- ANDRÉS STUMPF Bruselas
- El BCE recela de la banca ante un 'shock' sin apoyo público
- El BCE tendrá que subir tipos si la guerra se alarga
El supervisor busca reforzar la vigilancia sobre la externalización de servicios. Pide a las entidades un análisis de su dependencia.
La digitalización ha traído a la banca europea una mejora de eficiencia sin precedentes, pero por el camino ha generado también nuevas amenazas a un negocio que se enfrenta ahora a riesgos que trascienden ya la concesión de crédito. Es algo de lo que el Banco Central Europeo (BCE) ha tomado buena nota, especialmente ante el peligro que supone la concentración de la externalización de los servicios digitales sobre la que quiere reforzar su vigilancia y que considera una prioridad supervisora.
Según datos recopilados por el supervisor europeo, un 80% de los grandes bancos que están bajo su vigilancia fía la continuidad de las llamadas funciones críticas a una única compañía: Microsoft. Se trata de nada menos que de 87 entidades que contratan los servicios en la nube con el gigante estadounidense y que quedan expuestas a que ciberataques o caídas en el servicio de la compañía pongan en jaque la operativa habitual.
La situación se ha vuelto especialmente delicada en estos momentos de renovada tensión geopolítica. En el supervisor se pide a las entidades que tengan en cuenta que la externalización de sus funciones críticas a compañías en países de fuera de la Unión Europea puede suponer un riesgo adicional de que se instrumentalicen las dependencias para un ataque económico.
Escasas alternativas
Pero en el BCE también son conscientes de que no existen numerosas alternativas. Los gigantes tecnológicos de Estados Unidos se han convertido precisamente en trasatlánticos corporativos porque prestan servicios que nadie más consigue afrontar. Al menos, no con la escala con la que estas compañías logran hacerlo.
"A medida que aumenta la adopción de la nube en el sector de los servicios financieros, las instituciones financieras se están moviendo para poner funciones críticas e importantes del negocio en la nube, especialmente para facilitar el trabajo a distancia y las interacciones de los clientes remotos», asegura Dave Dadoun, director gerente de Cumplimiento Normativo Global de Servicios Financieros Mundiales en Microsoft.
El experto señala que "la oportunidad de servir a la industria a escala para las funciones empresariales clave conlleva la responsabilidad de proporcionar el nivel de garantía y supervisión que los clientes y los reguladores esperarán en este nuevo paradigma".
Según indica el BCE, la proporción de servicios críticos prestados por terceros que los bancos consideran difíciles o imposibles de sustituir alcanza un 82%. Además, de estas funciones, las entidades consideran que un 95% sería imposible de realizar de forma interna, lo que aumenta su riesgo.
El BCE ha detectado una situación de oligopolio entre los prestatarios de servicios en la nube, aunque reconoce que el número de opciones disponibles es suficiente para garantizar la seguridad de las funciones críticas de las entidades si se lleva a cabo una estrategia de respaldo.
Contingencia
Ante los nuevos riesgos, el BCE no apuesta por la prohibición y considera que los bancos pueden seguir aprovechando las ventajas de la digitalización y de tener sus servicios en la nube siempre que cuenten con las suficientes precauciones como para mantener sus funciones críticas operativas o recuperarlas en un tiempo prudente en caso de problemas.
El supervisor, sobre la base de las exigencias de la nueva regulación DORA, exige a las entidades que firmen contratos para que sus servicios estén garantizados por múltiples centros de datos en diferentes ubicaciones geográficas, una estrategia más costosa, pero que permite la migración a un centro de datos en otra ubicación física en caso de que el primero sufra un ataque o caída del sistema.
Tener dos zonas de disponibilidad sincronizadas en caliente en la misma ubicación física podría no ser suficiente si una función es crítica, según indica el Banco Central Europeo, que señala que un enfoque multirregional es aún mejor, ya que ofrece mayor seguridad que una configuración con múltiples zonas virtuales en la misma región.
La banca paga 20.400 millones de euros anuales por externalizar la operativa de sus funciones críticas a gigantes tecnológicos con contratos más caros por las garantías de seguridad. Sin embargo, los beneficios de estos acuerdos exceden con creces un coste que, además, desde el supervisor se recuerda que nadie obliga a la banca a asumir si no lo ve económicamente beneficioso.
"Para cada decisión de subcontratación de funciones clave, los bancos deben realizar un análisis sobre sus implicaciones y su dependencia de terceros", advierte el banco central.
Por el momento, el BCE considera que las entidades deben mejorar en su capacidad para lidiar con interrupciones graves, pero plausibles de su actividad, tal y como demostraron los resultados de los últimos test de estrés de ciberresiliencia.
La banca de Wall Street alerta de riesgos de liquidez si escala el conflictoEl ataque a Irán golpea el riesgo de Santander y BBVA, pero preserva a CaixaBankING reorganiza su comité de dirección con la Banca Privada y la de Empresas Comentar ÚLTIMA HORA