Requisitos reglamentarios fragmentados. Creciente dependencia de los gigantes tecnológicos multinacionales. Preocupaciones de seguridad de los datos. Amenazas cibernéticas en evolución. Impacto económico del COVID-19.
El sector de servicios financieros de Europa está soportando una extraordinaria variedad de desafíos, lo que lleva a los reguladores a responder con nuevas iniciativas audaces destinadas a unificar un panorama regulatorio inconexo, aumentar la seguridad de los datos y mejorar la resiliencia operativa.
Si bien los gigantes tecnológicos globales de los Estados Unidos, China y más allá están ofreciendo capacidades de nube, análisis de datos y experiencia del cliente que cambian el juego a las empresas de la UE, existe una creciente preocupación de que los populares servicios subcontratados de hoy en día no siempre cumplan con los requisitos de protección de datos y seguridad de Europa.
El objetivo de DORA
La Comisión Europea (CE) cree que el marco legal existente de la UE que rige el riesgo de las tecnologías de la información y la comunicación (TIC) y la resiliencia operativa está fragmentado e inconsistente, citando «iniciativas nacionales descoordinadas» que han permitido que surjan una gama de enfoques diversos entre las empresas financieras innovadoras.
Ahora, con su Ley de Resiliencia Operativa Digital (DORA), la Unión Europea tiene como objetivo establecer un marco digital integral y unificado para las instituciones financieras. DORA tiene como objetivo alinear las normas limitadas actuales sobre gobernanza de las TIC, gestionar mejor los informes de riesgos e incidentes de las TIC y eliminar las brechas en el intercambio de información, la gestión de riesgos y las pruebas digitales. Su objetivo es crear marcos de colaboración para que las empresas compartan información sobre las ciber amenazas y aumenten la conciencia sobre los riesgos de las TIC con el fin de mejorar continuamente la resiliencia colectiva del sector.
Se espera que DORA mejore significativamente la supervisión de las medidas de seguridad y resiliencia de los datos empleadas por terceros proveedores de TIC, incluidos los gigantes tecnológicos mundiales que prestan servicios en el mercado de la UE. Las organizaciones financieras de la UE solo podrán comprometerse con terceros tics que cumplan con las últimas normas de riesgo y seguridad aplicadas. DORA va más allá de la Directiva de Sistemas de Información de Red más definida para hacer cumplir los estándares mínimos del Reglamento General de Protección de Datos de la UE.
El enfoque en la seguridad de los datos aumenta
DORA es parte de un amplio paquete de medidas que la Comisión Europea ha emitido en relación con las finanzas digitales. Las medidas de la CE tienen por objeto permitir y apoyar la innovación, mitigando al mismo tiempo adecuadamente los riesgos. La CE ha declarado que «el futuro de las finanzas es digital» y que Europa debe implementar capacidades digitales que impulsen su recuperación posterior a la pandemia y protejan a los consumidores contra los riesgos emergentes. La estrategia renovada de la CE traza un camino que anima a las empresas financieras de la UE a:
- Aprovechar las tendencias y oportunidades de la revolución digital;
- Impulsar las finanzas digitales con fuertes actores del mercado europeo a la cabeza;
- Poner los beneficios de las finanzas digitales a disposición de los consumidores y las empresas europeas;
- Promover las finanzas digitales basadas en los valores europeos y la buena regulación de los riesgos.
Existe una fuerte sensación de mirar hacia adelante y tratar de hacer las cosas de manera diferente y mejor, y la CE ha dejado clara su intención de centrarse más estrechamente en la protección de los consumidores cuando sea apropiado, incluido el debido cumplimiento de las normas de protección de datos relativamente estrictas de Europa.
DORA define esencialmente roles y responsabilidades claros para todas las funciones relacionadas con las TIC, lo que requiere que las empresas financieras garanticen la implementación efectiva de marcos de gobernanza interna y control de riesgos. Cada empresa financiera de la UE deberá definir, aprobar, supervisar y rendir cuentas de la aplicación de todos los acuerdos relacionados con el marco de gestión de riesgos de DORA. Se aplica a:
- Bancos e instituciones de crédito;
- Servicios de pago digital;
- Empresas de servicios de inversión;
- Centros de negociación;
- Empresas de seguros y reaseguros;
- Agencias de calificación crediticia;
- Proveedores de servicios de crowdfunding;
- Proveedores de servicios de terceros de TIC, como los servicios en la nube.
Estos cambios están surgiendo a medida que los reguladores europeos, y los consumidores, expresan su preocupación por la necesidad de garantizar la recopilación, el uso, el intercambio y la protección adecuados de los datos de los consumidores a medida que las empresas de servicios financieros que buscan tecnologías digitales transformadoras aumentan su dependencia de los gigantes tecnológicos globales. Los servicios de hardware e infraestructura pueden continuar entre los grandes ‘hiper escaladores’. Pero la forma en que prestan servicios y gestionan el uso de datos, la seguridad y la ciber resiliencia estarán sujetos como nunca antes a los reguladores y normas europeos.
Infraestructura de datos de próxima generación
Si bien DORA tiene como objetivo nivelar el campo de juego de los datos y la gestión de riesgos a medida que las empresas de servicios financieros de la UE se acercan a los proveedores de tecnología, Francia, Alemania y otros socios europeos también han creado GAIA-X, una propuesta reciente para la «próxima generación» de infraestructura de datos para Europa, un sistema seguro y federado que cumple con los más altos estándares de soberanía digital al tiempo que promueve la innovación.1
GAIA-X pide «un ecosistema digital europeo abierto e interoperable, donde los datos y servicios puedan compartirse en un contexto de confianza». Su objetivo es desarrollar normas comunes para la infraestructura de datos de Europa y garantizar la apertura, la transparencia y la colaboración entre los países de la UE. Siete países europeos y más de 150 organizaciones y empresas europeas participan actualmente en el proyecto, que está diseñado para «dar a luz a la nueva generación de ecosistemas de datos».
¿Soberanía de datos garantizada?
Los centros iniciales de GAIA-X se han establecido en toda Europa hasta la fecha y es probable que sigan más a medida que Europa busque una mayor independencia de los gigantes tecnológicos globales y los hiper escaladores. GAIA-X tiene la intención de que cuando Microsoft, Google y otros actores líderes quieran hacer negocios en Europa, deberán cumplir con las estrictas regulaciones de Europa con respecto a la seguridad en la nube y la protección de datos. Ya no se les permitirá dictar cómo se hacen los negocios con sus clientes euro con respecto al uso y las políticas de datos. Un beneficio potencial clave será «la garantía de la soberanía de los datos» y la capacidad de cada organización para decidir por sí misma dónde se almacenan sus datos y cómo se utilizan o comparten.
Para garantizar estándares comunes que proporcionen transparencia e interoperabilidad, GAIA-X tiene como objetivo alinear a los proveedores de redes e interconexiones, los proveedores de soluciones en la nube y la informática de alto rendimiento. Los nuevos mecanismos que se están desarrollando identificarán, combinarán y conectarán los servicios de los proveedores participantes para permitir un ecosistema de infraestructura fácil de usar con los más altos requisitos de seguridad y protección de la privacidad.
También cabe destacar el Financial Big Data Cluster (FBDC), el caso de uso del sector financiero dentro de la iniciativa GAIA-X. Su objetivo es desarrollar una plataforma de datos financieros segura, legalmente compatible y fácil de usar que promueva soluciones de automatización y aprendizaje automático en todo el ecosistema financiero de Europa. Esta nueva plataforma basada en la nube está diseñada para proporcionar acceso a la infraestructura de datos financieros soberanos y permitir que las instituciones financieras, las Fintech, las partes interesadas públicas y las instituciones de investigación de Europa compartan información e impulsen la innovación. La plataforma conectará e integrará los datos financieros de las empresas, las autoridades y la ciencia en un conjunto de datos común, y se optimizará para el rápido desarrollo de aplicaciones de IA y modelos de negocio basados en datos en todo el sector financiero de Europa.2
A medida que el campo de juego evoluciona y las empresas buscan una rápida innovación digital después de la pandemia, será crucial que las empresas del sector financiero adopten un enfoque estratégico para la transformación digital, abordando con precisión los requisitos cambiantes relacionados con la protección de datos y la gestión de riesgos.
Como señala el informe global de KPMG / HFS Research Enterprise Reboot, casi el 60 por ciento de los ejecutivos encuestados en 2020 estuvieron de acuerdo en que la pandemia ha creado un nuevo impulso para acelerar la transformación digital. Más de la mitad (56%) también citó la migración a la nube como una necesidad absoluta para garantizar la competitividad y la supervivencia en la actualidad. La tendencia de transformación global está ganando impulso entre las empresas financieras de la UE, que hasta la fecha han sido lentas en el traslado de datos críticos a la nube.
Pero a medida que las empresas están descubriendo, y como advierte la CE, las organizaciones no pueden simplemente «conectarse a la nube» sin garantizar la seguridad adecuada de los datos, la ciber resiliencia y el cumplimiento normativo. Iniciativas como DORA y GAIA-X proporcionarán nuevas «barandillas» críticas relativas a la implementación y supervisión efectivas de las capacidades digitales y la gestión de datos a medida que las empresas financieras de la UE adopten cada vez más la transformación digital que es inevitable.