El Gobierno del Reino Unido ha anunciado la designación de cuatro grandes proveedores de servicios en la nube como terceros críticos para el sector financiero, una medida que busca reducir la exposición de bancos, aseguradoras e infraestructuras de mercado ante fallos masivos o ciberincidentes. Las empresas afectadas son Microsoft Ireland Operations Ltd, Google Cloud EMEA Ltd, Amazon Web Services EMEA SARL y Oracle Corporation UK Ltd, con efecto a partir del 13 de julio.
Qué implica la designación
La catalogación como terceros críticos sitúa a estos proveedores bajo una supervisión regulatoria conjunta ejercida por el Banco de Inglaterra, la Autoridad de Regulación Prudencial (PRA) y la Autoridad de Conducta Financiera (FCA). Entre las obligaciones que el Ejecutivo ha impuesto figuran:
- Realización de pruebas de resistencia (stress tests) para evaluar la capacidad de mantener servicios esenciales ante interrupciones.
- Autoevaluaciones periódicas sobre riesgos operativos y de seguridad.
- Notificación obligatoria de incidentes graves que puedan afectar a múltiples entidades financieras.
En el comunicado oficial, el Ejecutivo justificó la decisión por la creciente dependencia de servicios en la nube: una interrupción en un proveedor importante podría provocar efectos en cadena que afecten a los clientes finales y al funcionamiento del sistema financiero.
"A medida que los bancos, las aseguradoras y las infraestructuras de los mercados financieros dependen cada vez más de los servicios en la nube, una interrupción en un proveedor importante podría afectar a múltiples empresas al mismo tiempo, lo que podría repercutir en los servicios de los que dependen los clientes."
Supervisión y comparativa con la UE
La supervisión conjunta de Banco de Inglaterra, PRA y FCA implica que estos proveedores tendrán que adaptar sus prácticas de gestión de riesgos y transparencia para cumplir requisitos regulatorios específicos del Reino Unido. La aproximación británica presenta similitudes con iniciativas europeas, pero difiere en su alcance y en las empresas designadas: la Unión Europea, en noviembre, incluyó a 19 empresas de tecnología y servicios bajo un marco regulatorio equivalente, mientras que el Reino Unido ha seleccionado de momento a cuatro actores concretos.
| Proveedor | Designación efectiva | Supervisores |
|---|---|---|
| Microsoft Ireland Operations Ltd | 13 de julio | Banco de Inglaterra / PRA / FCA |
| Google Cloud EMEA Ltd | 13 de julio | Banco de Inglaterra / PRA / FCA |
| Amazon Web Services EMEA SARL | 13 de julio | Banco de Inglaterra / PRA / FCA |
| Oracle Corporation UK Ltd | 13 de julio | Banco de Inglaterra / PRA / FCA |
Un portavoz de Google Cloud señaló que, con una implementación eficaz y un compromiso significativo del sector, el nuevo marco puede mejorar la resiliencia a largo plazo del ecosistema financiero del Reino Unido y aumentar la transparencia y la confianza entre las partes. La declaración subraya la necesidad de colaboración entre reguladores y proveedores para mitigar riesgos sistémicos.
Las implicaciones prácticas de esta decisión afectan a la planificación de continuidad de negocio de entidades financieras, a los contratos con proveedores y a las exigencias de cumplimiento normativo. Para las propias tecnológicas, supone una mayor carga de supervisión y, potencialmente, adaptaciones operativas y de reporte que deberán coordinar con los reguladores británicos.
En un contexto de creciente concentración de servicios en la nube, la medida del Reino Unido ejemplifica la tendencia de los reguladores a intervenir para proteger la estabilidad financiera frente a riesgos tecnológicos que trascienden a empresas concretas y pueden convertirse en riesgos sistémicos.