¿Dependen demasiado los bancos de las big tech?

La tecnología se ha convertido en una palanca indispensable para las entidades financieras. Y no sólo para seguir creciendo, sino incluso para asegurar su supervivencia. Tecnologías como el cloud computing o la inteligencia artificial son fundamentales para los grandes bancos, que recurren a las big tech y un reducido grupo de proveedores tecnológicos para poder disfrutar de toda la potencia que ofrecen sus plataformas.

Esta es la mejor manera, y quizá casi la única, de explotar todas las posibilidades que brinda la tecnología. Al fin y al cabo, las entidades financieras no pueden volcar todos sus recursos en el desarrollo de este tipo de tecnologías, sino que han de atender a su negocio core. Y tampoco pueden competir en recursos y talento con las big tech.

“Todo se debe, fundamentalmente, a los importantes costes que implica el desarrollo de estas tecnologías de forma eficaz y eficiente por parte de las entidades bancarias”, afirma Francisco Cortés, director del Máster en Asesoramiento Financiero y Bancario de la Universidad Internacional de La Rioja (UNIR).

“La colaboración con gigantes tecnológicos aporta muchos beneficios en términos de eficiencia y acceso a la innovación”, admite Ignacio Castillo, director general de IMMUNE Technology Institute. Sin embargo, también tiene consecuencias. “Los bancos, y cualquier organización, deben ser conscientes de los riesgos asociados a una dependencia excesiva en cualquier ámbito, no sólo en el tecnológico”, apunta.

De hecho, José Manuel Campa, presidente de la Autoridad Bancaria Europea (EBA, por sus siglas en inglés), advirtió  hace poco acerca del riesgo que supone la excesiva dependencia de los bancos de los servicios prestados por un número muy limitado de gigantes tecnológicos, a los que las entidades subcontratan servicios esenciales como la infraestructura de red, la gestión del tratamiento de datos o la computación en la nube, como recogía Expansión.

Riesgos de una excesiva dependencia

La concentración de estos servicios en unos pocos proveedores entraña distintos riesgos. El primero se refiere a la continuidad de negocio. “Si un servicio esencial es proporcionado por un único proveedor y éste enfrenta una interrupción —por razones técnicas, financieras o legales, entre otras—, los bancos pueden encontrar sus operaciones severamente afectadas sin alternativas rápidas. Esto podría desencadenar desde inconvenientes operativos hasta serios problemas de liquidez o solvencia, dependiendo de la naturaleza del servicio afectado”, advierte Javier Horcajuelo, director de Sistemas y Seguridad informática de Sale Systems. “Esto es especialmente preocupante en el sector bancario, donde la confianza y la estabilidad son fundamentales”, añade.

También nos encontramos ante un posible riesgo sistémico. “Cuando muchos bancos dependen de los mismos proveedores, una falla podría no afectar a una sola institución, sino desencadenar una crisis a nivel sistémico. Este escenario es especialmente preocupante para los reguladores, ya que una falla en un servicio crítico podría propagarse a través del sistema financiero y tener consecuencias económicas amplias”, apunta el experto de Sale Systems.

Marc Rufé, profesor de EAE Business School, también incide en la vulnerabilidad sistémica que conlleva la concentración en manos de unos pocos proveedores. “Un fallo técnico o de seguridad en un proveedor central puede tener un efecto dominó. Por ejemplo, si un servicio esencial de nube sufre una interrupción, los bancos que dependen de ese servicio podrían experimentar interrupciones simultáneas en sus operaciones, lo que podría desencadenar una crisis de confianza entre los clientes y perturbar el funcionamiento normal del mercado financiero”.

Asimismo, Richard Harmon, VP & global head of Financial Services de Red Hat, remarca que “el resultado del aumento del uso de la nube es un sector financiero hiperconectado y una superficie de ataque mayor y potencialmente más vulnerable para las entidades”.

“Cada vez más, las entidades acceden a una amplia gama de datos y servicios de terceros a través de los mismos servidores y centros de datos de la nube pública. Si una sola organización es vulnerable, puede afectar a las demás. En 2021, por ejemplo, la Reserva Federal estadounidense hizo una simulación de cómo podría afectar un ciberataque al sistema financiero estadounidense. Estimó que el deterioro de uno de los cinco bancos estadounidenses más activos probablemente provocaría importantes efectos colaterales en otros bancos, con una media del 38% de la red financiera nacional afectada. Si los bancos responden a la incertidumbre acumulando liquidez, el impacto potencial en términos de impagos es dramático. Podría alcanzar más de 2,5 veces el PIB diario”, explica.

Además, debemos tener en cuenta la sensibilidad de los datos que obran en poder de las entidades financieras. “Los bancos manejan datos financieros sensibles. Si bien los gigantes tecnológicos suelen tener sofisticadas medidas de seguridad, la centralización de mucha información en pocas compañías crea puntos de ataque potencialmente atractivos para los ciberdelincuentes. Un solo fallo de seguridad podría comprometer una cantidad enorme de datos”, añade Horcajuelo.

En este sentido, las big tech podrían estar en el punto de mira no sólo de grupos de ciberdelincuentes, sino que también pueden ser objetivo de gobiernos y actores estatales, “lo que plantea preocupaciones sobre la privacidad y la seguridad nacional”, precisa el responsable de Sale System.

La concentración también desplaza el poder de los bancos a las big tech. “Cuando hay pocos proveedores dominantes, los bancos pueden encontrarse en una posición desfavorecida para negociar términos contractuales, precios y niveles de servicio. Esto puede llevar a condiciones menos favorables y costos más elevados para los bancos”, apunta Rufé.

Además, puede provocar dependencias y costos ocultos. “Una vez que un banco integra profundamente los servicios de un proveedor particular en sus operaciones, puede ser extremadamente difícil y costoso desvincularse o migrar a un nuevo proveedor. Esta dependencia puede llevar a costos ocultos a largo plazo, como tarifas incrementales o la necesidad de inversiones significativas si se decide cambiar a un nuevo proveedor”, recalca el profesor de EAE Business School.

Igualmente, Horcajuelo indica que “una alta concentración de servicios reduce la competencia, otorgando a los proveedores dominantes un gran poder de mercado”. “Esto puede llevar a precios más altos, innovación restringida, y condiciones desfavorables para los bancos. Además, los bancos pueden encontrarse en una situación de dependencia, donde cambiar de proveedor es casi impracticable por los altos costos o la falta de alternativas viables”, valora.

Rufé ahonda en el efecto pernicioso en la innovación que puede tener la concentración.  “Con menos competencia, puede haber menos incentivos para que los proveedores innoven y mejoren sus servicios. Esto podría resultar en que los bancos no tengan acceso a las mejores y más recientes tecnologías o soluciones disponibles en el mercado”, expone.

De igual modo, cree que puede dejar a los bancos con escaso margen de maniobra ante posibles cambios normativos. “Si un regulador introduce nuevos requisitos o normas, la adaptación puede ser más lenta o más costosa cuando se depende de un pequeño grupo de proveedores que dominan el mercado, ya que pueden tener menos agilidad para adaptar sus sistemas a las nuevas demandas”.

Un problema transfronterizo

Cortés hace hincapié en que la mayoría de estos proveedores tecnológicos “son compañías radicadas fuera de la Unión Europea”, lo que “implica una gran vulnerabilidad y un alto riesgo”.

“El control y fiscalización de estas compañías se hace más complejo. Y las legislaciones y las jurisdicciones a las que se someten son distintas a las de referencia de las entidades en la UE, por lo que los procesos litigiosos pueden llegar a ser francamente complejos, requiriendo cada vez mayores garantías contractuales e institucionales”, aclara.

Horcajuelo también se detiene en el riesgo político y de estabilidad. “Las relaciones entre países pueden afectar la estabilidad y disponibilidad de ciertos servicios. Por ejemplo, en situaciones de tensión geopolítica, sanciones o incluso conflictos comerciales, la prestación de servicios tecnológicos críticos podría verse comprometida. Además, las empresas extranjeras pueden estar sujetas a órdenes de su propio gobierno que están en conflicto con las leyes europeas o los intereses de los bancos europeos”, comenta.

Otro riesgo se refiere a la transferencia transfronteriza de datos. “Cuando los datos se mueven a través de fronteras internacionales, se encuentran sujetos a diferentes regímenes de protección de datos y privacidad. En el caso de la UE, el Reglamento General de Protección de Datos (RGPD) establece estándares rigurosos para la protección de datos personales. Las empresas no europeas podrían no cumplir con estos estándares de forma inherente, lo que requeriría estructuras y acuerdos adicionales para garantizar la conformidad, como las Cláusulas Contractuales Tipo o acuerdos de Escudo de Privacidad”, subraya el profesor de EAE Business School.

Además, opina que “al depender de infraestructuras tecnológicas ubicadas en territorios fuera de la jurisdicción de la UE, los bancos pueden encontrar dificultades para asegurar la resiliencia y redundancia necesaria y para garantizar la integridad de los datos y sistemas en caso de catástrofes o eventos disruptivos”.

En esta misma dirección, el experto de Sal Systems indica que “diferencias en la gestión de desastres, la regulación local o incluso los husos horarios pueden afectar la capacidad de un proveedor para mantener la continuidad del servicio”. Además, advierte de que “en caso de una disputa legal o regulatoria, los activos y operaciones en el extranjero pueden ser más difíciles de acceder o controlar, lo que afecta la resolución de problemas y la recuperación de la información”.

Finalmente, Rufé se enfoca en la posible exposición monetaria. “Las fluctuaciones en las tasas de cambio pueden afectar a los costos de los servicios cuando éstos son facturados en monedas diferentes al euro. Esto puede introducir volatilidad en los gastos operativos de los bancos”.

¿Qué servicios contratan los bancos?

Son muchos los servicios que los bancos confían en los proveedores tecnológicos. “Las entidades bancarias recurren con frecuencia a gigantes tecnológicos para servicios como alojamiento en la nube, soluciones de análisis de datos, herramientas de ciberseguridad, sistemas de gestión de relaciones con el cliente (CRM), infraestructuras de pago y soluciones avanzadas basadas en inteligencia artificial”, detalla Rufé.

Igualmente, Cortés anota que “la migración masiva de los servicios financieros a la nube, las infraestructuras de red, así como todo lo relativo a la gestión y tratamiento de datos, son los servicios más críticos que se están externalizando a proveedores digitales a través de distintas fórmulas de alianzas interempresariales”. Además, señala que “la incorporación de la inteligencia artificial a este proceso de externalización también está creciendo de forma importante”.

Asimismo, Horcajuelo indica que los bancos contratan servicios alojamiento de datos, infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y software como servicio (SaaS). “Usan estos servicios para operar aplicaciones, almacenar datos y alojar plataformas de operaciones sin la necesidad de mantener infraestructura física propia”.

También buscan en estos proveedores servicios de análisis predictivo, gestión y análisis de grandes volúmenes de datos, inteligencia de clientes y reportes regulatorios. “Estos servicios ayudan a los bancos a entender las tendencias del mercado y comportamiento del consumidor y a cumplir con obligaciones regulatorias”, puntualiza el responsable de Sale Systems.

También demandan ciberseguridad: protección de redes, gestión de identidad y acceso, monitorización de seguridad y respuesta a incidentes. “Fundamental, para proteger la información sensible de clientes y la integridad operativa de los bancos”, comenta Horcajuelo.

¿Quiénes dominan el sector?

Todos estos servicios están dominados por un escaso ramillete de empresas. “El incremento de la demanda potencial de servicios tecnológicos ha ido aparejado del incremento del número de compañías que los ofertan, las denominadas third party providers (TPP, por sus siglas en inglés). No obstante, el poder y el control del mercado recae en la práctica en unas pocas que, a priori, pueden ofrecer garantías del servicio por su tamaño y por su dilatada trayectoria”, agrega Cortés.

Éstas son las empresas líderes en cada uno de los servicios tecnológicos externalizados por los bancos:

Cloud computing. “Entre las empresas líderes encontramos a Amazon Web Services (AWS), Microsoft Azure y Google Cloud Platform (GCP) dominando el alojamiento en la nube”, señala Rufé. Y Horcajuelo coincide con él.

Big data y análisis de datos, “Firmas como Google, AWS y Microsoft, junto con especializadas como Splunk o Tableau, son prominentes”, comenta el experto del EAE Business. El portavoz de Sale Systems también añade a IBM, Oracle y SAS.

Ciberseguridad. Horcajuelo señala como empresas dominantes a Cisco, Symantec o McAfee “y también empresas más de nicho, como FireEye y Palo Alto Networks”.

CRM. “En el ámbito de CRM, Salesforce es una figura dominante”, explica el profesor de EAE Business School.

Infraestructuras de pago. Rufé declara que “empresas como Adyen y Stripe son referentes”.

Inteligencia artificial. “Plataformas como IBM Watson y Google AI son líderes”, puntualiza el experto de EAE Business School.

¿Cómo atenuar los riesgos de la concentración?

Los expertos consultados hacen hincapié en la importancia de la diversificación de proveedores para tratar de mitigar los riesgos que supone una excesiva concentración. “Las entidades bancarias deberían considerar trabajar con múltiples proveedores para servicios críticos. Esto no sólo reduce la dependencia de un único proveedor, sino que también proporciona una red de seguridad en caso de fallos o interrupciones”, apunta Rufé.

Para ello, insiste en la necesidad de fomentar la competencia. “Las autoridades regulatorias y de competencia deberían trabajar para garantizar que no existan barreras desproporcionadas para que nuevos actores entren al mercado de servicios tecnológicos para bancos. Una mayor competencia puede llevar a mejores precios, innovación y menos dependencia de unos pocos gigantes tecnológicos”.

En esa misma dirección, Horcajuelo aconseja “promover la inversión en empresas tecnológicas locales para desarrollar competencia en áreas críticas como la computación en la nube, la ciberseguridad y el análisis de datos”. “Esto puede ser apoyado por políticas gubernamentales y financiación de la UE, creando un ecosistema que favorezca la innovación y el crecimiento de empresas tecnológicas dentro de la UE”, añade.

Así pues, las instituciones comunitarias pueden contribuir a reducir el riesgo de dependencia de los bancos a las big tech. “En el espíritu de la UE está garantizar la libertad, privacidad y el acceso a la información de todos sus ciudadanos. De hecho, es el entorno económico más garantista del mundo y cuenta con las herramientas necesarias para protegernos y actualizarse permanentemente en este ámbito”, afirma Castillo.

Además, las autoridades financieras disponen de diversas herramientas e instrumentos regulatorios. Por ejemplo, Rufé resalta que “tienen la capacidad de establecer y modificar regulaciones que dicten cómo las entidades bancarias deben operar, especialmente en lo que se refiere a la gestión de riesgos y la relación con proveedores tecnológicos”. Recuerda que “estas normativas pueden abordar aspectos como estándares mínimos de ciberseguridad, resiliencia y continuidad de negocio”.

“Las autoridades deberían considerar establecer regulaciones más estrictas para garantizar que los bancos tengan planes de contingencia en caso de fallos de proveedores y que cumplan con estándares rigurosos de ciberseguridad. Estos marcos pueden incluir la realización regular de pruebas de resistencia y evaluaciones de riesgo”, apunta.

Horcajuelo también destaca la importancia de “desarrollar normas comunes para la interoperabilidad puede reducir la dependencia de cualquier proveedor individual y facilitar el cambio entre soluciones tecnológicas”.

Y no sólo crear estos marcos, sino también hacer cumplir las exigencias referidas a la protección de datos, los estándares de ciberseguridad y la soberanía de datos. “Esto incluye requerir que los proveedores extranjeros cumplan con las leyes locales para operar en la región”, comenta el director de Sistemas y Seguridad informática de Sale Systems.

Además, pueden realizar inspecciones y auditorías regulares para garantizar que las entidades cumplen con las normativas vigentes. “Estas revisiones pueden centrarse en la robustez de los sistemas tecnológicos, la gestión de riesgos o la conformidad contractual”, anota el profesor de EAE Business School.

Si no se cumplen dichas exigencias, tienen capacidad para sancionar y penalizar a las entidades que no procedan adecuadamente, llegando incluso a retirar licencias bancarias en casos extremos.

Más allá de la regulación, las autoridades pueden emitir directrices y recomendaciones para orientar a los bancos hacia mejores prácticas en la selección y gestión de proveedores tecnológicos, así como realizar pruebas de estrés y simulación de crisis.

También pueden fomentar la transparencia mediante la exigencia a los bancos de información sobre sus relaciones con los proveedores tecnológicos. Asimismo, tienen la capacidad de exigir cambios contractuales “en situaciones donde se identifiquen riesgos sustanciales que puedan comprometer la estabilidad financiera”, especifica Rufé.

Asimismo, las autoridades pueden establecer requisitos mínimos de formación en áreas relevantes para el personal bancario, “asegurando que estén adecuadamente preparados para gestionar los riesgos asociados con proveedores tecnológicos”, apunta el profesor.