INTELIGENCIA ARTIFICIAL

Publicado 13/07/2026

Reino Unido comienza a regular la nube como infraestructura crítica del sistema financiero

Microsoft, Google, Amazon Web Services y Oracle quedarán bajo la supervisión directa del Banco de Inglaterra y de los reguladores financieros británicos. La medida reconoce que una falla en unos pocos proveedores tecnológicos puede paralizar simultáneamente bancos, aseguradoras, mercados y sistemas de pagos.
Compartir
Compartir por Facebook Compartir por WhatsApp Compartir por X Compartir por Telegram

Microsoft, Google, Amazon Web Services y Oracle quedarán bajo la supervisión directa del Banco de Inglaterra y de los reguladores financieros británicos. La medida reconoce que una falla en unos pocos proveedores tecnológicos puede paralizar simultáneamente bancos, aseguradoras, mercados y sistemas de pagos.

El riesgo sistémico del sistema financiero ya no se encuentra solamente dentro de los bancos. También está en los centros de datos, las plataformas de nube y los sistemas informáticos administrados por un reducido grupo de compañías tecnológicas globales.

Con esa premisa, el Reino Unido designó a Microsoft, Google Cloud, Amazon Web Services y Oracle como terceros críticos del sector financiero, una categoría que permitirá que las empresas sean supervisadas directamente por el Banco de Inglaterra, la Prudential Regulation Authority y la Financial Conduct Authority.

El nuevo esquema comenzará a aplicarse el 13 de julio de 2026 y tendrá como objetivo reducir el peligro de que un ciberataque, una interrupción tecnológica o una falla operativa en alguno de estos proveedores se propague simultáneamente hacia numerosas entidades financieras. La medida supone un cambio profundo en la manera en que los Estados observan la infraestructura digital. Las compañías de nube ya no son consideradas únicamente proveedores contratados por los bancos, sino plataformas capaces de influir sobre la estabilidad de todo el sistema financiero.

 

 

Un nuevo tipo de riesgo sistémico

Los bancos, las aseguradoras y las infraestructuras de mercado dependen cada vez más de servicios tecnológicos externos para procesar operaciones, almacenar información, operar canales digitales, detectar fraudes y sostener servicios utilizados por millones de personas. El problema aparece cuando una gran cantidad de instituciones depende de los mismos proveedores.

Una interrupción en uno de ellos podría afectar al mismo tiempo la banca digital de distintas entidades, los sistemas de pagos, las operaciones de mercados financieros y otros servicios esenciales. La concentración tecnológica transforma así una falla informática individual en un potencial incidente sistémico.

El Banco de Inglaterra reconoció que los proveedores tecnológicos críticos están cada vez más integrados en las operaciones de las instituciones y que esa dependencia puede introducir nuevas formas de riesgo para la estabilidad financiera. La nube permite reducir costos, ampliar rápidamente la capacidad informática y acelerar el desarrollo de nuevos productos. Sin embargo, también concentra una parte creciente de la infraestructura financiera mundial en un conjunto limitado de compañías.

 

Qué significa ser un “tercero crítico”

El régimen británico incorpora la figura de los Critical Third Parties, o terceros críticos. La categoría puede aplicarse a empresas tecnológicas u otros proveedores cuyos servicios resulten fundamentales para el funcionamiento del sistema financiero. La designación no alcanza a toda la actividad comercial de Microsoft, Google, Amazon u Oracle, sino específicamente a los servicios que prestan a bancos, aseguradoras e infraestructuras financieras.

Las primeras entidades designadas fueron Amazon Web Services EMEA, Google Cloud EMEA, Microsoft Ireland Operations y Oracle Corporation UK. La decisión formal corresponde al Tesoro británico, mientras que la supervisión será desarrollada conjuntamente por el Banco de Inglaterra, la PRA y la FCA. El criterio central no es únicamente el tamaño del proveedor. Lo determinante es si una interrupción de sus servicios podría alcanzar simultáneamente a múltiples entidades, mercados o servicios utilizados por consumidores y empresas.

Las compañías designadas deberán demostrar que pueden mantener y recuperar los servicios críticos frente a fallas operativas, ciberataques y otros incidentes graves. El régimen contempla evaluaciones periódicas, pruebas de resiliencia, autoevaluaciones, mecanismos de gestión de riesgos y obligaciones de comunicación con los reguladores y con las instituciones que dependen de sus plataformas.

También deberán reportar incidentes relevantes de manera abierta y oportuna. El propósito es que las autoridades puedan conocer el alcance de una interrupción, coordinar respuestas y evitar que sus efectos se propaguen por todo el sistema financiero. El modelo se asemeja, en algunos aspectos, a las pruebas de resistencia aplicadas tradicionalmente a los bancos. La diferencia es que ahora el análisis se extiende hacia la infraestructura tecnológica sobre la que funcionan esas entidades.

Los reguladores ya no observarán solamente si un banco puede soportar una crisis financiera. También examinarán si los proveedores que sostienen sus operaciones pueden resistir una caída masiva, una intrusión informática o la interrupción prolongada de un centro de datos.

 

 

Las entidades financieras mantienen su responsabilidad

La implementación de una supervisión directa sobre los proveedores no exime a las instituciones financieras de sus obligaciones inherentes.  Los bancos, aseguradoras y operadores de mercado conservan la responsabilidad de evaluar a sus proveedores, gestionar los riesgos asociados a la tercerización, diseñar planes de contingencia y garantizar la continuidad operativa de sus servicios. El nuevo régimen normativo complementa estas obligaciones, sin reemplazarlas.

Anteriormente, la relación regulatoria se podía representar de manera lineal:

Regulador → banco → proveedor tecnológico.

Con la implementación del nuevo modelo, la supervisión incorpora una segunda vía:

Regulador → banco.

Regulador → proveedor tecnológico crítico.

Esta arquitectura regulatoria permite la intervención directa sobre las compañías que concentran riesgos sistémicos que ninguna institución financiera podría gestionar de manera individual. Amazon Web Services (AWS) afirma que el régimen normativo no modifica la responsabilidad de las instituciones financieras en la administración de sus servicios ni elimina la necesidad de realizar controles internos.  El esquema implementado agrega una capa de supervisión orientada a la mitigación de riesgos sistémicos derivados de los servicios tecnológicos compartidos.

 

Una regulación preparada durante años

En 2022, los organismos financieros británicos comenzaron a discutir mecanismos para supervisar directamente a los proveedores críticos. En 2023, la Financial Services and Markets Act otorgó al Tesoro y a los reguladores las facultades legales necesarias.

En noviembre de 2024, el Banco de Inglaterra, la PRA y la FCA publicaron las reglas definitivas sobre resiliencia operativa para terceros críticos. La normativa entró en vigor el 1 de enero de 2025, aunque su aplicación efectiva dependía de que el Tesoro identificara formalmente a las compañías alcanzadas. La designación de Microsoft, Google, Amazon Web Services y Oracle completa ese proceso y pone en funcionamiento, por primera vez, el esquema de supervisión directa.

El Reino Unido no es el único mercado que comenzó a tratar a los proveedores tecnológicos como infraestructura financiera crítica. La Unión Europea implementó el Reglamento de Resiliencia Operativa Digital, conocido como DORA, que establece un marco común para controlar los riesgos informáticos de bancos, aseguradoras, firmas de inversión y otras instituciones.

DORA también permite supervisar directamente a proveedores tecnológicos considerados críticos. Las autoridades europeas deben evaluar si esas empresas cuentan con sistemas adecuados de gobernanza, gestión de riesgos y resiliencia para prestar servicios al sector financiero.