Verticales IT Industrias Usuarios Focus Comunidad

Regulación cloud

Qué mira ahora el Banco Central cuando un banco apuesta por cloud, IA y terceros tecnológicos

Home Infraestructura y Cloud
Dirección copiada

La nueva agenda regulatoria corre la discusión más allá de la eficiencia tecnológica: para el sistema financiero, adoptar nube, inteligencia artificial o proveedores críticos implica demostrar gobierno, trazabilidad, controles y capacidad real de seguir operando ante una falla.

Publicado el 10 de jun de 2026
Nicolás Della Vecchia

Jefe de redacción

bancos,
armar una imagen en formato horizontal de los directivos del banco analizando datos de su adopcion de la nube en el banco, en una oficina, toda vidriada, con paredes blancas, cafe en la mesa

En el sistema financiero, una falla técnica rara vez queda confinada al área de sistemas. Si se cae un proveedor cloud, si un permiso queda mal configurado, si un tercero opera sin controles suficientes o si una herramienta de inteligencia artificial accede a datos sensibles sin el gobierno adecuado, el impacto puede escalar rápido: pagos demorados, home banking fuera de servicio, créditos que no se originan, alertas de fraude que no se disparan, clientes sin atención, conciliaciones trabadas o incumplimientos frente al regulador.

Durante años, la nube se vendió como una promesa de eficiencia: menos infraestructura propia, más capacidad para escalar y mayor velocidad para lanzar productos digitales. Pero en bancos, aseguradoras, fintech y compañías de servicios financieros, esa promesa empezó a leerse con otra lupa. La pregunta, además de cuánto permite ahorrar o acelerar, es también qué nuevos riesgos introduce y quién responde por ellos.

Ese cambio quedó reflejado en la agenda regulatoria. El Banco Central de la República Argentina, regulador del sistema financiero local, sancionó el 13 de febrero de 2026 la Comunicación “A” 8401/2026, publicada diez días después en el Boletín Oficial. La norma actualiza los requisitos mínimos para gestionar y controlar los riesgos de tecnología y seguridad de la información en las entidades financieras del país.

El mensaje para la alta dirección es directo: el regulador ya no mira únicamente servidores, redes o aplicaciones. Mira si la entidad puede demostrar que tiene gobierno, control y trazabilidad sobre la tecnología que mantiene funcionando el negocio.

Qué actualizó el BCRA y por qué importa

El cambio central es que la tecnología queda cada vez más integrada al sistema formal de gestión de riesgos. Para un banco o una entidad financiera, hablar de cloud ya no significa únicamente decidir entre AWS, Azure, Google Cloud, infraestructura propia o cloud privada. Significa responder preguntas de gobierno: qué sistemas críticos dependen de terceros, qué datos procesan, quién aprueba la arquitectura, cómo se auditan los controles, qué evidencias existen y qué ocurre si algo falla.

La propia referencia normativa de la Comunicación “A” 8401/2026 habla de riesgos de tecnología y seguridad de la información, y de la actualización de requisitos mínimos para entidades financieras argentinas.

En la práctica, esto obliga a llevar al directorio una conversación que antes podía quedar encapsulada en IT. ¿La nube reduce costos? Puede ser. ¿Permite escalar más rápido? También. Pero, para una entidad regulada, esas ventajas no alcanzan si no vienen acompañadas por trazabilidad, controles, documentación, continuidad operativa, pruebas de recuperación y supervisión de proveedores.

La nube, entonces, deja de ser un destino tecnológico y se convierte en un riesgo gobernable. La diferencia es decisiva: un riesgo gobernable no se evita necesariamente, pero sí se identifica, mide, documenta, controla y reporta.

El Banco Central de la República Argentina, regulador del sistema financiero local, sancionó el 13 de febrero de 2026 la Comunicación “A” 8401/2026.
El Banco Central de la República Argentina, regulador del sistema financiero local, sancionó el 13 de febrero de 2026 la Comunicación “A” 8401/2026

El problema de los terceros críticos: cloud, integradores, SaaS y operadores

Está claro que el riesgo tecnológico ya no termina en las paredes del banco. También puede estar en el proveedor cloud que aloja una aplicación crítica, en el integrador que administra una migración, en el software que sostiene el core bancario, en una plataforma antifraude, en un sistema de identidad, en una API, en un data center, en un servicio SaaS o en una herramienta de inteligencia artificial.

El Financial Stability Board, organismo internacional con sede en Suiza que coordina recomendaciones para preservar la estabilidad financiera global, advirtió hace un tiempo ya que las instituciones financieras dependen cada vez más de terceros tecnológicos. En un documento sobre gestión y supervisión de estos riesgos, señaló que el sector financiero lleva años apoyándose en esquemas de outsourcing, pero que la escala y la complejidad de esas relaciones crecieron de manera significativa.

Para la banca argentina, el punto es especialmente sensible. La digitalización permitió acelerar productos, sumar canales, automatizar procesos y escalar operaciones. Pero también volvió más extensa la cadena de dependencias. Una entidad puede tener su infraestructura en un hyperscaler, su monitoreo en una plataforma externa, su prevención de fraude en un proveedor especializado y parte de sus procesos internos apoyados en servicios de IA.

El beneficio es evidente: más velocidad, más flexibilidad y acceso a capacidades que serían difíciles de construir internamente. El riesgo también: si uno de esos eslabones falla, el impacto puede llegar al cliente, al regulador y a la reputación de la entidad.

Por eso, la tercerización no elimina la responsabilidad. Un banco puede contratar infraestructura, software o servicios administrados, pero sigue obligado a saber qué funciones críticas dependen de cada proveedor, qué controles existen, cómo se auditan, qué alternativas hay ante una caída y cuánto tiempo puede sostener la operación si un tercero deja de responder.

Ejecutiva revisa en una laptop y un celular un flujo de pago seguro de Agentic Ready, con interfaces de agente de IA, tokenización, autenticación y autorización de transacciones.
La nube, entonces, deja de ser un destino tecnológico y se convierte en un riesgo gobernable.

Cloud híbrida, soberanía de datos y sistemas sensibles

En el sector financiero, la discusión sobre la nube dejó de plantearse en términos absolutos. La pregunta ya no es si todo debe ir a cloud pública o si todo debe permanecer en infraestructura propia. La decisión relevante es qué sistema corre en qué entorno, bajo qué controles y con qué nivel de riesgo para el negocio.

El Program on International Financial Systems, un centro de investigación de Estados Unidos especializado en el sistema financiero global, analizó este tema en el paper Cloud Adoption in the Financial Sector and Concentration Risk. El informe señala que los servicios cloud ya forman parte del paquete tecnológico habitual de las entidades financieras a nivel global. Al mismo tiempo, advierte que, a medida que crece la adopción, también aumenta la preocupación de los reguladores por la concentración en pocos proveedores.

El matiz del informe es importante: el riesgo de concentración no nació con la nube ni es exclusivo de ella. El sistema financiero siempre dependió de infraestructuras, proveedores y servicios compartidos. Lo que cambia con cloud es la escala, la velocidad y la profundidad de esa dependencia. Por eso, el punto no es evitar la nube, sino entender cómo se gestiona ese riesgo y qué mecanismos existen para reducirlo.

Para bancos, aseguradoras y fintech argentinas, esto permite salir de una falsa dicotomía. No se trata de elegir entre “todo en cloud” o “todo puertas adentro”. El verdadero desafío es definir dónde deben operar el core transaccional, los canales digitales, las plataformas de analítica, los backups, los entornos de desarrollo, los modelos de inteligencia artificial o los motores antifraude.

Cada carga de trabajo tiene una criticidad distinta. Una web institucional no expone el mismo riesgo que una plataforma de pagos. Un entorno de prueba no exige los mismos controles que una base con información financiera de clientes. Un modelo de IA entrenado con datos anonimizados no plantea el mismo dilema que una herramienta conectada a datos sensibles en producción.

La madurez tecnológica, en este contexto, ya no se mide por anunciar una migración a la nube. Se mide por poder explicar qué se migró, qué quedó afuera, por qué se tomó esa decisión y cómo se gobierna cada entorno.

Qué es y cómo funciona la red interbancaria BioCatch Trust
Un riesgo gobernable no se evita necesariamente, pero sí se identifica, mide, documenta, controla y reporta.

Ciberresiliencia: el regulador mira si la entidad puede seguir operando

La ciberseguridad intenta prevenir, detectar y responder ataques. La ciberresiliencia suma otra pregunta: ¿la entidad puede seguir operando, o recuperarse en tiempo aceptable, cuando el incidente ocurre?

Google Cloud publicó un análisis específico para servicios financieros donde sostiene, con alcance global, que firmas financieras y reguladores se enfocan cada vez más en resiliencia operativa por la creciente dependencia del sector respecto de sistemas complejos, automatización, tecnología y terceros.

La publicación define la resiliencia operativa como la capacidad de entregar operaciones, incluidas operaciones críticas y líneas centrales de negocio, durante una disrupción de cualquier origen. También remarca que debe pensarse como un resultado deseado, no como una actividad aislada.

Para una entidad financiera, esto baja a preguntas muy concretas: ¿cuál es el RTO de una billetera digital? ¿Cuánto dato puede perderse en una caída del core? ¿El backup está probado o solo existe? ¿Qué ocurre si falla la región cloud principal? ¿Hay simulacros de crisis que involucren a IT, riesgo, legales, comunicación, atención al cliente y negocio?

La resiliencia no se demuestra con una arquitectura dibujada en una presentación. Se demuestra con pruebas, evidencias, auditorías, monitoreo y capacidad real de recuperación.

IA y tecnología emergente: el nuevo frente de infraestructura regulada

La inteligencia artificial agrega otra capa de complejidad. En finanzas, un sistema de IA puede asistir atención al cliente, evaluar riesgo crediticio, detectar fraude, analizar documentación, automatizar reclamos o apoyar procesos internos. Pero cada caso implica infraestructura, datos, permisos, modelos, proveedores y trazabilidad.

AWS, la unidad de servicios cloud de Amazon, publicó en noviembre de 2024 una guía sobre workloads financieros y DORA, la regulación europea de resiliencia operativa digital. Aunque el alcance regulatorio de DORA es la Unión Europea, el artículo sirve como referencia internacional: explica que DORA busca mejorar la resiliencia operativa digital del sector financiero mediante requisitos de gestión de riesgo TIC, reporte de incidentes, pruebas de resiliencia y supervisión de terceros críticos.

AWS también señala que las entidades financieras europeas deben definir e implementar una política para el uso de proveedores externos TIC que soporten funciones críticas o importantes.

La conexión con IA es directa. Si un banco usa modelos o servicios de terceros para procesos sensibles, el problema no es solo el algoritmo. Es la infraestructura completa: dónde corre, qué datos consulta, qué permisos tiene, cómo se audita, qué logs genera, qué proveedor participa y quién responde ante un error, una filtración o una interrupción.

En finanzas, la IA no empieza en el modelo. Empieza en el gobierno de la infraestructura que permite usarlo.

Amenazas actuales: fraude con IA, proveedores y ataques a la operación

El FS-ISAC, organización global sin fines de lucro dedicada a ciberseguridad y resiliencia del sistema financiero, publicó en mayo de 2025 hallazgos de su reporte anual Navigating Cyber 2025. El informe se basa en información de más de 5.000 firmas financieras miembro en 75 países, con datos analizados entre enero de 2024 y enero de 2025; por lo tanto, su alcance es global y sectorial financiero.

El reporte identifica como amenazas relevantes para servicios financieros el aumento de fraudes y estafas habilitadas por IA generativa, ataques a proveedores que impactan operaciones críticas, explotación de conflictos geopolíticos y económicos, y mayor sofisticación de ataques ya conocidos como DDoS y ransomware.

Steven Silberstein, CEO de FS-ISAC, sostuvo que los hallazgos subrayan la “complejidad e imprevisibilidad” del panorama actual de amenazas, y vinculó ese desafío con la interconexión del sector financiero, la cadena de suministro y la adopción de tecnologías emergentes.

El dato importa para Argentina porque muestra que la discusión no es local ni aislada. La banca, los seguros, las fintech y los servicios financieros están expuestos a una combinación nueva: más digitalización, más terceros, más IA, más pagos en tiempo real y más presión para operar 24/7.

Qué debe mirar el directorio: cinco preguntas incómodas

El nuevo estándar no será simplemente “estar en cloud”. Será poder demostrar que esa nube está gobernada.

Para el directorio de una entidad financiera argentina, la conversación debería empezar por cinco preguntas: qué sistemas críticos dependen de cloud o terceros tecnológicos; qué evidencias existen sobre controles, auditorías y trazabilidad; qué plan probado de continuidad hay si cae un proveedor clave; quién es responsable del riesgo cloud dentro de la organización; y qué controles de datos, infraestructura y proveedores acompañan los proyectos de IA.

Prohibida su reproducción total o parcial.

¿Qué te ha parecido este artículo?

¡Su opinión es importante para nosotros!

Nicolás Della Vecchia
Jefe de redacción
Periodista especializado en innovación, tecnología y negocios más. Licenciado en Periodismo en la Universidad del Salvador. Colaborador de Forbes Argentina desde 2019.
Sígame en

Leer también:

Temas

Canales

Artículos relacionados

  • Agentforce 360 impulsa el trabajo con IA en Salesforce, con agentes más precisos, voz nativa y aplicaciones que mejoran ventas, servicio y TI.

  • herramientas

    Cómo funciona Agentforce 360, la propuesta de Salesforce para agentes de IA listos para el trabajo

    19 Dic 2025

    Compartir
  • Ciberseguridad en retail argentino: cómo proteger tiendas físicas y e-commerce ante ataques cada vez más sofisticados

  • ESPECIALES

    Ciberseguridad en retail argentino: cómo proteger tiendas físicas y e-commerce ante ataques cada vez más sofisticados

    16 Abr 2026

    Compartir
  • Operarios preparan paquetes en un depósito, un panel digital muestra rutas y métricas, y un repartidor entrega un pedido; escena sobre software logistico aplicado a la última milla.

  • ESPECIALES

    Del depósito a la última milla: por qué el software logístico ya define la experiencia de compra

    26 May 2026

    Compartir
  • Apps del INTA para agricultura de precisión

  • Transformación digital

    Las apps del INTA que ya cambiaron 8,3 millones de hectáreas (y que el campo todavía no usa del todo)

    14 May 2026

    Compartir
  • Mercado SaaS 2026: por qué las empresas reducen software y priorizan plataformas integradas

  • ANÁLISIS

    Mercado SaaS 2026: por qué las empresas reducen software y priorizan plataformas integradas

    08 Abr 2026

    Compartir
  • LN – 2026-03-28T161126.180

  • CIO Profile

    Carlos Vecchio, el cerebro detrás de la transformación digital de Banco Macro

    30 Mar 2026

    Compartir