La banca advierte en Bruselas de los riesgos si se le limitan los proveedores de la nube

La Comisión Europea tiene entre ceja y ceja aumentar su autonomía estratégica. En este empeño, una de las cuestiones que están sobre la mesa en Bruselas es el nuevo esquema comunitario para garantizar la seguridad de los proveedores de servicios en la nube, lo que puede poner en un brete a la banca y a otros sectores como el energético. El riesgo (y el temor que tienen estas empresas) es que se les considere como críticos desde el punto de vista de la seguridad europea, al nivel de defensa.

Esto, en la práctica, añadiría una serie de barreras al uso que realizan de estas plataformas tecnológicas no localizadas en el Viejo Continente. Y pondría incluso en riesgo la operatividad de una parte de los servicios financieros, ya que no existe una alternativa en Europa con capacidad suficiente. La UE ha puesto en marcha una iniciativa para la creación de una nube comunitaria, con infraestructura y proveedores locales, pero el proyecto tardará años en estar operativo.

En la actualidad, el 84% de los servicios en la nube lo proveen compañías de fuera de la Unión, según un informe realizado durante la presidencia española del Consejo de la UE, en el último semestre de 2023. “A día de hoy, los proveedores con capacidad de prestar el servicio que requiere la banca son los americanos”, afirma otra fuente financiera conocedora de las negociaciones en Bruselas, que incide en que son los que tienen la escala para hacer las inversiones necesarias y mantener sistemas más eficientes y seguros.

Alejandra Kindelán, presidenta de la patronal bancaria AEB, aseguró en septiembre del año pasado en un foro organizado por las fundaciones Ramón Areces y Alternativas que se estaba analizando la posible inclusión de la banca como sector crítico. Y advertía del problema de esas restricciones al uso de la nube. “Hay que trabajar para tener una nube europea, pero la realidad es que hoy no la tenemos. Si nos bloquean o nos limitan el acceso a la nube, vamos a perder competitividad y capacidad de dar el servicio de forma ágil, eficiente y segura”, dijo entonces Kindelán.

En la mesa de negociación hay varias opciones a incluir en los diferentes estados de criticidad. En el más alto, se baraja la posibilidad de que incluso las compañías proveedoras deban tener su sede en Europa, y no solo los centros de datos en territorio comunitario. Es decir, en el caso de que entrasen sectores como el bancario o el energético, tendrían que buscar alternativas a Amazon, Microsoft, Google o IBM. “Es necesario buscar un equilibrio”, zanjó Kindelán. Otra fuente comunitaria confía en que la Comisión sea coherente y realista, aunque avisa del riesgo: “Si son muy estrictos, una filial europea de una empresa americana, aunque tenga sus datos en Europa, no cumplirían los requisitos para los sectores considerados críticos”.

Uno de los temores de la banca española es que el acuerdo deje abierto qué sectores entran en ese nivel más crítico. Según fuentes conocedoras de la negociación, el Esquema europeo de certificación de seguridad de proveedores de la nube no entra (al menos por el momento) en ese detalle. Se cuenta con que estén dentro defensa y seguridad nacional, aunque por el momento se dejará la opción a que una decisión política de la Comisión pueda incluir más adelante otros sectores. Una cuestión que inquieta a la banca principalmente, que trata diariamente con infinidad de datos críticos de sus clientes. “Nos preocupa que la puerta quede abierta”, reconocen fuentes financieras.

Por otra parte, los reguladores y supervisores financieros tienen la mira puesta en que no se genere una dependencia de un solo proveedor, algo más probable cuanto más se reduzca la oferta. “Si te quedas solo con los europeos para el uso de la nube, esto se dificultará mucho”, añade otra fuente del sector.

Preocupación de las tecnológicas

La inquietud ha llegado igualmente a los gigantes de la nube. El líder del mercado, Amazon Web Services (AWS), asegura que apoyan el objetivo de unificar y armonizar las mejores prácticas de seguridad en la nube en Europa. Pero señalan que, al igual que a sus clientes, le preocupan las propuestas que restringen el uso de proveedores de servicios en la nube en algunos casos.

En su opinión, que coincide con la de otros proveedores de nube, esto plantea el riesgo de aislar a las empresas y gobiernos europeos de servicios de seguridad en la nube y protecciones cibernéticas en un momento en que las organizaciones se ven afectadas negativamente por malware, ransomware y ciberataques. Asimismo, también podría introducir una mayor complejidad y coste para las empresas que operan a nivel internacional.

Un estudio encargado por la Asociación de la Industria de Computación y Comunicaciones advierte de que Europa podría perder entre 29.000 y 610.000 millones de euros al año en actividad económica, lo que afectaría desproporcionadamente a los Estados más pequeños. Para España, las pérdidas previstas rondan los 42.000 millones.

Para poner en contexto el problema, en Europa, según un estudio del grupo de investigación Synergy, la cuota de mercado de los proveedores comunitarios de servicios cloud disminuyó desde el 27% a bastante menos del 16% entre 2017 y 2021. Mientras que Amazon, Microsoft y Google representaban en 2022 en torno al 70% de cuota y la cifra seguía subiendo. El mayor proveedor de tecnología cloud en Europa es Deutsche Telekom, con apenas un 2% del mercado.

Conscientes de los desafíos que puede plantear la nueva regulación, los gigantes de la nube han anunciado en los últimos tiempos compromisos de soberanía digital para que sus clientes europeos tengan el control sobre sus datos y capacidad para proteger y gestionar los mismos en la nube. AWS, por ejemplo, lanzó en octubre de 2023 la nube soberana independiente en la UE. También Microsoft actualizó su servicio de la nube para permitir que los usuarios comunitarios mantengan sus datos personales dentro de la UE. El año pasado empezó a almacenar y procesar algunos datos dentro de Europa, pero ahora ha ampliado la medida a los datos personales.

Opción para las ‘teleco’

Este contexto abre una opción para las compañías de telecomunicación comunitarias. La infraestructura actual en el Viejo Continente es insuficiente, y no hay muchas empresas con capacidad de asumir las necesidades de sectores privados. Por tanto, en caso de que la banca fuese considerada como sector crítico, habría un problema con los proveedores en la nube.

Si se llega a tal caso, habría dos alternativas: que se facilite un periodo de transición amplio, para dar tiempo a la creación de esta estructura. O, lo que parece más viable, la formación de joint ventures entre los suministradores actuales y empresas europeas como las de telecomunicaciones. Es decir, la creación de nuevas compañías entre socios con capacidad para ofrecer estos servicios y los que aporten el pasaporte comunitario y una infraestructura tecnológica que facilite la implantación.

“Firmas como Telefónica están muy bien posicionadas y tienen una oportunidad de negocio. Eso sí, se trataría de un parche, ya que esta opción no podría ofrecer todas las capacidades actuales ni serían tan eficientes”, zanja una fuente comunitaria. De tal forma, permitiría al sector bancario, llegados al caso extremo, mantener su operativa casi sin cambios. Aunque esto tendría un precio: “Si solo se puede trabajar con empresas europeas, falta por ver qué ocurre con la fiabilidad, la ciberseguridad y, además, el precio será mayor”, advierte una fuente financiera tras una de sus visitas a Bruselas.

En España, ya hay movimientos en esta línea. Por ejemplo, un grupo de empresas nacionales de cloud y centros de datos pusieron en marcha la Asociación de Proveedores Españoles de Cloud y Data Center (Apecdata) para unir fuerzas y reivindicar el papel que este tipo de empresas puede jugar para recuperar la soberanía digital europea y no depender de los gigantes tecnológicos estadounidenses.

Sigue toda la información de Cinco Días en Facebook, X y Linkedin, o en nuestra newsletter Agenda de Cinco Días