La externalización (“outsourcing”) de servicios financieros digitales por los bancos y la supervisión financiera
En la entrada de este blog del pasado día 30 de agosto de 2018 nos referimos a la externalización de servicios de pago por las entidades de crédito como uno de los puntos críticos en el proceso de aplicación -desde el 13 de enero de 2018- de la segunda Directiva sobre servicios de pago (Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015 sobre servicios de pago en el mercado interior) (DSP 2 o, en acrónimo inglés, PSD 2). Pues bien, este fenómeno de la externalización (“outsourcing”) de servicios financieros digitales en la nube por parte de los bancos y otras entidades financieras va más allá de los servicios de pago y abarca todo tipo de servicios financieros.
La importancia del fenómeno responde al nuevo escenario de competencia financiera en el que los bancos tradicionales se ven obligados a competir con nuevas entidades que acceden al mercado de servicios financieros que viene condicionado por el efecto combinado de la transformación digital, la necesidad de recortar costes y la mayor carga regulatoria que soportan las entidades de crédito. Lo que ha impulsado a los bancos a incrementar la externalización de servicios, actividades y funciones -fundamentalmente de la banca digital- en terceros proveedores.
En particular, esta necesidad de los bancos de externalizar algunos de los servicios que prestan a su clientela (por ejemplo, servicios de pago) se manifiesta en el campo de las tecnofinanzas (fintech) mediante los servicios financieros digitalizados que se prestan mediante computación en la nube mediante un acceso a la de red ubicuo a un conjunto compartido de recursos informáticos como son las redes, los servidores, el almacenamiento, las aplicaciones y los servicios informáticos.
Este movimiento de externalización (“outsourcing”) de servicios financieros en la nube por parte de los bancos ha movido a los supervisores financieros a tomar iniciativas destinadas a garantizar que este proceso no redunde en un descenso de la calidad de dichos servicios financieros ni en una transferencia y elusión de responsabilidades frente a su clientela por parte de los bancos que externalizan sus servicios, actividades y funciones. Por esta última razón, nos parece oportuno dar cuenta en este blog de dos documentos publicados recientemente por las autoridades europeas de supervisión bancaria.
Las Recomendaciones la Autoridad Bancaria Europea de marzo de 2018 sobre la externalización de servicios a proveedores de servicios en la nube
La Autoridad Bancaria Europea (ABE o, en acrónimo inglés, EBA) publicó la versión en inglés de las “Recomendaciones sobre la externalización de servicios a proveedores de servicios en la nube” (EBA/REC/2017/03) el 20 de diciembre de 2017 y la versión en español el 28 de marzo de 2018. Se aplican desde el 1 de julio de 2018.
Estas Recomendaciones se dirigen tanto a las autoridades competentes como a las entidades de crédito y firmas de inversión para especificar los requisitos supervisores y los procesos aplicables cuando aquellas entidades externalicen a proveedores externos servicios en la nube que se definen como “servicios prestados usando computación en la nube, es decir, un modelo que permite el acceso de red ubicuo, conveniente y bajo demanda, a un conjunto compartido de recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que se pueden suministrar y desplegar rápidamente, requiriendo un esfuerzo de gestión o una interacción con el proveedor del servicio mínimos”. También definen, en particular, las nociones de nube pública, nube privada, nube comunitaria y nube híbrida.
Su objetivo consiste en proporcionar a las instituciones la claridad necesaria en caso de que deseen beneficiarse de las ventajas de externalizar servicios a la nube sin dejar de garantizar una adecuada identificación y gestión de los riesgos; así como promover la convergencia supervisora en relación con las expectativas y procesos aplicables a las externalizaciones a la nube.
El contenido de estas Recomendaciones abarca los aspectos siguientes:
a) Los criterios que deben emplear las entidades para evaluar la significatividad o materialidad de las externalizaciones a la nube.
b) Las pautas sobre el proceso que deben seguir las entidades para informar a las autoridades competentes de las externalizaciones a la nube que sean significativas y el contenido de dicha información.
c) Los principios sobre el derecho de acceso y de auditoría que las entidades que externalizan servicios financieros deben mantener sobre los proveedores externos de tales servicios y la garantía del ejercicio de aquellos derechos por parte de las autoridades de supervisión competentes; incluido el derecho de acceso físico a las instalaciones de los proveedores de servicios en la nube.
d) Las directrices sobre la seguridad de los datos y los sistemas y el tratamiento de los datos y las localizaciones donde estos se procesan.
e) Los requisitos específicos para mitigar los riesgos asociados con la externalización “en cadena”, cuando el proveedor de servicios en la nube subcontrata con otros proveedores.
f) Las orientaciones a las entidades sobre los acuerdos organizativos y contractuales que deben establecerse en materia de planes de contingencia y estrategias de salida.
Un principio común en la aplicación de estas Recomendaciones es el de proporcionalidad en función del tamaño, estructura y entorno operativo de la entidad; así como de la naturaleza, escala y complejidad de sus actividades.
La Comisión Ejecutiva del Banco de España, en su calidad de autoridad competente de la supervisión directa de las entidades menos significativas, adoptó estas Recomendaciones como propias el día 18 de mayo de 2018.
Los criterios del Banco Central Europeo de septiembre de 2017 sobre externalización de servicios financieros en la nube
El Banco Central Europeo (BCE) publicó, en septiembre de 2017 una “Guía para la evaluación de las solicitudes de autorización de entidades de crédito Fintech” (de la que nos ocupamos en la entrada de este blog del 25.10.2017 titulada “FINTECH: Guía del BCE de septiembre de 2017 sobre criterios de evaluación de solicitudes de autorización de los “bancos Fintech”).
En el apartado 4.3 de esta Guía se establecen una serie de pautas sobre la “externalización incluidos servicios en la nube” conforme al siguiente criterio general: “Las entidades fintech tienden a recurrir en mayor medida a servicios externalizados en la nube. Las entidades que soliciten autorización deben asegurar la capacidad, tanto del supervisor como de ellas mismas, para ejercer derechos contractuales de auditoría de las actividades externalizadas. También deben considerar su posible dependencia de los proveedores, en particular, las vulnerabilidades derivadas de cláusulas contractuales que les impidan cambiar de proveedor, lo que podría plantear riesgos para la continuidad del negocio”.
En particular, la Guía, en su Recuadro 5, establece los criterios de “evaluación de la contratación externa” con un doble alcance:
a) Sobre la externalización o contratación externa en general donde establece que, cuando la entidad fintech que solicite la autorización haya contratado servicios externos, el BCE y las autoridades supervisoras nacionales evaluarán dos aspectos fundamentales que son: primero, “si la entidad ha llevado a cabo un análisis adecuado (due diligence) del proveedor del servicio para evaluar los riesgos asociados a los acuerdos de externalización suscritos” (este análisis puede delegarse también en un tercero independiente); y, segundo, “si la entidad ha tomado debidamente en consideración, entre otros factores, la situación financiera del proveedor del servicio, su posición en el mercado, la cualificación y rotación de su personal y su dirección, y su capacidad para gestionar la continuidad del negocio y para proporcionar informes de gestión con la precisión y puntualidad requeridas”.
b) Sobre la externalización o contratación de servicios externos en la nube, donde la evaluación supervisora tendrá en cuenta si la entidad solicitante, al seleccionar al proveedor de dichos servicios, ha prestado suficiente atención a una serie de aspectos que detalla la Guía.