El Gobierno británico someterá a los cuatro grandes proveedores de nube a supervisión directa para reforzar la resiliencia del sector financiero frente a ciberataques y fallos tecnológicos.
La dependencia del sector financiero respecto a los grandes proveedores de servicios en la nube continúa creciendo y, con ella, también aumentan los riesgos asociados a posibles interrupciones de estos servicios. Ante este escenario, el Gobierno del Reino Unido ha decidido designar a Microsoft, Google Cloud, Amazon Web Services (AWS) y Oracle como Proveedores Terceros Críticos (Critical Third Parties, CTP), una medida que permitirá someter a estas compañías a supervisión regulatoria directa con el objetivo de reforzar la resiliencia del sistema financiero británico frente a ciberataques, incidencias operativas o interrupciones tecnológicas.
La nueva designación entrará en vigor el próximo 13 de julio y afectará a Microsoft Ireland Operations Limited, Google Cloud EMEA Limited, Amazon Web Services EMEA SARL y Oracle Corporation UK Limited. A partir de ese momento, las cuatro compañías, consideradas hiperescalares, estarán bajo la supervisión conjunta del Banco de Inglaterra, la Prudential Regulation Authority (PRA) y la Financial Conduct Authority (FCA), que podrán evaluar la resiliencia de sus servicios críticos, solicitar información, realizar pruebas y exigir medidas correctoras cuando sea necesario.
"El Reino Unido es un centro financiero líder mundial y mantener la confianza en nuestro sistema financiero es esencial para su éxito", señala la secretaria económica del Tesoro y ministra para la City, Rachel Blake. En este sentido, ha señalado que estas designaciones contribuirán a garantizar que "los servicios críticos de los que dependen las entidades financieras permanezcan resilientes, protegiendo a consumidores y empresas mientras apoyan el crecimiento de la economía".
Supervisión directa para los servicios críticos en la nube
La decisión se apoya en el marco establecido por la Financial Services and Markets Act 2023, que creó el régimen de supervisión para proveedores tecnológicos considerados esenciales para el funcionamiento del sistema financiero.
El Ejecutivo británico considera que bancos, aseguradoras e infraestructuras de los mercados financieros dependen cada vez más de plataformas cloud para operar. En consecuencia, una interrupción en alguno de estos proveedores podría afectar simultáneamente a múltiples entidades y comprometer servicios de los que dependen millones de ciudadanos y empresas.
Los reguladores financieros podrán recopilar información sobre la prestación de estos servicios, evaluar periódicamente su capacidad de respuesta frente a incidentes y supervisar la implantación de mecanismos
Con el nuevo régimen, los reguladores financieros podrán recopilar información sobre la prestación de estos servicios, evaluar periódicamente su capacidad de respuesta frente a incidentes y supervisar la implantación de mecanismos que garanticen la continuidad operativa. Asimismo, podrán desarrollar normas específicas para estos proveedores e imponer su cumplimiento cuando resulte necesario. No obstante, el Gobierno británico aclara que esta supervisión se limita exclusivamente a los servicios considerados críticos para el sector financiero y no se extiende al conjunto de las operaciones globales de estas compañías.
La designación responde al objetivo de reducir el riesgo sistémico asociado a la creciente concentración de servicios tecnológicos en un reducido número de proveedores de nube. De este modo, las empresas designadas deberán someterse a pruebas de resiliencia, realizar autoevaluaciones periódicas e informar de cualquier incidente relevante que pueda afectar a la continuidad de los servicios prestados al sector financiero británico.
El Gobierno británico también considera que una mayor colaboración entre reguladores y proveedores tecnológicos permitirá fortalecer la estabilidad financiera, impulsar la confianza de los mercados y favorecer nuevas inversiones e innovación.
Microsoft, Google, AWS y Oracle respaldan el nuevo marco
Las cuatro compañías han mostrado públicamente su apoyo al nuevo régimen regulatorio y han confirmado su compromiso de colaborar con las autoridades británicas.
Microsoft ha señalado que la designación marca "un nuevo capítulo" en su colaboración con el Reino Unido y ha asegurado que cumplirá plenamente los requisitos regulatorios y las leyes británicas sobre ciberseguridad y resiliencia.
Por su parte, Google Cloud considera que, si el nuevo marco se implementa de forma efectiva y con la participación de la industria, contribuirá a mejorar la resiliencia del ecosistema financiero británico y aumentará la transparencia entre todas las partes implicadas.
En la misma línea, AWS ha manifestado que comparte el objetivo de las autoridades de garantizar un sistema financiero robusto y ha confirmado que cumplirá toda la normativa aplicable. Oracle también ha respaldado la iniciativa y ha asegurado que trabajará estrechamente tanto con los reguladores como con sus clientes del sector financiero para reforzar la resiliencia operativa.
La iniciativa británica llega pocos meses después de que la Unión Europea designara a 19 empresas tecnológicas y de servicios bajo un marco regulatorio similar para supervisar a proveedores considerados esenciales para el funcionamiento del sistema financiero.