--:--
Modo de lectura
01 — 04 Economía · Banca · Tecnología

El Banco de España alerta: la banca depende de tres empresas americanas para existir y eso es un riesgo sistémico

Esta semana el Banco de España publicó su Memoria de Supervisión 2025 con una advertencia que no abre portadas pero que afecta a cada cuenta corriente del país: ningún banco español puede operar sin Amazon, Microsoft o Google. La guerra arancelaria de Trump con Europa ha convertido una dependencia tecnológica en una vulnerabilidad geopolítica de primer orden.

Noticias HdD · 30 abr 2026 Autor · Redacción HdD
02 — 04 Antes de leer

Conceptos que necesitas

Concepto

Computación en la nube: la diferencia entre tener el servidor en casa o alquilárselo a otro

Cuando un banco procesa una transferencia, esa operación ocurre en un ordenador. La pregunta es: ¿de quién es ese ordenador? Hasta hace quince años, los bancos mantenían sus propios centros de datos — salas llenas de servidores que ellos compraban, instalaban y gestionaban. La nube cambia ese modelo: en lugar de comprar el hardware, el banco le paga a empresas como Amazon Web Services (AWS), Microsoft Azure o Google Cloud para usar su infraestructura de forma remota, igual que uno paga el alquiler de un piso en vez de comprarlo. La ventaja es la flexibilidad y el coste: no hay que invertir en mantenimiento ni prever picos de demanda. La desventaja, que este artículo explica, es que el banco pierde el control directo sobre su infraestructura crítica y pasa a depender de que el arrendador siga disponible, cumpla sus contratos y no esté sometido a presiones externas.

Concepto

Riesgo de concentración: lo que pasa cuando todos ponen los huevos en los mismos tres cestos

El riesgo de concentración describe la vulnerabilidad que aparece cuando muchos actores distintos — en este caso, decenas de bancos europeos — dependen del mismo proveedor, del mismo proveedor de aquel proveedor, o de la misma infraestructura compartida. Si ese proveedor falla, todos fallan a la vez. El sistema financiero se diseñó históricamente para que la quiebra de un banco no arrastre a todos los demás; la regulación separa entidades, exige capitales, diversifica exposición. Pero si el 80% de los bancos europeos corren sobre los servidores de tres empresas americanas, un fallo tecnológico o una restricción política sobre esas tres empresas puede paralizar el sistema en conjunto, aunque cada banco individualmente tenga sus propios riesgos bien gestionados. El supervisor ve este punto ciego como el equivalente tecnológico a lo que fue la concentración hipotecaria antes de 2008.

Concepto

DORA: el reglamento europeo que obliga a los bancos a saber de qué dependen y a tener un plan B

DORA son las siglas de Digital Operational Resilience Act, el Reglamento Europeo de Resiliencia Operativa Digital, aprobado en 2022 y con entrada en vigor en enero de 2025. Antes de DORA, cada banco gestionaba sus riesgos tecnológicos según sus propias políticas internas; no había ninguna obligación de informar al supervisor sobre qué proveedores tecnológicos usaban, qué pasaría si uno de ellos fallara o cuánto tiempo podrían operar sin él. DORA cambia eso: exige que cada entidad financiera catalogue todos sus proveedores tecnológicos críticos, evalúe qué ocurriría si desaparecieran, y tenga planes de contingencia documentados y probados. También exige que los contratos con estos proveedores incluyan cláusulas de auditoría y salida. El problema, en abril de 2026, es que muchos bancos europeos siguen sin cumplirlo completamente — y el Banco de España lo señala explícitamente en su informe.

03 — 04 La noticia

Qué alertó el Banco de España, qué pasó con CrowdStrike y quién tiene incentivo para no cambiar nada

Los hechos

El Banco de España publicó esta semana su Memoria de Supervisión 2025, el informe anual en el que el supervisor examina la salud del sistema financiero español. Entre los riesgos identificados, la dependencia tecnológica de proveedores cloud extranjeros ocupa un espacio inusualmente prominente. El documento advierte que la dependencia de los bancos españoles de los tres grandes proveedores estadounidenses — Amazon Web Services (AWS), Microsoft Azure y Google Cloud — es "muy significativa" y la califica como un riesgo sistémico para el conjunto del sector.

Mercedes Olano, directora general de Supervisión del Banco de España, declaró esta semana que "ninguna entidad puede ya operar sin estos proveedores" y añadió que "tenerlo in-house [en infraestructura propia] es muy difícil" dado el nivel de integración alcanzado. Las cifras que acompañan su declaración son contundentes: el 100% de los bancos cotizados del Ibex 35 del sector financiero y energético dependen de software de origen estadounidense. Un estudio citado en la memoria eleva esa dependencia al 74% de las grandes empresas españolas en general. La distribución entre bancos es relativamente bien conocida en el sector: Santander y CaixaBank han migrado partes sustanciales de su infraestructura a AWS; BBVA y Sabadell operan principalmente sobre Azure; varios otros han incorporado Google Cloud en mayor o menor medida.

El supervisor no tiene potestad legal para obligar a los bancos a cambiar de proveedor — eso está fuera de su ámbito competencial. Lo que sí puede exigir, y lo que el informe pide expresamente, son tres cosas: primero, planes de contingencia documentados y probados para el escenario de pérdida de acceso a estos proveedores; segundo, diversificación de proveedores como criterio en las licitaciones y renovaciones de contratos; tercero, tests de estrés tecnológicos equivalentes a los tests de estrés financieros que ya son obligatorios. Hasta ahora, ninguna de estas tres exigencias está completamente implementada en el sistema.

El precedente que más cita el Banco de España en conversaciones informales es el incidente de CrowdStrike del verano de 2024. El 19 de julio de 2024, una actualización defectuosa del software de ciberseguridad de CrowdStrike — una empresa estadounidense — provocó la caída simultánea de 8,5 millones de dispositivos con Windows en todo el mundo. El fallo paralizó aeropuertos en varios países, hospitales, medios de comunicación y, en España, afectó a sistemas bancarios y de pagos. La interrupción duró entre horas y días según las organizaciones. La lección que el supervisor extrae no es que CrowdStrike sea un mal proveedor, sino que la concentración tecnológica hace que un fallo puntual de un solo actor se propague como si fuera un contagio sistémico — exactamente el tipo de riesgo que la regulación bancaria lleva décadas tratando de evitar en el ámbito financiero.

El contexto

La alerta del Banco de España no surge en el vacío. Hay tres vectores de contexto que la explican y que llegan simultáneamente en abril de 2026. El primero es la guerra arancelaria entre Estados Unidos y Europa, que en los últimos meses ha generado escenarios que antes eran puramente teóricos: analistas y funcionarios europeos han discutido abiertamente la posibilidad de que una escalada geopolítica incluya restricciones tecnológicas — limitaciones de licencias de software, bloqueos de actualizaciones de seguridad o retirada de servicios cloud a entidades europeas. Ninguno de estos escenarios se ha materializado, pero su mera discusión ha cambiado la conversación regulatoria de "riesgo técnico" a "riesgo geopolítico".

El segundo vector es DORA. El Reglamento de Resiliencia Operativa Digital entró en vigor en enero de 2025 con la obligación expresa de identificar dependencias tecnológicas críticas y tener planes de contingencia. Quince meses después de la fecha límite, el Banco de España constata en su Memoria que muchas entidades aún no han completado esa identificación de forma rigurosa, y que los planes de contingencia existentes no han sido sometidos a pruebas reales. El incumplimiento no es anecdótico: afecta a entidades medianas y a partes específicas de entidades grandes. El supervisor no cita nombres, pero la advertencia es pública.

El tercer vector es la fusión en curso entre BBVA y Sabadell. Aunque la OPA está en su fase final y su resultado es incierto, el proceso ha puesto sobre la mesa una pregunta específica: si BBVA absorbe Sabadell, dos entidades que operan principalmente sobre Azure se fusionarían en una sola. La concentración de clientes y volúmenes sobre un único proveedor aumentaría aún más. El supervisor no ha objetado la fusión por razones tecnológicas, pero ha señalado la redundancia de proveedor como un factor de riesgo adicional en el análisis de concentración que el regulador debe vigilar.

Todo esto ocurre en un momento en que España y Europa aceleran su discurso de soberanía digital. El mismo día en que el Banco de España publicó su Memoria, el Gobierno presentó la Estrategia Deep Tech, que incluye 2.300 millones de euros de inversión pública en computación cuántica, inteligencia artificial y semiconductores. La coincidencia no es solo cronológica: ambas iniciativas apuntan al mismo diagnóstico — Europa depende tecnológicamente de actores extranjeros en áreas críticas — aunque las soluciones que proponen operan en escalas de tiempo muy diferentes.

Las motivaciones posibles

Tres actores tienen posiciones muy diferentes ante esta alerta, con incentivos que no siempre coinciden con lo que dicen en público.

El Banco de España (el supervisor) El supervisor tiene incentivo para lanzar esta alerta ahora por varias razones que se refuerzan entre sí. DORA le da por primera vez el marco legal para exigir lo que antes solo podía recomendar: los planes de contingencia y los tests de estrés tecnológicos son obligatorios, no sugerencias. Si el supervisor no actúa y ocurre un incidente, será señalado como negligente. Además, el momento geopolítico le da cobertura: una alerta que en 2022 habría parecido alarmista hoy parece prudente. El BdE también tiene un incentivo institucional: elevar el perfil de la supervisión tecnológica le da más recursos, más personal especializado y más peso en los foros regulatorios europeos. No se le puede atribuir la intención de generar alarma innecesaria, pero sí tiene incentivo para que el problema sea percibido como urgente.

Los bancos (Santander, BBVA, CaixaBank, Sabadell) Los bancos tienen incentivo para no diversificar, y es un incentivo poderoso: cambiar de proveedor cloud es extraordinariamente caro, lento y arriesgado. Las migraciones tecnológicas a escala bancaria duran años, cuestan cientos de millones y pueden generar más riesgos operativos en el proceso de los que resuelven. Además, los contratos con AWS, Azure y Google Cloud son a largo plazo, con penalizaciones por salida anticipada y descuentos por volumen que hacen atractivo quedarse. Los responsables tecnológicos de los bancos comparten en privado que la dependencia es real y que preocupa, pero que la solución que el supervisor esboza — diversificar, tener planes de salida, probar contingencias — es mucho más costosa de lo que los análisis regulatorios suelen reconocer. Los bancos tienen incentivo para cumplir formalmente con DORA (documentar, catalogar, presentar planes) sin necesariamente cambiar su arquitectura tecnológica de fondo.

El Gobierno y los ciudadanos El Gobierno tiene un doble incentivo que en parte se contradice. Por un lado, la Estrategia Deep Tech presentada hoy apunta exactamente a reducir dependencias tecnológicas a largo plazo — y la alerta del BdE le da argumento político para justificar esa inversión. Por otro lado, el Gobierno no tiene competencia directa sobre los proveedores cloud que usan los bancos privados, y cualquier regulación que encarezca o dificulte esa dependencia puede frenar inversiones bancarias o encarecer servicios. Para los ciudadanos, el riesgo es concreto aunque invisible: si los sistemas cloud fallan o son bloqueados, los servicios bancarios digitales — transferencias, pagos, acceso a cuentas — podrían interrumpirse. La mayoría de la gente no sabe que cuando paga con el móvil, esa transacción pasa por servidores de una empresa en Seattle o en Dublín.

04 — 04 Análisis

Una dependencia que llevan años construyendo, una alerta que llega tarde y una solución que nadie quiere pagar

Cómo lo han contado otros medios

La cobertura mediática de la Memoria de Supervisión del Banco de España se ha centrado en otros capítulos del informe — rentabilidad bancaria, morosidad, impacto de la guerra en Irán sobre el crédito — y ha relegado la dependencia tecnológica a párrafos secundarios o no la ha cubierto en absoluto. El País y El Economista recogieron la declaración de Mercedes Olano sobre los proveedores cloud, pero sin desarrollar el contexto regulatorio ni el precedente de CrowdStrike. Expansion publicó una pieza más detallada sobre DORA y el nivel de cumplimiento de la banca española. La prensa internacional especializada — Financial Times, Bloomberg — lleva meses siguiendo la dependencia cloud del sector financiero europeo en términos más amplios, pero sin centrarse específicamente en España.

El marco narrativo predominante en la cobertura española es el de "advertencia técnica del regulador", lo que reduce el asunto a una cuestión de cumplimiento normativo. Lo que la cobertura omite sistemáticamente es la dimensión geopolítica: si la dependencia tecnológica fuera solo un riesgo operativo, bastaría con mejorar los planes de contingencia. El hecho de que el supervisor la señale en el contexto de la guerra arancelaria y del debate sobre represalias tecnológicas la convierte en algo cualitativamente diferente — una vulnerabilidad de seguridad nacional en la que el banco no tiene forma de protegerse solo. Esa dimensión casi no ha aparecido en los medios españoles.

También hay un silencio notable sobre los propios proveedores. AWS, Azure y Google Cloud no han emitido comunicados en respuesta al informe del BdE. Las empresas americanas de tecnología tienen en Europa un lobby sofisticado y han invertido mucho en presentar la nube como infraestructura neutral, no como dependencia geopolítica. Esa narrativa — "los datos están en Europa aunque los servidores sean de empresas americanas" — ha calado en muchas organizaciones financieras y aparece implícitamente en algunos análisis sectoriales.

Lo que queda abierto

  • ¿Cuántos bancos españoles han completado el inventario de dependencias críticas que exige DORA y cuántos siguen en proceso? El Banco de España no publica esa información por entidad, pero el BCE debería tenerla. La respuesta cambia completamente la urgencia del problema.
  • ¿Cuánto costaría a un banco mediano como Bankinter o Unicaja construir planes de contingencia reales — no solo documentados, sino probados — para operar sin su proveedor cloud principal durante 72 horas? Nadie ha publicado esa cifra. Sin ella, el debate sobre si la diversificación es viable o solo teórica no puede resolverse.
  • Si BBVA absorbe Sabadell, ¿el regulador condicionará la aprobación final a compromisos específicos de diversificación tecnológica o a pruebas de resiliencia antes de la integración? Esa pregunta sigue sin respuesta pública por parte del BdE ni de la CNMC.
  • ¿Existe algún banco europeo de tamaño comparable a Santander o BBVA que haya migrado con éxito parte de su infraestructura crítica a un proveedor cloud europeo (como OVHcloud o Hetzner) y que pueda servir como referencia real? La respuesta influye directamente en si la soberanía cloud bancaria es un objetivo alcanzable o una aspiración política sin sustancia tecnológica. HdD seguirá este punto.
  • ¿Qué ocurrió exactamente con los sistemas bancarios españoles durante el incidente de CrowdStrike de julio de 2024? El BdE tiene esa información pero no la ha publicado en detalle. Saber qué falló, durante cuánto tiempo y cuántos clientes se vieron afectados es la única forma de calibrar si el riesgo es teórico o ya ha tenido consecuencias concretas.
La pregunta

Si los bancos saben desde hace años que dependen de tres empresas americanas para existir, y los supervisores saben que eso es un riesgo sistémico, y los reguladores europeos aprobaron DORA para obligarles a tener planes de salida, ¿quién es responsable de que en abril de 2026 el sistema siga exactamente igual — y quién tiene que pagar el coste de cambiarlo?

Lee también

30·04·26
Tecnología · Economía · España

España lanza su Estrategia Deep Tech: 2.300 millones para cuántica, IA y semiconductores

 28·04·26
Economía · Banca · España

OPA BBVA sobre Sabadell: la mayor fusión bancaria española en décadas y lo que cambia para millones de clientes

 24·04·26
Tecnología · Regulación · Europa

100 días para el reglamento de IA más exigente del mundo: qué prohíbe, qué obliga y qué pasa en España en agosto
Nota metodológica

Cómo verificamos este artículo

Este artículo se basa en la Memoria de Supervisión 2025 del Banco de España (publicada el 30 de abril de 2026), las declaraciones públicas de Mercedes Olano, directora general de Supervisión del BdE, el texto del Reglamento DORA (UE 2022/2554) con entrada en vigor en enero de 2025, y datos publicados sobre el incidente CrowdStrike de julio de 2024 recogidos por Microsoft y por medios especializados. Los datos de distribución de proveedores cloud por banco proceden de informes sectoriales de IDC y KPMG citados en la Memoria. La asignación de proveedores cloud por entidad bancaria (AWS, Azure, Google Cloud) es de dominio público a través de comunicaciones corporativas de los propios bancos y cobertura especializada. Las motivaciones expuestas son incentivos observables derivados de la estructura de cada actor, no intenciones confirmadas. Correcciones o información adicional: redaccion@horadedespertar.org

← Todas las noticias