Mitos y realidades del viaje del sector financiero a la nube

En el artículo del pasado 17 de mayo, explicamos brevemente qué es la computación en la nube, sus oportunidades y retos y la importancia para el conjunto de la actividad económica, también para el sector financiero.

Ahora vamos a dar un paso más allá y vamos a explicar los mitos y realidades del viaje del sector financiero, en particular del sector bancario, a la nube.

Empecemos con los mitos. Primer mito: el supervisor bancario no deja a los bancos ir a la nube. No es cierto y buena prueba de ello es la existencia de neobancos, es decir, bancos 100% digitales, sin sucursales físicas, que operan completamente a través de canales móviles o la web y que en muchos casos nacen ya íntegramente en la nube. Otro ejemplo de ello es la migración a la nube que muchas entidades bancarias tradicionales están acometiendo de parte de sus servicios bancarios. Segundo mito: el supervisor bancario ha homologado el uso de la nube por parte de las entidades bancarias. Es también falso, ya que los casos se analizan uno a uno, como explicaremos más abajo. Tercer mito: hay que notificar al supervisor bancario todo lo que se lleva a la nube. Incorrecto también, ya que sólo hay que notificar las externalizaciones de servicios críticos. Cuarto mito: las entidades bancarias migran sus servicios a la nube de la noche a la mañana. No es cierto, al menos para las entidades que hacen las cosas correctamente, sobre todo si estamos ante servicios críticos. No se trata de un Big Bang, sino de una migración gradual. Lo habitual es comenzar con una fase piloto, continuar con una fase de proyecto y sólo si todo ha salido bien, pasar ya a la fase de producción.

Y vayamos ahora con las realidades. Empezando con el plano regulatorio, seguramente usted ha oído hablar de la Ley de Resiliencia Operativa Digital (DORA, por sus siglas en inglés) y de los requisitos que impone a las terceras partes. Sin embargo, en la práctica, DORA aún no resulta de aplicación plena, a la espera de desarrollar la normativa de segundo y tercer nivel. Pero eso no implica que haya un hueco legal, todo lo contrario. En efecto, resultan de aplicación la Circular 3/2022 del Banco de España, en particular la norma 43, así como las Directrices sobre externalización de la Autoridad Bancaria Europea.

Siguiendo con las oportunidades y los mecanismos para mitigar los riesgos. Indudablemente, la computación en la nube supone verdaderas oportunidades en términos de escalabilidad, fácil disponibilidad de actualizaciones tecnológicas, ubicuidad, optimización de recursos y reducción de costes. Pero para disfrutar de estas oportunidades y sacar el máximo provecho, hay que gestionar los riesgos adecuadamente. La normativa citada anteriormente requiere a las entidades tener una política de externalización aprobada por el Consejo y a revisar cada dos años. En la política de externalización, las entidades deberán comparar sus proveedores con las alternativas de mercado, analizar la continuidad del proveedor en mercado, su reputación y viabilidad económica, tener en cuenta las cadenas de externalización, así como definir un plan de salida para poder cambiar de proveedor o reubicar los servicios de la nube de nuevo en sus instalaciones. Por medio de la política de externalización, se pretende que las entidades identifiquen los riesgos concretos de la externalización recogidos por la normativa, como el nivel de concentración y dependencia de un proveedor, la subcontratación (también conocida como “riesgo de cuarta parte”), el riesgo de que el proveedor en el que se externaliza requiera apoyo financiero, el riesgo operacional y tecnológico, el riesgo reputacional o el riesgo de incumplimiento de contrato, entre otros. Una vez mitigado, el riesgo residual deberá estar alineado con el apetito al riesgo de la entidad financiera.

En tercer lugar, tratemos sobre el papel del supervisor bancario. Como decíamos antes, no es necesario notificar al supervisor bancario todo lo que se lleva a la nube, bastando con la notificación de las externalizaciones críticas. Las entidades significativas notificarán al BCE y las menos significativas al Banco de España al menos dos meses antes del inicio del uso efectivo de la función. El procedimiento es de no objeción, de modo que transcurridos dos meses desde la notificación, operará el silencio positivo y la entidad podrá empezar a hacer uso del servicio en la nube. La documentación que requiere el supervisor es variada, pero destacan especialmente el contrato entre la entidad y el proveedor, los acuerdos de nivel de servicios, la política de externalización de la entidad, así como una evidencia de su aprobación, el análisis de riesgos tanto generales como específicos y el plan de salida. Además, se exige que el contrato entre la entidad y el proveedor contenga una serie de cláusulas como el derecho de acceso y auditoría por parte de la entidad financiera como de los supervisores, el derecho de terminación y salida, la notificación de incidentes (por ejemplo, ataques, brechas de datos), la notificación de cambios materiales (como cambios en las regiones de los proveedores) o la notificación de cambios en la cadena de subcontratación. El supervisor permite la presentación de un borrador de contrato, pero una vez firmado, deberá ser remitido por la entidad en un plazo máximo de 15 días.

Por último, la migración de los servicios a la nube supone una responsabilidad compartida entre la entidad bancaria y el proveedor. Si bien la entidad delega el servicio en el proveedor, no puede deshacerse íntegramente de la responsabilidad. Al fin y al cabo, el que da la cara frente al cliente final es el banco. Por ello es fundamental que banco y proveedor funcionen como un verdadero equipo y que en ambos haya profesionales especializados en la materia.

La nube puede llegar a ser una oportunidad para que el sector bancario se libere de la gestión de las cuestiones más operativas y tecnológicas, pasando a centrarse en el núcleo de lo que siempre ha sido su negocio: la captación de financiación y la concesión de crédito. Por ello, es importante seguir profundizando en esta cuestión y descubriendo los distintos ángulos del debate. Y seguiremos en ello. Nos vemos en el siguiente capítulo del viaje a la nube del sector financiero.