Qué designó el Reino Unido el 13 de julio
El cambio parece silencioso en la superficie y es grande por debajo. El 4 de julio de 2026 el Tesoro británico designó formalmente a cuatro proveedores de nube como terceros críticos para el sistema financiero del Reino Unido, lo anunció el 10 de julio y la supervisión entró en vigor el lunes 13 de julio. Las entidades nombradas son Amazon Web Services EMEA SARL, Microsoft Ireland Operations Limited, Google Cloud EMEA Limited y Oracle Corporation UK Limited.
La potestad es nueva, la inquietud no. Los supervisores llevan años temiendo que un puñado de proveedores sostenga ya la mayor parte del sistema financiero, pero hasta la Financial Services and Markets Act 2023 solo podían vigilar a los bancos, aseguradoras y firmas de pago, nunca a los proveedores de los que estas dependen. La ley creó el régimen de terceros críticos precisamente para alcanzar al proveedor de forma directa.
Desde el lunes los tres supervisores pueden actuar de forma conjunta. El Banco de Inglaterra, la Prudential Regulation Authority y la Financial Conduct Authority pueden ahora recabar información de los cuatro proveedores, evaluar su resiliencia operativa, exigirles pruebas frente a escenarios graves pero plausibles, pedir autoevaluaciones periódicas y recibir informes de cualquier incidente grave que pueda propagarse por las finanzas británicas.
Vigilar a su proveedor no es asumir su riesgo
La frase más importante del anuncio es la que no transfiere nada. La designación no es una autorización. Los supervisores vigilan la resiliencia de los servicios que estos proveedores venden, no certifican a los proveedores ni asumen el riesgo. Si su carga de trabajo se apaga porque falla una región, la responsabilidad sigue cayendo sobre su firma, que eligió el proveedor, la arquitectura y el plan de recuperación.
Sarah Breeden, subgobernadora del Banco para la estabilidad financiera, expuso la razón con claridad. A medida que los terceros críticos se incrustan más en las instituciones financieras, señaló, pueden introducir nuevas formas de riesgo sistémico. El régimen intenta ver ese riesgo en su origen, no sacarlo de los libros de ninguna firma concreta.
En esa distinción es donde los propietarios leen mal la noticia. Un titular de designación suena a alivio, como si alguien mayor fuera dueño ahora del problema. Es lo contrario. El listón de su propia gestión del riesgo de proveedores, de su plan de salida y de su mapa de concentración acaba de subir, porque ya existe un estándar supervisado con el que su propio supervisor puede medirle.
La concentración ya es una categoría oficial
La señal de fondo es lo que el Estado ha puesto por escrito. Al nombrar a cuatro proveedores con sede en EE. UU. como sistémicamente críticos, el Reino Unido ha registrado formalmente que su fontanería financiera funciona sobre un número muy pequeño de proveedores extranjeros. Eso ya no es una diapositiva en un comité de riesgos, es una designación con fuerza legal detrás.
La misma lógica ya está viva al otro lado del Canal. El Reglamento europeo de Resiliencia Operativa Digital, conocido como DORA, creó un régimen de supervisión casi idéntico para los terceros críticos de TIC, a cargo de las Autoridades Europeas de Supervisión. En España, el Banco de España plantea preguntas similares, y una firma que opera en ambos lados afronta a dos supervisores con las mismas dos preguntas: cuán concentrada está y si puede marcharse.
Los argumentos de soberanía y multinube dejan aquí de ser teóricos. La razón para conservar una vía probada fuera de un único hiperescalador se apoyaba antes en el principio y en la palanca de compras. Ahora se apoya además en un estándar de resiliencia que un supervisor puede inspeccionar, lo que convierte la conversación interna de preferencia en cumplimiento.
Qué resolver antes de que pregunte el supervisor
Trate la designación como un plazo que usted mismo se fija. Cartografíe qué cargas críticas se apoyan en cuál de los cuatro proveedores, anote la concentración con honestidad y ensaye la salida en lugar de darla por hecha. Un plan de recuperación que nunca se ha probado frente a un fallo grave pero plausible es un documento, no una capacidad, y ese es justo el hueco que un supervisor está entrenado para encontrar.
Las firmas que se ven serenas en una inspección son las que ya conocen su respuesta. Saben nombrar sus puntos únicos de fallo, mostrar una ruta probada fuera de cada uno y demostrar que el consejo debatió la concentración antes de que un supervisor la sacara. La designación no creó ese trabajo, hizo visible su ausencia.
Leer a continuación: Sus datos revisados por humanos ya eran medio máquina | Amazon pidió prestados 25.000 millones para IA



