O que o Reino Unido designou a 13 de julho

A mudança parece silenciosa à superfície e é grande por baixo. A 4 de julho de 2026, o Tesouro britânico designou formalmente quatro fornecedores de nuvem como terceiros críticos para o sistema financeiro do Reino Unido, anunciou-o a 10 de julho, e a supervisão entrou em vigor na segunda-feira, 13 de julho. As entidades indicadas são Amazon Web Services EMEA SARL, Microsoft Ireland Operations Limited, Google Cloud EMEA Limited e Oracle Corporation UK Limited.

O poder é novo, a preocupação não. Os supervisores receiam há anos que um punhado de fornecedores sustente já a maior parte do sistema financeiro, mas até ao Financial Services and Markets Act 2023 só podiam vigiar os bancos, as seguradoras e as instituições de pagamento, nunca os fornecedores de que estes dependem. A lei criou o regime dos terceiros críticos precisamente para alcançar o fornecedor de forma direta.

Desde segunda-feira, os três supervisores podem agir em conjunto. O Banco de Inglaterra, a Prudential Regulation Authority e a Financial Conduct Authority podem agora recolher informação dos quatro fornecedores, avaliar a sua resiliência operacional, exigir-lhes testes perante cenários graves mas plausíveis, pedir autoavaliações periódicas e receber comunicações de qualquer incidente grave que possa propagar-se pela finança britânica.

Supervisionar o seu fornecedor não é assumir o seu risco

A frase mais importante do anúncio é a que não transfere nada. A designação não é uma autorização. Os supervisores vigiam a resiliência dos serviços que estes fornecedores vendem, não certificam os fornecedores nem assumem o risco. Se a sua carga de trabalho se apagar porque uma região falha, a responsabilidade continua a recair sobre a sua empresa, que escolheu o fornecedor, a arquitetura e o plano de recuperação.

Sarah Breeden, vice-governadora do Banco para a estabilidade financeira, expôs a razão com clareza. À medida que os terceiros críticos se enraízam mais fundo nas instituições financeiras, observou, podem introduzir novas formas de risco sistémico. O regime procura ver esse risco na origem, não retirá-lo dos livros de uma empresa concreta.

É nessa distinção que os proprietários leem mal a notícia. Um título de designação soa a alívio, como se alguém maior fosse agora dono do problema. É o contrário. A fasquia da sua própria gestão do risco de fornecedores, do seu plano de saída e do seu mapa de concentração acabou de subir, pois existe agora uma norma supervisionada com a qual o seu próprio supervisor o pode medir.

A concentração é agora uma categoria oficial

O sinal de fundo é o que o Estado registou agora. Ao nomear quatro fornecedores com sede nos EUA como sistemicamente críticos, o Reino Unido registou formalmente que a sua canalização financeira assenta num número muito reduzido de fornecedores estrangeiros. Isto já não é um diapositivo num comité de risco, é uma designação com força legal por trás.

A mesma lógica já está em vigor do outro lado do Canal. O regulamento europeu de resiliência operacional digital, conhecido como DORA, criou um regime de supervisão quase idêntico para os terceiros críticos das TIC, conduzido pelas Autoridades Europeias de Supervisão. Em Portugal, o Banco de Portugal coloca perguntas semelhantes, e uma empresa ativa em ambos os lados enfrenta dois supervisores com as mesmas duas perguntas: quão concentrado está, e pode sair.

Os argumentos de soberania e multinuvem deixam aqui de ser teóricos. A razão para manter uma via testada fora de um único hiperescalador assentava antes no princípio e na alavanca de compras. Assenta agora também numa norma de resiliência que um supervisor pode inspecionar, o que transforma a conversa interna de preferência em cumprimento.

O que resolver antes de o supervisor perguntar

Trate a designação como um prazo que impõe a si próprio. Mapeie quais das suas cargas críticas assentam em qual dos quatro fornecedores, registe a concentração com honestidade e ensaie a saída em vez de a presumir. Um plano de recuperação que nunca foi testado perante uma falha grave mas plausível é um documento, não uma capacidade, e é exatamente essa a lacuna que um supervisor está treinado para encontrar.

As empresas que parecem serenas numa auditoria são as que já conhecem a sua resposta. Sabem nomear os seus pontos únicos de falha, mostrar uma via testada fora de cada um e provar que o conselho debateu a concentração antes de um supervisor a levantar. A designação não criou esse trabalho, tornou visível a sua ausência.