência e o impacto da materialização desses mesmos riscos. No entanto, perante estes dois casos concretos o BdP considerou necessário fazer uma reavaliação dos riscos o que justifica a publicação de um relatório intercalar.

“O relatório é publicado todos os anos e identifica os riscos na área de corrupção e também avalia a probabilidade de ocorrência e o impacto da materialização desses mesmos riscos. No entanto, perante estes dois casos concretos o BdP considerou necessário fazer uma reavaliação dos riscos”

“Não obstante não terem sido identificados, em qualquer dos exercícios anteriores, riscos com níveis de classificação elevado ou grave, o Banco de Portugal já havia antecipado a necessidade de proceder a uma reavaliação dos riscos no Relatório Anual de Avaliação publicado em abril deste ano, em função da evolução do inquérito em curso no Departamento Central de Investigação e Ação Penal (DCIAP), no contexto do qual a Polícia Judiciária procedeu a diligências inspetivas, nas instalações do Banco de Portugal, centrada em práticas ilícitas relacionadas com a contratação de serviços na área das Tecnologias de Informação”, lê-se no relatório.

Na última investigação da PJ (a Operação Nexus) estão em causa 20 milhões de euros em compras de hadware e software, incluindo programas de cibersegurança.

Na investigação anterior, na operação Pactum estão em causa, em abstrato, suspeitas de participação económica em negócio, abuso de poder, corrupção ativa e passiva, fraude na obtenção de subsídio e branqueamento. Nesta investigação que originou buscas em abril do ano passado, foram noticiadas suspeitas de esquemas de fraude em organismos do Estado que terão causado um prejuízo de cerca de 17 milhões de euros

“Em julho, a Polícia Judiciária levou a cabo uma operação que resultou em buscas nas instalações do Banco de Portugal, também relacionadas com a contratação de serviços na área das Tecnologias de Informação. O Banco de Portugal prestou total colaboração nas diligências que tiveram lugar nas suas instalações”, acrescenta o documento.

Na apreciação global da situação, o Banco de Portugal é da opinião que as decisões entretanto tomadas pelas autoridades judiciárias justificam uma reclassificação do nível de criticidade dos riscos associados.

“Além da auditoria externa, o Banco de Portugal, na sequência das duas investigações judiciais, avança com a criação de um órgão consultivo para o procedimentos de compras que vai analisar aquisições de valor superior a 150 mil euros”

O Banco de Portugal anunciou ainda a criação de um órgão consultivo para o procedimentos de compras e a atualização do regulamento de compras e da plataforma de acompanhamento de contratos. A comissão de compras vai analisar aquisições de valor superior a 150 mil euros.

Anunciou ainda um programa de formação obrigatório em contratação pública para trabalhadores com funções de gestão de compras que abrange um total de 60 trabalhadores com funções em gestão de compras.

“A aprovação e publicação do Relatório de Avaliação Intercalar do Plano de Prevenção de Riscos de Corrupção e Infrações Conexas é mais um sinal expressivo do forte compromisso do Banco de Portugal na prevenção e combate à corrupção”, sublinha a instituição.

O relatório diz que “as medidas implementadas pelo Banco de Portugal relativamente aos procedimentos de aquisição de SI/TI e as oportunidades de melhoria identificadas fruto da reflexão interna sobre o modelo de governo do processo de compras e gestão contratual permitem-nos reconhecer que houve um aperfeiçoamento do sistema de controlo interno, que reduz a probabilidade de ocorrência destes eventos de risco e desagrava o impacto, em caso de materialização”.

“Fruto também do trabalho conjunto que tem vindo a ser desenvolvido pelos serviços internos, no quadro da política interna de gestão integrada de risco, foi possível introduzir melhorias no atual exercício, desde logo a avaliação do risco por referência a processos de negócio, em lugar de unidades e áreas departamentais, e categorização dos eventos subsumíveis à tipologia legal do crime de corrupção tendo presente o nexo que existe entre um comportamento que prejudica a isenção e imparcialidade dos processos do Banco com motivações pessoais e em troca do recebimento de benefícios”, conclui o relatório.