Reino Unido declara a Microsoft, Google, Amazon y Oracle críticos para el sistema financiero
Los gigantes cloud pasan a ser supervisados por la Autoridad de Regulación Prudencial y la FCA
13 de julio de 2026 · 4 min de lectura
¿Qué ha ocurrido?
El Tesoro británico ha designado formalmente a Microsoft, Google, Amazon y Oracle como 'terceros críticos' para el sistema financiero del Reino Unido, según informó Reuters y recoge The Next Web. La designación, que entra en vigor el 13 de julio, implica que estos proveedores de servicios cloud estarán sujetos a una supervisión directa por parte de la Autoridad de Regulación Prudencial (PRA) del Banco de Inglaterra y la Autoridad de Conducta Financiera (FCA). La medida responde a la creciente dependencia de los bancos y otras instituciones financieras británicas de un puñado de proveedores cloud. El Tesoro estima que dos tercios de las empresas del Reino Unido dependen de estos mismos servicios, lo que genera una concentración de riesgo sistémico. Esta no es una decisión aislada: sigue la estela de regulaciones similares en la Unión Europea, como el Digital Operational Resilience Act (DORA), que entró en vigor en enero de 2023 y que también designa a proveedores de servicios TIC críticos. Además, países como Australia y Singapur han comenzado a evaluar marcos regulatorios para la resiliencia operativa digital en el sector financiero.
¿Por qué es importante?
La concentración de servicios críticos en manos de unas pocas empresas tecnológicas estadounidenses supone un riesgo sistémico de primer orden. Una interrupción en uno de estos proveedores podría paralizar gran parte del sistema financiero británico, afectando pagos, operaciones bursátiles y servicios bancarios cotidianos. Por ejemplo, en 2021, una interrupción de AWS afectó a múltiples servicios financieros en EE.UU., y en 2023, una caída de Microsoft Azure impactó a aerolíneas y bancos en todo el mundo. El Banco de Inglaterra ha advertido en repetidas ocasiones sobre los riesgos de la dependencia de unos pocos hyperscalers. Este movimiento refleja una tendencia global a tratar a los gigantes tecnológicos como infraestructuras críticas, similar a cómo se regula la electricidad o las telecomunicaciones. La designación también podría tener implicaciones geopolíticas, ya que estos proveedores son empresas estadounidenses, lo que plantea preguntas sobre la soberanía digital y la dependencia de infraestructura extranjera. Según un portavoz del Banco de Inglaterra citado por The Next Web, 'la regulación de terceros críticos es un paso necesario para proteger la estabilidad financiera en la era digital'.
¿Qué consecuencias tendrá?
Las empresas designadas deberán cumplir con requisitos más estrictos de resiliencia operativa, notificación de incidentes y pruebas de estrés. Esto incluye la obligación de realizar pruebas de penetración, auditorías de seguridad y planes de continuidad de negocio detallados. Podrían enfrentarse a sanciones si no cumplen, incluyendo multas que podrían alcanzar el 1% de los ingresos globales anuales, similares a las del GDPR, o restricciones operativas que les impidan ofrecer servicios a nuevas instituciones financieras. Para las instituciones financieras, esto podría traducirse en mayor estabilidad y menor riesgo de interrupciones. Sin embargo, también podría aumentar los costes de cumplimiento, ya que los proveedores trasladarán estos costes a sus clientes. Según un informe de Gartner, los costes de cumplimiento regulatorio en la nube podrían aumentar entre un 15% y un 20% en los próximos dos años. Además, la medida podría reducir la flexibilidad para elegir proveedores cloud, ya que algunos bancos podrían optar por diversificar entre múltiples proveedores para mitigar el riesgo, lo que incrementaría la complejidad operativa.
¿Qué deben saber los lectores?
- Impacto en el mercado: La medida podría sentar un precedente para que otros países sigan el ejemplo, aumentando la presión regulatoria sobre los hyperscalers. Países como India y Brasil ya están evaluando marcos similares. Esto podría llevar a una fragmentación del mercado cloud global, donde los proveedores tengan que adaptarse a diferentes regulaciones nacionales.
- Preparación: Las empresas financieras deben revisar sus contratos y planes de contingencia para alinearse con los nuevos requisitos. Es recomendable que realicen auditorías de dependencia y evalúen la viabilidad de estrategias multicloud. La FCA ya ha publicado directrices sobre cómo las empresas deben gestionar los riesgos de terceros críticos.
- Alternativas: Aunque la designación se centra en cuatro proveedores, podría abrir la puerta a que otros actores cloud (como IBM, Alibaba o proveedores europeos como OVHcloud) busquen certificaciones para competir en el mercado financiero. De hecho, la regulación DORA de la UE ya ha impulsado a proveedores europeos a obtener la certificación de 'proveedor crítico' para ganar cuota de mercado.
'La regulación de terceros críticos es un paso necesario para proteger la estabilidad financiera en la era digital', afirma un portavoz del Banco de Inglaterra.
En resumen, la decisión del Reino Unido marca un hito en la supervisión de la infraestructura tecnológica financiera, con implicaciones que van más allá de sus fronteras. La medida no solo afecta a los gigantes tecnológicos, sino que también redefine la relación entre reguladores, instituciones financieras y proveedores de servicios cloud. A medida que la digitalización del sector financiero avanza, la resiliencia operativa se convierte en un pilar fundamental de la estabilidad económica. Los próximos meses serán cruciales para ver cómo se implementan estos requisitos y si otros países adoptan enfoques similares.
Puntos clave
- Microsoft, Google, Amazon y Oracle son ahora considerados 'terceros críticos' para el sistema financiero del Reino Unido.
- La designación implica supervisión directa por parte del Banco de Inglaterra y la FCA.
- La medida responde al riesgo sistémico por la concentración de servicios cloud en pocas empresas.
- Las empresas deberán cumplir con requisitos más estrictos de resiliencia operativa.
- Podría sentar un precedente para otros países y aumentar la presión regulatoria sobre hyperscalers.
Preguntas frecuentes
¿Qué significa ser un 'tercero crítico' en el sistema financiero del Reino Unido?
Significa que el proveedor es esencial para la estabilidad del sistema financiero y, por tanto, estará sujeto a supervisión directa por parte de los reguladores financieros del Reino Unido, como el Banco de Inglaterra y la FCA.
¿Cuándo entra en vigor esta designación?
La designación entra en vigor el 13 de julio de 2025.
¿A qué empresas afecta?
Afecta a Microsoft, Google, Amazon y Oracle, los principales proveedores de servicios cloud.
¿Qué consecuencias tiene para las empresas designadas?
Deberán cumplir con requisitos más estrictos de resiliencia operativa, notificación de incidentes y pruebas de estrés, y podrían enfrentar sanciones en caso de incumplimiento.
Fuentes utilizadas
Sigue leyendo
Comentarios
Sé el primero en comentar.