La transformación digital es ya un proceso imparable que se extiende de manera transversal a todos los sectores económicos. Una de las tecnologías que ha emergido con mayor fuerza es la computación en la nube. La nube es una tecnología que permite la provisión de servicios de computación, incluyendo servidores, almacenamiento de archivos, bases de datos y software, a través de Internet. Usted ha tenido contacto con la nube con total seguridad: si alguna vez vio una serie en Amazon Prime, editó un documento en Google Docs o escuchó una canción en Spotify, hizo uso de la nube.

Hay tres tipos de computación en la nube: pública, privada e híbrida. En la nube pública, los recursos computacionales, como servidores y almacenamiento, son estandarizados, pertenecen al tercero proveedor de la nube, se localizan en sus instalaciones y están disponibles para cualquier persona o empresa que desee contratarlos. La nube privada sería de uso exclusivo para una única organización y podría ubicarse tanto en las instalaciones de la propia empresa usuaria como en las del tercero proveedor. Y la nube híbrida sería una combinación de la pública y la privada, permitiendo la portabilidad de datos y aplicaciones entre ellas.

En cuanto a las funcionalidades y servicios proporcionados por la nube, se distinguen también tres modelos: infraestructura como servicio (IaaS por sus siglas en inglés), plataforma como servicio (PaaS) y software como servicio (SaaS). En el modelo IaaS, se alquilan recursos de infraestructura, como servidores, centros de datos, hardware y demás herramientas que posibilitan la transmisión y el almacenamiento de datos. En el modelo PaaS, se contrata un ambiente completo de desarrollo, en el que es posible crear, modificar y optimizar softwares y aplicaciones. Y por último, en el SaaS, se ponen a disposición del usuario aplicaciones finales listas para su uso y sin la posibilidad de que el usuario pueda modificarlas.

La computación en la nube presenta múltiples ventajas. En primer lugar, escalabilidad y flexibilidad. Gracias a la nube, las empresas pueden ampliar o reducir fácilmente sus recursos en función de sus necesidades, sin tener que invertir en hardware o software adicional, respondiendo así rápidamente a los cambios en la demanda. En segundo lugar, ahorro de costes. A diferencia de los modelos tradicionales que requieren fuertes inversiones iniciales en hardware y software, la nube permite pagar una subscripción y además, ajustar el pago al uso efectivo realizado. En tercer lugar, seguridad y cumplimiento. Los proveedores de computación en nube invierten mucho en medidas de seguridad y cumplimiento para proteger los datos de sus clientes. En efecto, utilizan cifrado avanzado, controles de acceso y herramientas de supervisión para garantizar la confidencialidad, integridad y disponibilidad de los datos. Por último, innovación. Al aprovechar los servicios y herramientas en la nube, las empresas pueden crear nuevas aplicaciones, experimentar con nuevas tecnologías y colaborar en proyectos en tiempo real.

No obstante, como todo en la vida, la nube también entraña desafíos y riesgos. Para empezar y dependiendo de la arquitectura de la infraestructura escogida, puede haber un riesgo de concentración y de dependencia del proveedor. En efecto, Amazon Web Services, Microsoft Azure y Google Cloud ostentaron una cuota de mercado superior al 60% en la provisión de IaaS y PaaS en el primer trimestre de 2023. Luego de valorar la mitigación de los riesgos debido a la arquitectura utilizada, y en aras de mitigar los riesgos restantes, podrían explorarse alternativas por la industria como el empleo de tecnología de código abierto y enfoques multinube, que fomenten la portabilidad y la interoperabilidad. En segundo lugar, la falta de una adecuada formación del personal supone un desafío, ya que la toma de decisiones sobre si trasladarse a la nube y en su caso qué funciones trasladar, así como la estrategia para llevarlo a cabo de manera óptima, requieren unos conocimientos nuevos y técnicos que no abundan en el mercado. En tercer lugar, el avance más lento de la regulación con respecto a los desarrollos tecnológicos puede llegar a suponer obstáculos también para el despliegue de esta tecnología. Por último, la importancia creciente de esta tecnología podría alterar también la naturaleza de los riesgos operativos a gestionar (por ejemplo, en términos de localización de datos).

Por supuesto, el sector financiero no permanece al margen de la cada vez mayor relevancia de esta tecnología. Los cambios en las demandas de los consumidores, así como la necesidad de reducir costes y aumentar eficiencia no están dejando más opción a las entidades financieras que la de abrazar el cambio digital y en muchos casos, iniciar su viaje a la nube.

Como para el resto de sectores económicos, una migración bien diseñada de determinados servicios a la nube puede resultar positiva para determinadas entidades financieras. La Junta de Estabilidad Financiera concluyó en un informe de 2019 que la computación en la nube no suponía un riesgo inmediato para la estabilidad financiera. En esos momentos, el uso de la nube por entidades financieras para servicios críticos era reducido, con las excepciones del correo electrónico y la modelización de riesgos. Pero ya han pasado unos años y el recurso a la nube cada vez es mayor. Las autoridades públicas son conscientes de ello, por lo que se han puesto manos a la obra para mitigar los riesgos, a la vez que se permite un uso eficiente de esta tecnología.

En el caso de la UE, destaca la Ley de Resiliencia Operativa Digital (DORA, por sus siglas en inglés). DORA establece uno de los primeros marcos regulatorios mundiales que permite a los supervisores de servicios financieros controlar a las denominadas “terceras partes”, es decir, a los proveedores externos de servicios, incluyendo a los de servicios en la nube. En particular, las Autoridades Supervisoras Europeas (EBA, ESMA y EIOPA) tendrán importantes facultades supervisoras sobre los proveedores de servicios considerados críticos, pudiendo llegar a solicitarles cambiar sus prácticas de seguridad y sancionarles en caso de que no se produzca la correspondiente modificación. Además, en caso de que los proveedores de servicios críticos no tuvieran sede en la UE, tendrán la obligación de establecer una filial en territorio de la UE en los 12 meses siguientes desde su designación como crítico. Aunque DORA entró en vigor en enero de 2023, todavía queda el desarrollo de normativa secundaria e incluso terciaria para su plena operatividad. En concreto, la normativa de nivel 2 estará constituida por los Estándares Regulatorios y de Implementación Técnicos que desarrollen las Autoridades Supervisoras Europeas. Y la normativa de nivel 3 consistirá en el desarrollo de cláusulas contractuales estandarizadas para la externalización a la nube.

En definitiva, las ganancias de eficiencia de la nube para las entidades bancarias son innegables: aumento en la velocidad de innovación, reducción de costes de establecimiento y mantenimiento de infraestructuras tecnológicas, posibilidad de escalar o desescalar proyectos con facilidad e inmediatez e incluso, mejores sistemas de ciberseguridad. Sin embargo, la transición desde el modelo basado en la propia entidad financiera hasta la nube no es sencilla y además, la operativa a partir de la nube de servicios bancarios, fundamentales para el buen desarrollo de la actividad económica, no está exenta de riesgos que hay que analizar y estudiar por parte de los académicos, supervisores, reguladores y miembros de la industria financiera y tecnológica.