Saltar al contenido

Reino Unido pone la nube de Microsoft, Google, Amazon y Oracle bajo supervisión financiera

El Banco de Inglaterra supervisará la nube de Microsoft, Google, Amazon y Oracle desde el 13 de julio.

por Dilis Salazar
Reino Unido pone la nube de Microsoft, Google, Amazon y Oracle bajo supervisión financiera
Photo by Erik Mclean / Unsplash

TL;DR:

  • Reino Unido designó a Microsoft, Google, Amazon y Oracle como "terceros críticos" de su sistema financiero, con efecto desde el 13 de julio de 2026.
  • El Banco de Inglaterra, la PRA y la FCA vigilarán juntos los servicios de nube que estas empresas prestan a bancos, aseguradoras e infraestructuras de mercado.
  • La decisión replica el camino de la Unión Europea, que ya designó a los mismos proveedores bajo su reglamento DORA en noviembre de 2025.

El gobierno del Reino Unido designó este 10 de julio de 2026 a cuatro gigantes de la nube, Microsoft, Google, Amazon y Oracle, como "terceros críticos" (CTP) de su sistema financiero. A partir del 13 de julio, sus servicios para el sector quedarán bajo la vigilancia conjunta del Banco de Inglaterra, la Autoridad de Regulación Prudencial (PRA) y la Autoridad de Conducta Financiera (FCA). El objetivo es directo: evitar que una falla en un solo proveedor de nube deje sin servicio, al mismo tiempo, a decenas de bancos, aseguradoras e infraestructuras de mercado que hoy dependen de esa tecnología para operar.

Un tercero crítico es un proveedor externo cuya interrupción podría comprometer la estabilidad del sistema financiero, por lo que los reguladores lo colocan bajo supervisión directa. La designación británica recae sobre las filiales legales exactas de cada empresa: Microsoft Ireland Operations Limited, Google Cloud EMEA Limited, Amazon Web Services EMEA SARL y Oracle Corporation UK Limited.

El régimen les da dientes a los reguladores: podrán pedir información, evaluar la resiliencia de esos servicios y, cuando lo consideren necesario, dictar y hacer cumplir reglas específicas para estos proveedores. Un matiz importante: la vigilancia recae solo sobre los servicios sistémicos que estas empresas prestan al sector financiero, no sobre el resto de su negocio. Y cada banco o aseguradora sigue siendo responsable de gestionar el riesgo de sus propios proveedores, aclara HM Treasury.

aerial view of city buildings during daytime
Photo by Andres Garcia / Unsplash

La secretaria económica del Tesoro y ministra para la City, Rachel Blake, defendió la decisión:

"Somos un centro financiero líder en el mundo, y mantener la confianza en nuestro sistema financiero es esencial para su éxito. Estas designaciones ayudarán a garantizar que los servicios críticos de los que dependen las firmas financieras sigan siendo resilientes, protegiendo a consumidores y empresas mientras se apoya el crecimiento de la economía."

La UE ya había designado a los mismos proveedores con DORA

La jugada británica no surge de la nada. La Unión Europea llegó primero. Desde el 17 de enero de 2025 rige el reglamento DORA (Ley de Resiliencia Operativa Digital), y el 18 de noviembre de 2025 las autoridades europeas de supervisión (EBA, EIOPA y ESMA) publicaron su primera lista de proveedores tecnológicos críticos: 19 empresas, entre ellas Amazon Web Services, Google Cloud EMEA Limited y Microsoft Ireland Operations Limited. Es decir, la misma filial de Microsoft que ahora nombra Londres. Reino Unido, en la práctica, importa a su sistema financiero un modelo que Bruselas ya tenía en marcha.

Detrás de ambas decisiones hay un mismo dato incómodo: la banca mundial corre sobre la infraestructura de un puñado de empresas estadounidenses. Amazon Web Services, Microsoft Azure y Google Cloud concentran la mayor parte de la nube que usan las entidades financieras, y si una falla, el golpe se reparte entre todos sus clientes a la vez. El riesgo no es teórico. En octubre de 2025, una caída de Amazon Web Services dejó fuera de servicio a más de dos mil empresas en Estados Unidos y Europa, según el diario español Público. Ese es exactamente el escenario que los reguladores quieren poder anticipar.

Microsoft, Google, Amazon y Oracle se declaran dispuestas a cumplir

Ninguna de las cuatro empresas mostró resistencia pública. Las cuatro hablaron en la misma línea: respaldan el objetivo de reforzar la resiliencia del sector financiero británico y se comprometen a cumplir con la supervisión.

Freddy Dezeure, subdirector de seguridad de la información para Europa en Microsoft, enmarcó la designación como una nueva etapa:

"La designación de Microsoft Ireland Operations Limited como tercero crítico marca un nuevo capítulo en esta relación, y Microsoft se mantiene plenamente comprometida con el cumplimiento de los requisitos de supervisión pertinentes y de las leyes de ciberseguridad y resiliencia del Reino Unido."

Google Cloud, por su parte, dijo confiar en que el nuevo marco de terceros críticos refuerce la resiliencia a largo plazo del ecosistema financiero británico y aumente la transparencia y la confianza entre las partes. AWS (Amazon) afirmó que respalda los objetivos de las autoridades británicas, que cumplirá con toda la regulación aplicable y que seguirá ayudando a sus clientes a alcanzar sus metas de resiliencia operativa. Y Oracle respaldó el objetivo del gobierno de reforzar la resiliencia del sector, con la mira puesta también en la innovación y el crecimiento económico.

¿Y para el lector hispanohablante? Depende de dónde esté. En España y el resto de la Unión Europea, estos mismos proveedores ya operan bajo la lupa de DORA desde finales de 2025, así que el movimiento británico suena familiar. En México y buena parte de Latinoamérica todavía no existe un régimen equivalente, pero la señal es clara: los grandes reguladores financieros empezaron a tratar a la nube como infraestructura crítica, y la dependencia de tres o cuatro empresas estadounidenses ya está en el radar regulatorio a ambos lados del Atlántico.

Preguntas rápidas sobre la designación de terceros críticos

¿Desde cuándo aplica la designación de terceros críticos en Reino Unido?

Desde el 13 de julio de 2026. El gobierno británico anunció la medida el 10 de julio y designó a Microsoft Ireland Operations Limited, Google Cloud EMEA Limited, Amazon Web Services EMEA SARL y Oracle Corporation UK Limited como terceros críticos de su sistema financiero, según HM Treasury.

¿Qué es un tercero crítico (CTP) en el sector financiero?

Es un proveedor externo, como un servicio de nube, cuya interrupción podría afectar a la vez a muchas entidades financieras y poner en riesgo la estabilidad del sistema. Por eso queda bajo la supervisión directa de los reguladores, que pueden pedir información y exigir estándares de resiliencia.

¿Afecta esta medida a los clientes en España o México?

El régimen británico solo aplica en Reino Unido. En la Unión Europea, incluida España, los mismos proveedores ya están bajo el reglamento DORA desde noviembre de 2025. En México y Latinoamérica no existe todavía un marco equivalente, aunque el tema empieza a aparecer en la agenda regulatoria.

La medida deja una realidad al descubierto: el sistema financiero occidental se sostiene, en buena parte, sobre la nube de un grupo reducido de empresas privadas. Reino Unido y la Unión Europea ya decidieron que esa concentración es demasiado grande para operar sin vigilancia, y por eso sentaron a Microsoft, Google, Amazon y Oracle en la misma mesa que sus reguladores financieros.

Fuentes: 1, 2, 3

Dilis Salazar imagen de perfil
por Dilis Salazar

Leer más de Negocios y Finanzas