Comité de Supervisión Bancaria de Basilea
Resumen ejecutivo
La innovación tecnológica está transformando la prestación de servicios bancarios a través de tres grandes canales: (i) una expansión en el conjunto de servicios y productos financieros, así como en los canales de distribución a través de los cuales se ofrecen; (ii) la llegada de nuevos proveedores tecnológicos de estos servicios (por ejemplo, big techs, fintechs y terceros proveedores de servicios); y (iii) el uso cada vez mayor de las innovaciones digitales para gestionar, mitigar y supervisar los riesgos.
El Comité de Supervisión Bancaria de Basilea (CSBBS), como organismo rector mundial de la regulación prudencial de los bancos, tiene un gran interés en supervisar las tendencias de digitalización, comprender cómo pueden afectar a los bancos y a la supervisión bancaria, facilitar el intercambio de información entre los supervisores para identificar y abordar los retos comunes y, en su caso, emitir normas u orientaciones para mitigar los riesgos.
Este informe se basa en el documento de 2018 del Comité titulado «Buenas prácticas: implicaciones de los desarrollos en tecnología financiera para los bancos y los supervisores bancarios», y hace balance de los avances recientes en la digitalización de las finanzas.
En la sección 2 se examinan algunas de las tecnologías clave en diversos aspectos de la cadena de valor bancaria. Esto incluye el uso por parte de los bancos de interfaces de programación de aplicaciones (API), inteligencia artificial (IA) y aprendizaje automático (ML), tecnología de contabilidad distribuida (DLT) y computación en la nube. Estas tecnologías están siendo utilizadas por una amplia gama de bancos, aunque con diversos grados de intensidad y alcance. Por ejemplo, a pesar del creciente interés en torno a la IA/ML, la mayoría de los bancos parecen estar utilizando esta tecnología con cautela en esta etapa, especialmente para los servicios orientados al cliente y para la generación de ingresos. Por el contrario, en los últimos años se ha producido un aumento significativo del número de bancos que utilizan servicios de computación en la nube, y se espera que esta tendencia continúe.
En la sección 3 se analiza el papel de los nuevos competidores bancarios y modelos de negocio. Hasta la fecha, estos acontecimientos han afectado al sistema bancario principalmente a través de: i) la competencia de nuevos participantes (por ejemplo, en los servicios de pago); y (ii) la formación de asociaciones estratégicas entre bancos y otras empresas. Como resultado, la topología del sistema bancario está evolucionando, con nuevos nodos y canales de interconexiones.
En la sección 4 se describen los riesgos potenciales para los bancos y la estabilidad financiera derivados de la digitalización de las finanzas y las tendencias descritas en las secciones anteriores. Si bien la digitalización puede beneficiar tanto a los bancos como a sus clientes, también puede crear nuevas vulnerabilidades y amplificar los riesgos existentes para los bancos, sus clientes y la estabilidad financiera. Estos incluyen mayores desafíos por parte de los bancos para adaptar sus estrategias comerciales («riesgo estratégico») a un entorno cada vez más digital, un riesgo de reputación potencialmente mayor para los bancos, una mayor gama de factores que podrían poner a prueba la resiliencia operativa y el riesgo operativo de los bancos, y desafíos para la gobernanza de datos de los bancos. También existen riesgos sistémicos que podrían derivarse de la digitalización en curso de la banca, como el aumento de los nodos de interconexión entre las empresas financieras, un mayor grado de contagio en tiempos de tensión y la amplificación del comportamiento procíclico (por ejemplo, las ventas de liquidación).
En este contexto, en la sección 5 se examinan las distintas estrategias y prácticas que, en principio, están a disposición de los bancos para mitigar los riesgos. Las estructuras de gobernanza y los procesos de gestión de riesgos eficaces son fundamentales para identificar, supervisar y mitigar los riesgos asociados a la digitalización de las finanzas. Los bancos también pueden mitigar riesgos específicos relacionados con la digitalización, como los derivados de los modelos de API o IA/ML, mejorando los controles y aplicando un enfoque centrado en el ser humano «en todo el banco» para supervisar el uso de dichas tecnologías. Del mismo modo, los bancos gestionan los riesgos relacionados con los datos a través de sólidos acuerdos de gobernanza y protocolos de seguridad mejorados. Los bancos también pueden reforzar su diligencia debida y su gestión del riesgo operativo para mitigar los riesgos derivados de su dependencia de terceros proveedores de servicios. En la práctica, muchos de estos mitigadores de riesgos aún están evolucionando y aún no se han probado a través de diferentes fases del ciclo económico o períodos de estrés.
Las regulaciones y los marcos de supervisión también han evolucionado en respuesta a la digitalización de las finanzas. En la sección 6 se examinan estos acontecimientos. Por ejemplo, algunas jurisdicciones han ampliado el alcance del perímetro regulatorio en sus marcos legislativos. La mayoría de las autoridades también exigen que las nuevas aplicaciones bancarias sigan el mismo marco que se aplica a los bancos «tradicionales», y algunas jurisdicciones aplican un proceso distinto para los bancos exclusivamente digitales. Muchas jurisdicciones también han emitido directrices supervisoras específicas relacionadas con diferentes aspectos de la digitalización de la banca (por ejemplo, sobre la gestión de riesgos de modelos y la computación en la nube). Los supervisores también están revisando y ajustando sus enfoques y herramientas para mitigar los riesgos de la digitalización y, al mismo tiempo, aprovechar sus beneficios de manera responsable.
La sección 7 concluye esbozando las implicaciones regulatorias y de supervisión tanto para los bancos como para los supervisores bancarios. A nivel macroestructural, los supervisores deben seguir vigilando –y es importante que los bancos mitiguen– los riesgos derivados de la naturaleza evolutiva de la banca como resultado de las innovaciones tecnológicas. La adopción de tecnologías y modelos de negocio innovadores debe guiarse por un principio de innovación responsable. Es importante que los supervisores logren el equilibrio adecuado entre permitir la innovación responsable y, al mismo tiempo, salvaguardar la seguridad y la solidez del sistema bancario y la estabilidad financiera. Como resultado de las líneas cada vez más difusas entre los bancos y la prestación de servicios bancarios, la integración del principio de «mismo riesgo, misma actividad, misma regulación» en los marcos regulatorios y legales puede ayudar a evitar el arbitraje regulatorio.
La sección 7 también incluye implicaciones de temas específicos de digitalización. Reconoce los datos como un recurso crítico, lo que requiere un nivel proporcional de salvaguardas. El uso de proveedores de servicios debe estar sujeto a prácticas y procesos sólidos de gestión de riesgos de manera proporcionada y basada en el riesgo. En términos más generales, los avances en la digitalización no deben disminuir el papel del juicio humano en la gestión y supervisión de riesgos.
Este informe también destaca las implicaciones de la digitalización para el desarrollo de capacidades y la coordinación. Es importante que tanto los bancos como los supervisores cuenten con recursos suficientes y personal con las capacidades, conocimientos y habilidades necesarios para evaluar y mitigar los riesgos derivados de las nuevas tecnologías y modelos de negocio. La digitalización plantea cuestiones que van más allá del ámbito de la supervisión prudencial. En consecuencia, la comunicación y la coordinación entre los supervisores bancarios y otras autoridades pertinentes, dentro de las jurisdicciones y entre ellas, es importante para abordar estas consideraciones.
El Comité seguirá haciendo un seguimiento de la evolución relacionada con la digitalización de las finanzas. Cuando sea necesario, considerará si se necesitan normas u orientaciones adicionales para mitigar los riesgos y las vulnerabilidades.
1. Introducción
Los avances en la digitalización y la tecnología financiera («Fintech») siguen afectando al panorama del sistema financiero, incluida la prestación de servicios bancarios. Los avances tecnológicos están alterando el sistema financiero a través de tres grandes canales: (i) una expansión en el conjunto de servicios y productos financieros, así como en los canales de distribución a través de los cuales se ofrecen; (ii) la llegada de nuevos proveedores tecnológicos de estos servicios (por ejemplo, big techs, fintechs y terceros proveedores de servicios); y (iii) el uso cada vez mayor de las innovaciones digitales para gestionar, mitigar y supervisar los riesgos.
El Comité de Supervisión Bancaria de Basilea (CSBBS), como organismo rector mundial de la regulación prudencial de los bancos, tiene un gran interés en supervisar las tendencias de digitalización, comprender cómo pueden afectar a los bancos y a la supervisión bancaria, facilitar el intercambio de información entre los supervisores para identificar y abordar los retos comunes y, en su caso, emitir normas u orientaciones para mitigar los riesgos.
En 2018, el Comité publicó un documento de buenas prácticas sobre las implicaciones de los desarrollos en tecnología financiera para los bancos y los supervisores bancarios. El documento buscó contribuir a una comprensión común de las oportunidades y riesgos asociados con la tecnología financiera en el sector bancario mediante la descripción de las prácticas observadas. En él se esbozan cinco escenarios prospectivos estilizados, no mutuamente excluyentes y sobre el impacto potencial de la tecnología financiera en el sector bancario y la supervisión bancaria:
• Mejor banco: vería la modernización y digitalización de los actores establecidos.
• Nuevo banco: donde los operadores tradicionales serían reemplazados por bancos retadores.
• Banco distribuido: que vería la fragmentación de los servicios financieros entre los bancos tradicionales y las empresas de tecnología financiera.
• Banco relegado: donde los bancos tradicionales se convertirían en proveedores de servicios básicos y las relaciones con los clientes son propiedad de nuevos intermediarios.
• Banco des-intermediado: donde los bancos establecidos se volverían «irrelevantes» a medida que los clientes interactúan directamente con los proveedores de servicios financieros individuales.
Desde 2018, la digitalización de las finanzas ha seguido acelerándose en varios frentes. Las inversiones en empresas Fintech entre 2019 y 2023 ascendieron a 865.000 millones de dólares, más del doble de la cantidad invertida entre 2013 y 2018. Las grandes tecnológicas, las empresas Fintech, las instituciones financieras no bancarias y los proveedores de servicios están desempeñando colectivamente un papel cada vez más importante en la prestación de servicios financieros, con cadenas de interconexiones cada vez mayores. Los avances en inteligencia artificial y aprendizaje automático, computación en la nube, tecnología de contabilidad distribuida, finanzas descentralizadas y diversas formas de criptoactivos han planteado preguntas importantes sobre su impacto potencial en los bancos, la banca y la supervisión.
Este informe se basa en el documento de 2018 y hace un balance de los avances recientes en la digitalización de las finanzas, y está estructurado de la siguiente manera. En la sección 2 se ofrece una breve descripción de las tecnologías clave y los casos de uso pertinentes dentro del sector bancario. En la sección 3 se examina el papel de los competidores habilitados tecnológicamente en la banca y los modelos de negocio de los bancos. En la sección 4 se describen los riesgos potenciales para los bancos y la estabilidad financiera derivados de la digitalización de las finanzas. En la sección 5 se analizan las diversas estrategias y prácticas adoptadas por los bancos para mitigar los riesgos. En la sección 6 se describen diferentes iniciativas de regulación y supervisión en respuesta a la digitalización de las finanzas. La sección 7 concluye esbozando las posibles implicaciones regulatorias y de supervisión tanto para los bancos como para los supervisores bancarios, que no constituyen normas u orientaciones formales. Al final de este informe se proporciona un glosario de los términos utilizados.
El informe se ha elaborado sobre la base de investigaciones y análisis, intercambios de supervisión, una encuesta entre los miembros del Comité de Basilea y del Grupo Consultivo de Basilea, y actividades de divulgación con partes interesadas externas. Los estudios de caso a los que se hace referencia a lo largo del documento tienen la intención de ser solo informativos, no son una aprobación por parte del Comité (o sus miembros) de ninguna práctica, modelo o entidad en particular.
2. Tecnologías innovadoras y sus aplicaciones
Una característica definitoria de la digitalización en curso de las finanzas es la aparición y el creciente uso de una amplia gama de tecnologías innovadoras en diversos aspectos de la cadena de valor bancaria (gráfico 1). Sobre la base del documento de 2018, esta sección describe los desarrollos en tecnologías innovadoras y sus casos de uso dentro de los servicios bancarios y financieros.
Este informe se centra en las tecnologías que se utilizan ampliamente en los bancos, ya sea en desarrollo o en producción, y por lo tanto no considera aquellas tecnologías (por ejemplo, la computación cuántica) que pueden afectar a los bancos y a la banca en un horizonte temporal más largo. Tampoco considera el impacto potencial de las monedas digitales de los bancos centrales en el sistema bancario.
2.1 Interfaces de programación de aplicaciones
En el contexto de los servicios financieros, las interfaces de programación de aplicaciones (API) pueden facilitar el intercambio de datos entre dos aplicaciones distintas y permitir la ejecución de determinadas actividades o servicios financieros. Las API permiten un procesamiento más eficiente en tiempo real entre programas de software y facilitan una mayor conectividad de datos. Los bancos están utilizando las API de varias maneras, incluso para compartir o importar datos:
• entre sus sistemas internos, por ejemplo, para la banca móvil, que conecta las aplicaciones orientadas al cliente con los sistemas centrales del banco;
• hacia o desde socios externos, por ejemplo, en el marco de acuerdos de banca como servicio (véase la sección 3.2) o cuando se externalizan determinadas funciones; y
• hacia o desde terceros no relacionados, por ejemplo, compartir los datos de las transacciones de la cuenta de un cliente con un proveedor de software de contabilidad externo o para informar datos a su supervisor.
Por lo general, las API se consideran más seguras que otras técnicas de intercambio de datos y también pueden permitir a los bancos un mayor control sobre cómo se puede acceder a los datos de los clientes y quién los tiene. El uso de API permite a los bancos asociarse con empresas especializadas en terceros para proporcionar servicios modulares integrados, desarrollar nuevos modelos de negocio (y potencialmente nuevas fuentes de ingresos) y externalizar procesos de forma más segura a terceros en lugar de crear sistemas internos. Cuando existe reciprocidad en términos de intercambio de datos, los bancos también pueden aumentar su conocimiento de los clientes al tener acceso a una gama más amplia de datos financieros personales.
Las API se utilizan habitualmente en los marcos de banca abierta y finanzas abiertas. Los objetivos de los diferentes regímenes de banca y financiación abierta varían, pero pueden incluir el fomento de la innovación en los servicios financieros, la mejora de la competencia y la promoción de la inclusión financiera. Si la API está configurada para permitirlo, los consumidores también pueden permitir que terceros tomen decisiones de cuenta por ellos (por ejemplo, decisiones de inversión). Para las empresas, la banca y las finanzas abiertas pueden respaldar una verificación más rápida de las cuentas de los clientes, un procesamiento de pagos más eficiente y el acceso a mejores productos financieros (por ejemplo, préstamos bancarios que utilizan suscripción basada en transacciones).
Muchos países ya han implementado, o planean introducir, iniciativas de banca abierta y finanzas (Gráfico 2). A nivel mundial, estos regímenes adoptan diferentes formas y varían en términos de:
• si son obligatorias o voluntarias, y si están impulsadas por la reglamentación o por el mercado;
• el alcance de los marcos, por ejemplo, algunas jurisdicciones han extendido el intercambio de datos a otros sectores de la economía o permiten a terceros iniciar acciones en nombre de los consumidores, además de poder «leer» sus datos;
• los tipos de datos que deben compartirse (por ejemplo, datos de pagos frente a datos financieros más amplios);
• si exigen el uso de API y requieren el uso de protocolos comunes;
• la forma y la duración del consentimiento del cliente;
• si exigen que los terceros que buscan acceder a los datos de los consumidores tengan licencia o autorización; y
• Disposiciones relativas a la distribución de costos.
Se espera que los marcos de banca y finanzas abiertas desempeñen un papel fundamental a la hora de permitir el intercambio de datos autorizados por los clientes a gran escala, lo que, a su vez, se espera que fomente nuevas innovaciones en los modelos de negocio y los productos.
2.2 Inteligencia artificial y aprendizaje automático
Los bancos están utilizando aplicaciones de inteligencia artificial y aprendizaje automático (IA/ML) en una variedad de entornos, tanto para las funciones de Back office como de Front office. Hasta la fecha, los casos de uso incluyen suscripción de créditos, actividades comerciales, modelos de precios, capital regulatorio y planificación, requisitos de liquidez y planificación, detección y prevención de fraudes, lucha contra el lavado de dinero y lucha contra el financiamiento del terrorismo (AML/CFT), Chatbots y marketing.
Las técnicas de IA/ML poseen la capacidad de predecir una amplia variedad de fenómenos complejos y tienen el potencial de aumentar la eficiencia operativa de los bancos, las capacidades de gestión de riesgos y la oferta de productos (por ejemplo, servicios de asesoramiento robótico). Más específicamente, los beneficios potenciales de las aplicaciones de IA/ML incluyen:
• Mejorar la experiencia del cliente, ya que la tecnología puede ayudar a agilizar las interacciones con los clientes (como la solicitud de un préstamo) al eliminar los pasos manuales;
• capacidad superior de reconocimiento de patrones y poder predictivo en comparación con los enfoques más tradicionales (por ejemplo, en la mejora del rendimiento de la inversión, la detección de fraudes o la ampliación del acceso al crédito);
• eficiencias de costes (es decir, los enfoques de IA/ML pueden ser capaces de llegar a resultados más baratos, sin reducir el rendimiento), como permitir el desarrollo del acceso multicanal de los clientes y aumentar el autoservicio por parte de los clientes;
• mayor precisión y consistencia en el procesamiento en comparación con los enfoques que tienen más intervención humana y un mayor «error del operador» (como la detección de anomalías en el monitoreo de AML); y
• mejor capacidad para acomodar conjuntos de datos muy grandes y menos estructurados, y para procesar esos datos de manera más eficiente y eficaz (por ejemplo, capacidad para obtener una mayor comprensión de las necesidades de los clientes y la prestación de servicios más personalizados o adaptados).
En general, los bancos parecen estar utilizando la IA con cautela en esta etapa, aunque algunos la están utilizando de forma más intensiva. En el caso de los casos de uso de mayor riesgo, muchos procesos no se han automatizado por completo (por ejemplo, las aplicaciones de IA/ML se utilizan para comparar modelos primarios, o los resultados están sujetos a la toma de decisiones humanas y/o se utilizan para respaldarla). La incertidumbre regulatoria con respecto a las expectativas sobre responsabilidad, ética, privacidad de datos, equidad, transparencia y explicabilidad también ha sido identificada por algunos bancos como un factor detrás de su enfoque más cauteloso, especialmente para usos con implicaciones para los consumidores.
Más recientemente, la IA generativa (es decir, cuando un algoritmo o modelo genera resultados como textos, imágenes y videos basados en los patrones de datos con los que fue «entrenado») ha recibido una atención pública significativa. La IA generativa no se centra en una sola aplicación, sino que se puede adaptar a una amplia gama de tareas distintivas. El uso de la IA generativa por parte de los bancos sigue siendo limitado en la actualidad, especialmente para los servicios orientados al cliente y las actividades de mayor riesgo. Sin embargo, algunos bancos están explorando o probando aplicaciones de IA generativa internamente para mejorar la eficiencia operativa y la productividad del personal. Los casos de uso específicos que se han observado se describen en el Gráfico 3.
2.3 Tecnología de registro distribuido
Las soluciones de tecnología de registro distribuido (DLT) tienen el potencial de aplicarse para múltiples propósitos, incluidas nuevas formas de dinero (por ejemplo, monedas digitales de bancos centrales), tokenización de activos y depósitos, y mejora de la gestión operativa de las actividades comerciales existentes de los bancos (por ejemplo, gestión de garantías). Si bien las aplicaciones más conocidas de DLT incluyen su uso en los ecosistemas de criptoactivos y finanzas descentralizadas (DeFi), tiene aplicaciones más amplias. En los servicios financieros, la TRD tiene el potencial de reducir los costes y aumentar la eficiencia al permitir servicios más baratos, rápidos y personalizados. Estos beneficios podrían provenir del mantenimiento de registros inmutables, la identidad digital, la alineación de los tramos de transacción a través de la liquidación atómica y la automatización que permite la personalización del producto y la reducción del número de intermediarios necesarios para completar las transacciones. Sin embargo, existen varios obstáculos (incluidas las cuestiones legales) y riesgos (véase la sección 4) que deben abordarse para que estos beneficios teóricos se materialicen. En la actualidad, ningún banco cuenta con productos basados en DLT a escala sistémica, ya que un ecosistema fracturado y los desafíos de interoperabilidad limitan los posibles efectos de red.
Los bancos de varias jurisdicciones están mostrando un interés cada vez mayor en los proyectos de tokenización. La tokenización es el proceso de representar reclamaciones digitalmente en una plataforma programable, que tiene el potencial de facilitar nuevas formas de utilizar los activos financieros para servir a los usuarios finales y desbloquear nuevos acuerdos que las fricciones en el sistema monetario han hecho hasta ahora poco prácticos. Si bien el interés en la tokenización de activos y pasivos del mundo real está creciendo, con varias pruebas de concepto, proyectos de investigación exploratoria y lanzamientos de productos dentro de la industria financiera, solo unos pocos bancos ofrecen actualmente servicios o productos que utilizan la tokenización.
Algunos de los casos de uso más notables por parte de los bancos en todas las jurisdicciones incluyen la emisión de tokens de seguridad respaldados por bienes raíces; la tokenización del patrimonio neto de los bancos; la tokenización y custodia de las acciones de los clientes bancarios; la tokenización de instrumentos financieros como las opciones repo intradía y los bonos; e incluso la tokenización de los derechos de propiedad de las obras de arte, lo que permite a los inversores comprar e intercambiar «acciones» de una obra de arte. En el otro lado del balance, los bancos también están experimentando con pasivos tokenizados (incluidos depósitos) y stablecoins.
Más allá de la tokenización, algunos bancos están utilizando o explorando la DLT para otros fines, como la verificación de la identidad, la liquidación de transacciones tokenizadas, los pagos transfronterizos, la custodia de activos digitales y la contabilidad, entre otros. En concreto, algunos bancos están explorando la utilización de la DLT para plataformas de pago aceleradas, tenencias de bonos digitalizadas, pagos transfronterizos entre sucursales en el extranjero o clientes que trabajan en el extranjero, procesos de incorporación de clientes y gestión de activos y garantías en tiempo real. Estas iniciativas demuestran las diversas aplicaciones de la DLT en el sector bancario más allá de la tokenización. No obstante, en la coyuntura actual, el tamaño y el volumen de la actividad basada en la TRD siguen siendo pequeños en comparación con cualquier otro mercado.
La mayoría de los bancos planean llevar a cabo actividades en libros de contabilidad privados con permiso, en lugar de libros de contabilidad públicos sin permiso. Sin embargo, hay algunos proyectos que proponen utilizar libros de contabilidad sin permisos, lo que permite una integración más estrecha con el ecosistema criptográfico más amplio y puede ahorrar importantes costes de desarrollo y mantenimiento, pero requiere nuevas formas de gestión de riesgos. Por ejemplo, algunos bancos están explorando cómo abordar los riesgos de AML y los requisitos de conocimiento del cliente (KYC) en cadenas de bloques sin permiso mediante contratos inteligentes o el uso de credenciales verificables.
2.4 Computación en la nube
La computación en la nube permite compartir recursos de procesamiento informático bajo demanda de una manera que promueve la eficiencia y las economías de escala. Las soluciones en la nube permiten un acceso más fácil a la tecnología y la infraestructura informática que, de otro modo, serían costosas o llevarían mucho tiempo de construcción y de mantenimiento.
Por lo tanto, los servicios en la nube pueden reducir las barreras de entrada para las empresas que se expanden a nuevos productos y servicios y, con el tiempo, reducir los costos de los servicios financieros.
Los participantes en la industria de servicios financieros, incluidos bancos, proveedores de servicios y empresas de tecnología financiera, utilizan los servicios en la nube para respaldar una variedad de servicios y líneas comerciales diferentes. Existen cuatro tipos principales de modelos de servicios de computación en la nube (Gráfico 4), aunque también están surgiendo otros.
Existen tres modelos de implementación de servicios en la nube: nube pública, nube privada y nube híbrida (Tabla 1).
Es probable que los bancos que pueden trasladar sus sistemas y datos de los sistemas heredados a la nube se beneficien de una mayor eficiencia y una mejor interoperabilidad. Los servicios en la nube permiten a los bancos evitar la construcción de costosos centros de datos locales que cubren las cargas informáticas de nivel máximo y, en cambio, les permiten la flexibilidad para adaptarse a las fluctuaciones estacionales en la necesidad de computación. Además, suponiendo que un banco cliente seleccione las configuraciones de seguridad y resiliencia adecuadas, un proveedor de servicios en la nube a menudo puede ofrecer un entorno de TI que sea al menos tan robusto desde una perspectiva de resiliencia operativa como el propio centro de datos local de un banco individual. En principio, las economías de escala podrían ayudar a los proveedores de servicios en la nube a lograr un alto grado de redundancia, diversidad geográfica y seguridad e ingeniería avanzadas a un costo mucho menor en comparación con la mayoría de los bancos individuales.
Encuestas recientes de bancos y otras empresas financieras sugieren que una proporción cada vez mayor de instituciones utilizan la computación en la nube para diversos fines, incluidos datos regulatorios, operaciones comerciales y aplicaciones. Si bien puede haber diferencias significativas en el grado de adopción de la nube entre los bancos dentro de una jurisdicción, los supervisores han informado de un aumento significativo en el número de bancos que utilizan servicios de computación en la nube en los últimos años, y se espera que esta tendencia continúe. Esto podría atribuirse, en parte, a que los bancos están acelerando sus planes de digitalización como consecuencia de la pandemia de Covid-19.
La mayoría de los bancos que utilizan servicios de computación en la nube comenzaron con software como servicio (SaaS), pero ahora muchos también utilizan infraestructura como servicio (IaaS) y plataforma como servicio (PaaS), y se han sentido cómodos con el uso de la nube pública. Los tipos de cargas de trabajo que se han trasladado a la nube también varían de un banco a otro. Algunos bancos han trasladado solo cargas de trabajo de bajo riesgo a la nube, mientras que otros están empezando a trasladar incluso sus sistemas bancarios centrales. Algunos bancos, en particular los bancos digitales, tienen todos sus sistemas en la nube, mientras que otros bancos han adoptado una estrategia que da prioridad a la nube para nuevos productos y servicios.
3. Nuevos competidores y modelos de negocio
Los avances en la tecnología financiera han coincidido con la aparición de nuevos participantes y nuevos modelos de negocio. Hasta la fecha, estos acontecimientos han afectado al sistema bancario principalmente a través de: i) la competencia de nuevos participantes (en particular en los servicios de pago); y (ii) la formación de asociaciones estratégicas entre bancos y otras empresas. En esta sección se examina el papel de estos participantes y la evolución de los modelos de negocio de los bancos.
3.1 Nuevos participantes
Las tecnologías innovadoras han facilitado la entrada de nuevos participantes exclusivamente digitales («neobancos»), fintechs y grandes empresas tecnológicas («big techs») en la prestación de servicios bancarios y financieros. Estas empresas suelen tener una ventaja en materia de datos y tecnología en relación con los bancos tradicionales (por ejemplo, plataformas nativas digitales sin sistemas informáticos heredados), y es posible que no estén sujetas a regulación o supervisión prudencial.
Los neobancos aspiran a competir con los bancos tradicionales personalizando mejor los productos en línea y entregando servicios más rápido. Por lo general, se dirigen a individuos, empresarios y pequeñas y medianas empresas, y ofrecen una gama de servicios que incluyen cuentas comerciales y de depósito, tarjetas de crédito, asesoramiento financiero y préstamos. Al no estar limitados por la infraestructura heredada, es posible que puedan aprovechar la nueva tecnología a un costo menor, más rápidamente y en formatos más modernos. Si bien no están gravados por los sistemas heredados, los neobancos pueden enfrentar otros desafíos, incluida una financiación de depósitos menos estable. En algunos mercados, los neobancos no tienen licencia como bancos y se asocian directamente con los bancos establecidos (véase la sección 3.2). Varios grandes bancos tradicionales también han lanzado neobancos como subsidiarias para ofrecer servicios exclusivamente digitales. Hasta la fecha, la participación de los neobancos en los activos bancarios sigue siendo pequeña en la mayoría de las jurisdicciones.
Las fintechs a menudo se especializan en ofrecer un producto o servicio particular que se dirige a un segmento específico de la cadena de valor bancaria. En su mayoría, dependen de canales digitales como las redes sociales y los sitios web, o de asociaciones con instituciones financieras locales, para adquirir clientes. Según se informa, el mayor número de empresas de tecnología financiera ofrecen servicios de préstamos y pagos, seguidas de aprovisionamiento de tecnología empresarial, recaudación de capital y tecnología de riqueza. Se espera que los pagos sigan siendo el mayor segmento de tecnología financiera por ingresos en 2030, seguido de los préstamos, los seguros, los depósitos, las inversiones y la infraestructura financiera. Si bien las fintechs siguen siendo pequeñas en relación con las instituciones financieras tradicionales, continúan expandiéndose, particularmente en los segmentos de mayor riesgo del sistema financiero.
Las grandes tecnológicas son grandes empresas tecnológicas que ofrecen servicios digitales que se basan en el análisis de datos, las externalidades de la red y las actividades entrelazadas, para atraer a más usuarios y proporcionarles más valor. Esto, a su vez, produce más datos, lo que ayuda a mejorar los servicios y la experiencia del usuario para atraer a más usuarios. Algunos ejemplos de grandes plataformas tecnológicas son las plataformas de comercio electrónico, las redes sociales y los motores de búsqueda. Las grandes tecnológicas se han expandido rápidamente y son importantes proveedores de servicios financieros en varios países, especialmente en la prestación de pagos. Tienen el potencial de convertirse en competidores dominantes en los servicios financieros, dadas las ventajas que les confieren la recopilación de datos y las grandes redes establecidas.
Para los consumidores, los nuevos participantes pueden ampliar el acceso a los servicios financieros (es decir, mejorar la inclusión financiera), reducir los costos de transacción, proporcionar una mayor transparencia con productos más simples y divulgaciones de costos claras, proporcionar mayor comodidad y eficiencia, y permitir controles más estrictos sobre el gasto y la elaboración de presupuestos. Por lo general, se considera que estas empresas son más ágiles al ser capaces de responder a la demanda del mercado y proporcionar una mejor experiencia de usuario en comparación con los bancos tradicionales. Sin embargo, algunas empresas pueden tratar de convertirse en bancos regulados para acceder a ciertos beneficios que se acumulan para las entidades reguladas, como el seguro de depósitos, el acceso a cuentas de bancos centrales y el acceso a otras infraestructuras clave del sistema financiero (por ejemplo, ciertos sistemas de pago). Por ejemplo, la pandemia de COVID-19 puso de manifiesto las debilidades de determinados modelos de financiación no bancaria, lo que puede hacer más atractiva la posibilidad de acceder a los depósitos mediante la obtención de una licencia bancaria. Otras entidades no bancarias pueden tratar de acceder a estos beneficios a través de asociaciones con bancos (véase la sección 3.2). Además, dado que muchas de estas empresas no tienen licencia como instituciones de depósito, no pueden participar en la transformación de los vencimientos y dependen más de los ingresos por comisiones para obtener ingresos.
3.2 Asociaciones bancarias
Los bancos se asocian cada vez más con entidades no bancarias y empresas tecnológicas para ofrecer productos y servicios en diferentes partes de la cadena de valor bancaria. Estas asociaciones pueden mejorar la eficiencia operativa de los bancos, ampliar su oferta de productos y canales de distribución, y fortalecer las relaciones con los clientes. Muchas de estas asociaciones se ven facilitadas por el uso de API, que permiten a terceros acceder a los sistemas e infraestructuras internos de los bancos.
La banca como servicio (BaaS) describe la prestación de servicios bancarios por parte de los bancos a través de intermediarios no bancarios (por ejemplo, fintechs, big techs y otras empresas) que sirven de interfaz con los clientes. Si bien la red de relaciones entre entidades en estas asociaciones puede ser compleja, generalmente incluyen:
• Bancos: prestación de servicios bancarios a intermediarios no bancarios. Las funciones más comunes que realizan los bancos asociados son la retención de depósitos, el procesamiento de pagos y la concesión de créditos.
• Proveedores de plataformas: como las empresas tecnológicas no bancarias que proporcionan la infraestructura necesaria para conectar a los bancos con los intermediarios no bancarios. Algunos bancos utilizan su propia infraestructura propietaria en lugar del software de un proveedor de plataforma.
• Intermediarios no bancarios: pueden incluir fintechs, big techs u otras empresas no financieras (por ejemplo, minoristas o mercados en línea). Estas entidades no bancarias actúan como interfaz directa con los clientes.
Las asociaciones bancarias tienen como objetivo explotar las ventajas comparativas del banco y de los socios no bancarios. Los bancos cuentan con infraestructura, experiencia y permisos regulatorios que suelen ser costosos de replicar. Mientras tanto, los intermediarios no bancarios aportan ventajas en el desarrollo de productos, el análisis de datos y la experiencia del usuario. Si tienen éxito, estos acuerdos pueden dar lugar a servicios mejores, más rápidos o más eficientes que los que actualmente ofrecen los bancos por su cuenta. En tales casos, tanto los bancos como los intermediarios no bancarios pueden beneficiarse del aumento de la actividad, y los consumidores y las empresas pueden beneficiarse de una mayor competencia, lo que se traduce en una mayor eficiencia, precios más bajos y más innovación.
Si bien el BaaS no representa actualmente una parte significativa de la prestación de servicios bancarios, existen variaciones entre jurisdicciones. Muchos bancos que actualmente se centran en BaaS son relativamente pequeños, aunque hay ejemplos notables de bancos más grandes que se dedican a BaaS. Entre otros factores, los bancos más pequeños pueden enfrentar desafíos específicos que los lleven a participar en acuerdos de BaaS, como la incapacidad de pagar actualizaciones tecnológicas y presiones competitivas. Los acuerdos de BaaS pueden permitir a los bancos más pequeños ampliar y diversificar su base de clientes, es decir, más allá de una región o mercado en particular, y externalizar funciones específicas que pueden ser asumidas de manera más eficiente por un tercero (por ejemplo, incorporación de clientes, verificación y calificación crediticia).
4. Riesgos
En las secciones 2 y 3 de este informe se examinaron las diferentes aplicaciones de las tecnologías innovadoras y sus posibles beneficios. Para los bancos, muchas de las oportunidades que ofrecen las nuevas tecnologías están relacionadas con la innovación, el aumento de la eficiencia y la mejora de las capacidades de gestión de riesgos. Para los consumidores, la digitalización promete ampliar el acceso a los servicios financieros (es decir, mejorar la inclusión financiera), reducir los costes de transacción, mejorar las experiencias de los clientes y aumentar la competencia. Si bien la digitalización puede beneficiar tanto a los bancos como a sus clientes, también puede crear nuevas vulnerabilidades y amplificar los riesgos existentes para los bancos, sus clientes y la estabilidad financiera. Estos riesgos y vulnerabilidades potenciales se analizan con mayor detalle a continuación: tenga en cuenta que la orden no pretende reflejar la materialidad relativa.
4.1 Riesgos estratégicos
Los bancos pueden enfrentarse a retos a la hora de adoptar las estrategias necesarias para seguir siendo competitivos y rentables en un entorno cada vez más digital. El aumento de la competencia de los competidores no bancarios (por ejemplo, las fintechs y las grandes tecnológicas) que ofrecen servicios financieros combinados con otros servicios, junto con regímenes de banca y financiación abierta que facilitan la portabilidad e inducen el cambio, pueden reducir la cuota de mercado y los ingresos de los bancos, y erosionar la rentabilidad de los bancos. En respuesta, los bancos pueden tratar de desarrollar sus propias capacidades tecnológicas, asociarse con nuevos participantes para aumentar sus ofertas digitales o tratar de diversificar sus ingresos (por ejemplo, a través de asociaciones estratégicas con empresas de servicios no financieros, como las plataformas de comercio electrónico). Estas estrategias pueden, a su vez, exacerbar ciertos riesgos.
Los proyectos de transformación digital a gran escala conllevan riesgos estratégicos y operativos. Si bien muchos bancos han aumentado sus capacidades tecnológicas, los esfuerzos se han visto obstaculizados por problemas con la infraestructura heredada y la falta de experiencia del personal. En este sentido, los bancos más pequeños pueden ser particularmente vulnerables, ya que generalmente carecen de los recursos financieros y técnicos para mejorar sus capacidades digitales. La incapacidad de mejorar las capacidades digitales podría poner a los bancos en una desventaja competitiva en relación con los participantes más ágiles y nativos digitales.
Las asociaciones bancarias con entidades no bancarias u otras empresas centradas en la tecnología también pueden dar lugar a riesgos estratégicos. La dependencia de entidades no bancarias para la creación de operaciones podría hacer que los bancos fueran vulnerables a la pérdida de control sobre los volúmenes, el diseño de productos y los procesos de originación, sin dejar de ser responsables de los riesgos. En ciertos acuerdos, los bancos pueden perder la propiedad de la relación con el cliente y, por lo tanto, correr el riesgo de que los socios no bancarios se lleven su base de clientes a otra parte, lo que resultaría en una pérdida repentina de negocios para el banco con implicaciones potencialmente significativas para la liquidez y el rendimiento financiero del banco. Las asociaciones bancarias también pueden dar lugar a modelos bancarios restringidos en los que los bancos proporcionan sólo un conjunto limitado de servicios (por ejemplo, depósitos o pagos) a entidades no bancarias. Esta falta de diversificación podría crear vulnerabilidades en el modelo de negocio y en el balance, como una dependencia excesiva de los ingresos por comisiones.
4.2 Riesgos reputacionales
El uso de determinadas tecnologías por parte de los bancos y las asociaciones con entidades no bancarias u otras interacciones con terceros también pueden dar lugar a un mayor riesgo para la reputación. El riesgo para la reputación puede surgir de fallos operativos o de incumplimientos de las leyes y reglamentos pertinentes, y puede ser especialmente perjudicial para los bancos, ya que la naturaleza de su negocio exige mantener la confianza de los depositantes, acreedores y otros participantes del mercado.
Los bancos pueden enfrentarse a riesgos reputacionales cuando dependen de determinados modelos o procesos automatizados. Por ejemplo, el uso de modelos complejos de IA/ML y su falta de transparencia pueden aumentar el riesgo de resultados injustos o discriminatorios que podrían dar lugar a una publicidad adversa considerable, así como a sanciones reglamentarias.
En los acuerdos de BaaS u otras interacciones con terceros, los problemas con socios no bancarios o proveedores de servicios podrían afectar el negocio o las operaciones del banco, y su reputación entre los consumidores, inversores y proveedores de servicios profesionales. Esto podría limitar la capacidad de un banco para, por ejemplo, obtener liquidez o servicios profesionales de partes externas. Incluso en los casos en que la responsabilidad está claramente asignada entre un banco y terceros, los bancos pueden enfrentarse a un riesgo considerable para su reputación en caso de reclamaciones de los clientes, por ejemplo, cuando los datos de los clientes se ven comprometidos, ya que a menudo se considera que los bancos son los custodios de los datos de los clientes.
En respuesta a los riesgos de reputación, los bancos también pueden enfrentarse a riesgos de tipo «step-in». Por ejemplo, un banco puede sentirse obligado a actuar para mantener la continuidad del servicio y/o proteger el valor de los activos de los usuarios finales en casos de dificultades financieras con socios no bancarios.
4.3 Riesgos operacionales
El riesgo operacional es el riesgo de pérdida resultante de procesos, personas y sistemas internos inadecuados o fallidos o de eventos externos (incluido el riesgo legal, pero excluyendo el riesgo estratégico y de reputación).34 Los riesgos operacionales pueden manifestarse de diversas maneras. Los avances relacionados con la digitalización comparten ciertas características comunes que introducen una complejidad adicional en la prestación de servicios bancarios y que podrían exacerbar o amplificar los riesgos operativos, entre ellos:
• Riesgo del modelo: el uso de la IA/ML da lugar a riesgos potenciales del modelo.35 Si bien estos pueden presentarse de manera similar a otros métodos analíticos, también pueden amplificar (o introducir riesgos novedosos) según el caso de uso específico. Ciertos enfoques de IA pueden presentar una falta de explicabilidad, incluida la capacidad de atribuir la decisión del modelo en cada caso a las variables (o «características») más importantes que influyen en los resultados,36, 37 o, en las jurisdicciones que lo requieren, a los factores específicos que impulsan una acción adversa. Se ciñen demasiado a los datos en los que se formaron y es posible que no se generalicen a otras condiciones o circunstancias. El uso de la IA/ML también puede reflejar sesgos e imprecisiones en los datos con los que se entrenan, y potencialmente dar lugar a resultados poco éticos.
• Riesgo tecnológico: los sistemas de TI heredados de los bancos pueden no ser lo suficientemente adaptables, o las prácticas de implementación, como la gestión del cambio de TI, pueden ser inadecuadas para respaldar el uso de nuevas tecnologías. La integración de nuevas tecnologías con sistemas heredados también puede agregar capas adicionales de complejidad. Los bancos también pueden enfrentarse a desafíos relacionados con el riesgo de dependencia de un proveedor y la falta de transparencia de la tecnología o los modelos patentados.
• Riesgo cibernético: las nuevas tecnologías y los nuevos acuerdos comerciales pueden aumentar los riesgos cibernéticos si los controles no siguen el ritmo de los cambios. Los sistemas bancarios tienen múltiples puntos de contacto con partes externas, que proporcionan interfaces potenciales y puntos de entrada para los ataques cibernéticos. Una mayor dependencia de las API, la computación en la nube y otras nuevas tecnologías que facilitan una mayor interconectividad con actores o sectores que no están sujetos a expectativas regulatorias equivalentes, podría hacer que el sistema bancario sea más vulnerable a las amenazas cibernéticas.
• Inseguridad jurídica: ciertas tecnologías y casos de uso están poniendo a prueba la aplicación de los marcos legales existentes. Para los bancos, esto puede introducir riesgos relacionados con: (i) la seguridad jurídica y el estado de ciertos productos (por ejemplo, tokens de activos digitales), así como los requisitos regulatorios correspondientes; y (ii) la rendición de cuentas y la responsabilidad, por ejemplo, las decisiones tomadas por la IA o ejecutadas en virtud de un «contrato inteligente» utilizando DLT pueden impugnar las atribuciones convencionales de responsabilidad y responsabilidad a las «personas jurídicas» (es decir, una persona física o jurídica).
• Riesgo de cumplimiento: los bancos que dependen de socios no bancarios para llevar a cabo las comprobaciones KYC y AML pueden estar expuestos a mayores riesgos legales y de cumplimiento si los procesos de los socios no bancarios no se examinan adecuadamente. Del mismo modo, los bancos pueden enfrentarse a mayores riesgos de cumplimiento cuando se relacionan con criptoactivos o DeFi, ya que la naturaleza no fiable de las DLT públicas introduce varios riesgos relacionados con el blanqueo de capitales, la financiación del terrorismo y otros usos ilícitos. Los riesgos de cumplimiento de los consumidores también pueden verse exacerbados por ciertas características de las aplicaciones de IA, como la dificultad para explicar los resultados de un modelo. Los acuerdos de BaaS también pueden elevar los riesgos asociados con la resolución oportuna de errores, representaciones inexactas de seguro de depósito u otras prácticas desleales o engañosas.
• Riesgos relacionados con el fraude: la digitalización también puede facilitar nuevos tipos de fraude, ya que los estafadores despliegan técnicas más sofisticadas para dirigirse a los clientes bancarios. Esto puede incluir, por ejemplo, el uso de deepfakes (un tipo de tecnología de medios sintéticos que utiliza la IA para manipular o generar contenido visual y de audio que parece real) para cometer apropiaciones de cuentas, fraude de préstamos o fraude electrónico.
• Riesgo de terceros: los bancos se comprometen cada vez más con proveedores de servicios externos y, a menudo, dependen de ellos para el apoyo operativo de los servicios financieros basados en la tecnología. Si bien la subcontratación puede reducir costos y mejorar la flexibilidad operativa, también puede amplificar los problemas relacionados con la seguridad de la información y la cibernética, la privacidad y la resiliencia operativa. La supervisión bancaria de terceros puede limitarse en los casos en que los bancos no tengan una relación contractual con el tercero (por ejemplo, en el caso de las transacciones en cadenas de bloques públicas, los participantes dependen operativamente de partes que no pueden ser identificadas o controladas), o cuando el tercero no tiene autorización regulatoria (por ejemplo, en virtud de ciertos marcos de banca abierta). Es posible que a los bancos les resulte difícil ejercer una supervisión y un control efectivos sobre estos terceros.
En términos más generales, los riesgos operacionales pueden verse exacerbados por malas prácticas de gobernanza y gestión de riesgos. Los riesgos podrían aumentar si los marcos de gobernanza de los bancos no se modifican para adaptarse a las nuevas tecnologías; hay una rendición de cuentas y una responsabilidad inadecuadas; la falta de alfabetización tecnológica, incluida la incapacidad de atraer, construir y retener talento; la escasa supervisión de la gobernanza de datos; y el uso de sistemas y aplicaciones desarrollados por terceros. La gestión eficaz de los riesgos operativos es importante para minimizar las posibles interrupciones operativas y su impacto en la resiliencia operativa de los bancos.
4.4 Problemas de datos y riesgos relacionados
Muchas tecnologías y aplicaciones nuevas hacen un uso intensivo de los datos y aprovechan las nuevas fuentes de datos, o los datos existentes de nuevas maneras, lo que puede exacerbar los desafíos de gobernanza de datos de los bancos. En particular, el volumen, la velocidad, la variedad, la calidad y la integridad de los datos pueden aumentar los riesgos de gobernanza de datos.
Los datos alternativos generalmente se refieren a datos no tradicionales o datos que los bancos no suelen utilizar hasta la fecha. Por ejemplo, puede incluir información de facturación y pago de servicios públicos, así como imágenes, audio, video e información de redes sociales. Los datos alternativos plantean riesgos y desafíos específicos para la gobernanza de datos de los bancos, incluido el uso de datos sin una larga historia (y si seguirán siendo predictivos y explicables a lo largo del ciclo de vida de los datos o con condiciones cambiantes); problemas con la privacidad y el consentimiento (especialmente obtener el consentimiento del cliente por adelantado); y el posible sesgo dentro de los datos. El uso de datos alternativos en combinación con aplicaciones de IA/ML también puede exacerbar las preocupaciones sobre el sesgo y la explicabilidad.
Además, el uso de nuevas fuentes de datos o técnicas también puede presentar desafíos en la integración de estos procesos con los procesos de gestión de riesgos heredados. Por ejemplo, el uso de nuevos datos para suscribir productos crediticios puede ser difícil de integrar con los modelos de pérdidas crediticias existentes a la hora de evaluar la idoneidad de las provisiones para pérdidas crediticias.
El aumento de la interconectividad y el intercambio de datos entre bancos y terceros crea desafíos potenciales para la seguridad y protección de datos, y puede introducir vulnerabilidades adicionales a medida que diferentes partes acceden a los datos de un banco. Esto puede aumentar la posibilidad de violaciones de datos y dar lugar a una mayor superficie para los ciberataques. Las nuevas asociaciones con entidades no bancarias también pueden presentar riesgos únicos y potencialmente complejos en torno a la propiedad y la accesibilidad de los datos. Por ejemplo, en algunas jurisdicciones, el usuario final de un acuerdo entre un banco y una Fintech también puede ser un cliente del banco, lo que requiere que el banco recopile cierta información sobre los usuarios finales del acuerdo para comprender sus propias obligaciones y riesgos de cumplimiento, incluso en los casos en que el banco no tiene una relación directa con los usuarios finales de la Fintech. Algunas fintechs pueden diferenciar entre tipos de datos, como los datos sobre un cliente y los datos sobre la cuenta del cliente, considerando que algunos de ellos son propietarios e innecesarios para compartir con un banco que considera un proveedor de servicios. Esto, a su vez, puede inhibir la capacidad del banco para cumplir con sus requisitos regulatorios (por ejemplo, monitoreo de cuentas y transacciones para ALD/CFT).
4.5 Riesgos para la estabilidad financiera
Las nuevas tecnologías, aplicaciones y la entrada de nuevos proveedores en los servicios financieros también pueden dar lugar a riesgos más amplios para el sistema bancario y la estabilidad financiera, en particular cuando las actividades pueden escalar rápidamente. Estos podrían incluir:
• Aumento de las interconexiones: el uso de tecnologías innovadoras suele dar lugar a una mayor interconectividad y a más interdependencias entre los agentes del mercado (es decir, bancos, fintechs y empresas tecnológicas) y las infraestructuras del mercado. Esto añade complejidad y opacidad, lo que puede dificultar que los supervisores identifiquen, evalúen y respondan a los riesgos. Además, la complejidad de estas redes y cadenas de interconexión aún no se han puesto a prueba en una recesión económica.
• Arbitraje regulatorio: el crecimiento significativo de la prestación de servicios similares a los bancarios por parte de entidades no bancarias que no están sujetas a normas prudenciales o supervisión podría socavar la capacidad de las autoridades para identificar riesgos y la eficacia de las herramientas de supervisión para hacer frente a los riesgos para la estabilidad financiera. En los casos en que las entidades no bancarias no están sujetas a expectativas regulatorias equivalentes (por ejemplo, tecnología y estándares de gestión de riesgos cibernéticos), podrían introducir vulnerabilidades adicionales en el sistema bancario. Además, a medida que los diferentes regímenes regulatorios evolucionan a diferentes velocidades, el riesgo de arbitraje regulatorio también puede aumentar.
• Contagio: los avances tecnológicos que aumentan la velocidad con la que se pueden realizar las transacciones financieras, junto con la transmisión de información en tiempo real a través de canales digitales, pueden aumentar la velocidad con la que el contagio puede propagarse a través de instituciones o mercados. La aparición de múltiples formas de dinero digital (incluido el dinero tokenizado) también puede aumentar el riesgo de contagio a los depósitos bancarios. El aumento de las interrelaciones entre los ecosistemas de criptomonedas/DeFi y el sistema financiero tradicional -por ejemplo, debido a que los bancos emiten stablecoins, mantienen depósitos para emisores de stablecoins o tokenizan activos- podría aumentar el potencial de efectos indirectos y contagio entre los dos sistemas. Si bien las exposiciones de los bancos a las criptomonedas y DeFi son actualmente pequeñas, los bancos podrían estar expuestos al estrés en estos mercados a través de sus actividades de préstamo, liquidez y financiación, o cuando ofrecen otros servicios relacionados con las criptomonedas. El contagio también podría surgir a través del uso novedoso de activos tradicionales tokenizados, por ejemplo, mediante el uso de fondos del mercado monetario tokenizados como garantía o mecanismos de pago.
• Amplificación de los riesgos financieros: los desarrollos relacionados con la digitalización también pueden amplificar los riesgos financieros más «tradicionales». Los riesgos de liquidez podrían verse afectados de diversas maneras. Por ejemplo, la tensión de liquidez puede agudizarse debido a la velocidad a la que se pueden retirar los depósitos; el uso de activos tokenizados podría aumentar las necesidades de liquidez intradía; Y la dependencia de las fintechs de los bancos para mantener reservas o cuentas operativas podría precipitar la liquidez y/u otras tensiones en la situación financiera del banco si la Fintech fracasara o se fuera repentinamente. El uso de modelos automatizados también puede fomentar y amplificar comportamientos procíclicos. Por ejemplo, el uso de contratos inteligentes que liquidan automáticamente las garantías podría amplificar las caídas en los valores de los activos, mientras que el uso de la IA para las actividades comerciales podría amplificar las oscilaciones en los precios del mercado y propagar más rápidamente las perturbaciones.
• Riesgos de fragmentación: la proliferación de nuevas infraestructuras (por ejemplo, DLT) aumenta los riesgos de interoperabilidad y, potencialmente, la fragmentación del mercado y de la liquidez. Las alternativas privadas a la moneda fiduciaria soberana pueden llegar a ser dominantes, emitidas por actores que no son responsables ante el público y pueden no apoyar la estabilidad del sistema financiero.
• Riesgos de concentración: los riesgos de concentración pueden surgir en forma de infraestructura de mercado (por ejemplo, la cadena de bloques de Ethereum), modelos (por ejemplo, modelos de IA de base) o terceros (por ejemplo, proveedores de servicios en la nube y desarrolladores de modelos de IA). Las fallas en la infraestructura o los errores del modelo podrían tener impactos en todo el sistema, mientras que las interrupciones (o en casos extremos, el fracaso) de un proveedor de servicios de importancia sistémica podrían resultar en interrupciones significativas en los sistemas bancarios y financieros.
5. Gestión de riesgos bancarios
Los bancos han adoptado diversas estrategias y prácticas para mitigar los riesgos derivados de la digitalización de las finanzas, que se analizan con más detalle en las siguientes secciones. Estas prácticas no son universales y muchas aún están evolucionando. Además, en el caso de muchos de estos posibles mitigadores de riesgos, su eficacia aún no se ha probado a través de diferentes fases del ciclo económico o períodos de estrés.
5.1 Gobernanza y gestión de riesgos
Las estructuras de gobernanza y los procesos de gestión de riesgos eficaces son fundamentales para identificar, supervisar y mitigar los riesgos asociados a la digitalización de las finanzas. Estas estructuras y procesos pueden incluir:
• Sólidos procesos de planificación estratégica y de negocio que permitan a los bancos adaptar sus estrategias de negocio para considerar el impacto potencial que las nuevas tecnologías y los participantes en el mercado pueden tener en sus ingresos. Muchos bancos están invirtiendo mucho para mejorar sus propias capacidades digitales y mejorar su rentabilidad general.
• Procesos de desarrollo del personal que garanticen que el personal del banco tenga la conciencia y la capacidad adecuadas para gestionar los riesgos de la tecnología financiera.
• Procesos sólidos de aprobación de nuevos productos y gestión del cambio para abordar adecuadamente los cambios no solo en la tecnología, sino también en las actividades comerciales.
• Procesos de gestión de riesgos en línea con las revisiones del Comité de los Principios para la Gestión Racional del Riesgo Operacional (PSMOR) y los Principios para la Resiliencia Operativa (POR)54 que son relevantes para los desarrollos de la tecnología financiera.
• Procesos de seguimiento y revisión de nuevos productos, servicios o canales de entrega para el cumplimiento de los requisitos reglamentarios aplicables, incluidos, en su caso, los relacionados con la protección del consumidor, la protección de datos y la lucha contra el blanqueo de capitales y la financiación del terrorismo. Los resultados bajo una variedad de contingencias se consideran y son legalmente exigibles.
• Sólidos procesos estratégicos de TI que definen cómo debe adaptarse el panorama de TI del banco para respaldar la transformación del negocio.
• Entornos eficaces de gestión y control de riesgos que aborden las nuevas fuentes de riesgo derivadas de todas las áreas de riesgo.
5.2 Modelar la gestión de riesgos
Los marcos de gestión de riesgos de modelos desempeñan un papel importante en los esfuerzos de los bancos por mitigar los riesgos de la IA/ML, y pueden considerar, entre otras cosas, el impacto del modelo (es decir, la materialidad), la complejidad del modelo y el uso del modelo. En el caso de los enfoques de IA más materiales, generalmente también hay una mayor supervisión humana («human in the loop»).
Dada la complejidad de los modelos de IA y otras aplicaciones que utilizan algoritmos avanzados, garantizar que los bancos comprendan los resultados de sus modelos, incluidos los posibles sesgos, limitaciones y solidez, respalda la toma de decisiones, la gestión de riesgos y la supervisión eficaces. El nivel adecuado y el tipo de explicabilidad pueden variar en función del uso y el usuario específicos. Algunos bancos están desarrollando o utilizando herramientas adicionales para ayudar a explicar cómo funciona el modelo y cómo llega a los resultados (es decir, explicaciones post hoc), y en estos casos, las limitaciones de estas herramientas también deben entenderse y tenerse en cuenta.
Algunos bancos también están actualizando sus estructuras de gobernanza y marcos de gestión de riesgos existentes para gestionar los riesgos introducidos por las aplicaciones de IA. Por ejemplo, algunos bancos han establecido comités ejecutivos que se encargan de supervisar las cuestiones específicas de la IA, como la ética, la equidad, el rendimiento y la explicabilidad.
En el caso de la IA generativa, algunos bancos están adoptando un enfoque gradual y basado en el riesgo y se centran en la creación de controles. Para mitigar los riesgos, los bancos están implementando diversas medidas que, por lo general, se basan en sus marcos de gestión de riesgos modelo existentes. Estos se resumen en la Tabla 2.
Además, cuando se utilizan modelos de IA de terceros, algunos bancos también pueden aplicar medidas adicionales de mitigación de riesgos. Estos podrían incluir escaneos de seguridad de modelos/algoritmos, el uso de contratos para restringir el uso de datos personales y garantizar que los controles internos puedan abordar adecuadamente los riesgos. Algunos bancos también han desarrollado marcos de evaluación para modelos de proveedores, que les permiten cuestionar el modelo, probar sus fortalezas y debilidades e identificar posibles sesgos. De manera más general, muchos bancos someten el uso de aplicaciones de terceros a sus marcos de externalización más amplios (véase la sección 5.6 para más detalles sobre las prácticas de gestión de riesgos de terceros).
5.3 Gobernanza de datos
Los bancos están adoptando varios métodos para gestionar los riesgos relacionados con los datos, como las violaciones de datos y la protección de la privacidad, asociados con el uso de tecnologías innovadoras. Algunos bancos gestionan los riesgos de compartir datos con terceros a través de acuerdos marco de servicios que establecen requisitos relacionados con el mantenimiento de los datos, el acceso, los derechos, la propiedad y la propiedad intelectual, y los requisitos de seguridad. Los bancos también llevan a cabo la debida diligencia con terceros para evaluar sus controles de datos y también pueden participar en un proceso de revisión ética para comprender cómo el tercero utilizará los datos. Algunos bancos asignan calificaciones de riesgo a los datos en función del caso de uso específico y es posible que no compartan ciertos datos con terceros en función de su clasificación de riesgo y niveles. En algunas jurisdicciones, los bancos están obligados a utilizar métodos más seguros para compartir datos para ciertos tipos de cuentas, como la autenticación tokenizada a través de API, en lugar de raspado de pantalla o ingeniería inversa. Estos métodos seguros permiten a los bancos ejercer un mayor control sobre el tipo y el alcance de los datos compartidos, y permiten una gestión y supervisión del acceso más seguras.
En cuanto al uso de nuevas fuentes de datos, si bien los bancos están adoptando en general un enfoque cauteloso en el uso de datos alternativos, algunos bancos también están explorando cómo abordar algunos de los desafíos asociados. Por lo general, los bancos están aplicando sus marcos más amplios de gobernanza de datos y gestión de riesgos a datos alternativos. Estos estándares mínimos pueden aumentarse con consideraciones y controles adicionales para casos de mayor riesgo, como cuando un resultado debe ser explicable a un cliente. Algunos bancos también están considerando cada vez más la ética en su toma de decisiones sobre datos, es decir, no solo «podría» sino «debería» usar los datos. En cuanto a su uso en aplicaciones de IA/ML, algunos bancos están gestionando datos alternativos como parte de sus procesos más amplios de gobernanza de IA/ML.
5.4 Terceros
Los bancos están tratando de gestionar y mitigar los riesgos exacerbados por terceros a través de la debida diligencia, la gestión del riesgo operativo, el seguimiento continuo y la ejecución adecuada de contratos con proveedores de servicios que establecen las responsabilidades de cada parte, los niveles de servicio acordados y los derechos de auditoría. Cuando los bancos se dedican a la externalización, deben contar con marcos contractuales y de externalización adecuados. Los marcos de externalización deben definir las prácticas de gobernanza y gestión de riesgos en torno a las actividades o funciones que se externalizan. Se espera que los marcos contractuales definan los derechos, obligaciones, roles y responsabilidades del banco y del tercero que presta el servicio subcontratado. Muchas regulaciones, por ejemplo, exigen contratos que garanticen los derechos de los bancos a inspeccionar y auditar a sus proveedores externos. Algunas jurisdicciones también otorgan estos derechos directamente a las autoridades supervisoras.
A medida que el sector bancario adopta cada vez más la tecnología en la nube, los bancos reconocen la importancia de implementar medidas sólidas para mitigar los riesgos potenciales y garantizar la seguridad y la resiliencia de su uso de la nube. Para abordar los problemas de seguridad cibernética, los bancos realizan evaluaciones de riesgos exhaustivas para evaluar los riesgos potenciales, como los asociados con la tenencia múltiple, la protección de datos y las vulnerabilidades de la cadena de suministro antes de la incorporación a la nube. Los bancos suelen exigir a los proveedores de servicios en la nube (CSP) que establezcan medidas de seguridad estrictas, que abarquen dominios de seguridad clave, como el cifrado de datos, los controles de acceso y la supervisión de registros, a través de medios contractuales, y la garantía a través de evaluaciones o certificaciones de seguridad de terceros. Sin embargo, bajo el modelo de responsabilidades compartidas de la nube, los bancos también tienen responsabilidades específicas en el mantenimiento de la seguridad en la nube. Por ejemplo, si bien los CSP pueden admitir el cifrado mediante claves de cifrado administradas por los bancos (conocidas como bring your own key (BYOK)), los bancos conservan la responsabilidad de generar, transportar y proteger sus claves.
Los bancos han adoptado diferentes enfoques para gestionar los posibles riesgos de concentración. Algunos bancos aceptan este riesgo, citando procesos internos optimizados y costos operativos reducidos de operar en una sola plataforma. Otros bancos han adoptado una estrategia multinube, que implica distribuir su carga de trabajo entre varios CSP o emplear un modelo híbrido que combine sistemas locales con servicios en la nube. Para hacer frente al riesgo de bloqueo con un único CSP, las entidades han desarrollado estrategias de salida exhaustivas (incluida la preparación para una salida en tensión) para facilitar una transición fluida en caso de rescisión.
6. Iniciativas de regulación y supervisión
Las regulaciones y los marcos y enfoques de supervisión también han evolucionado en respuesta a la digitalización de las finanzas.
6.1 Marcos regulatorios
Dado que el alcance y la naturaleza de los riesgos para los bancos y el sistema bancario están cambiando rápidamente, es posible que las normas y regulaciones también deban evolucionar. Si bien muchos de los riesgos que plantea la digitalización de las finanzas pueden abordarse mediante los marcos regulatorios existentes, otros pueden requerir modificaciones de los marcos existentes o la introducción de nuevas normas y orientaciones.
A nivel internacional, los organismos de normalización han publicado nuevas normas y orientaciones, y han aclarado la aplicación de los principios existentes para garantizar que los riesgos se capten adecuadamente. Hasta la fecha, estos han tendido a centrarse en actividades o sectores específicos. Por ejemplo, el Comité emitió una norma sobre el tratamiento prudencial de las exposiciones de los bancos a los criptoactivos, y principios nuevos y revisados sobre resiliencia operativa y riesgo operativo.
Las autoridades nacionales también han emitido nuevas normas y orientaciones y/o han aclarado la aplicación de los requisitos existentes a las actividades bancarias afectadas por las tecnologías innovadoras y la digitalización. Muchas autoridades han adoptado un enfoque tecnológicamente neutro y aplican normas y directrices generales sobre gestión de riesgos, en consonancia con el principio de «misma actividad, mismo riesgo, misma reglamentación».
Los efectos de la digitalización son intersectoriales y transversales. Como resultado, tanto las autoridades de supervisión como los bancos operan dentro de marcos legislativos más amplios que abarcan, por ejemplo, cuestiones relacionadas con la protección de datos y la privacidad, la ciberseguridad y la lucha contra la delincuencia financiera.
Alcance del perímetro regulatorio
En algunas jurisdicciones, los marcos legislativos han ampliado el alcance del perímetro regulatorio. Por ejemplo, se ha concedido a algunas autoridades la capacidad de regular determinadas actividades de criptoactivos, incluido el establecimiento de normas de ciberseguridad y protocolos de intercambio de información, o el establecimiento y la aplicación de normas mínimas para los emisores de criptoactivos, incluido un nivel mínimo de fondos propios para los emisores de stablecoins. También se ha encomendado a algunos supervisores la supervisión directa de los proveedores de servicios externos esenciales de tecnología de la información y las comunicaciones (TIC), incluida la capacidad de solicitar información y documentación pertinentes, realizar investigaciones e inspecciones generales y formular recomendaciones relacionadas con los riesgos de las TIC.
Marcos y condiciones de concesión de licencias
La mayoría de las autoridades no tienen requisitos separados o distintos para otorgar licencias a los bancos exclusivamente digitales, pero exigen que todos los solicitantes sigan el mismo marco para obtener una licencia bancaria. Muchos, sin embargo, aplican un enfoque proporcionado y basado en el riesgo que podría permitir algunas adaptaciones para los participantes digitales. Muchos supervisores también solicitarán información adicional relacionada con problemas únicos asociados con un modelo de negocio exclusivamente digital como parte de ese proceso de licencia estándar. Algunos también han publicado directrices en las que se esbozan los principios que se tendrán en cuenta cuando la autoridad evalúe las solicitudes para autorizar a los participantes digitales.
Algunas jurisdicciones también han implementado (o están consultando sobre) procesos o criterios distintos para otorgar licencias a los bancos exclusivamente digitales. Estos marcos pueden permitir que los licenciatarios estén exentos de ciertos requisitos prudenciales, particularmente cuando han comenzado a operar de manera «restringida» antes de la transición a una licencia bancaria completa. Algunas jurisdicciones también han eliminado los impedimentos legislativos para los bancos exclusivamente digitales, como el requisito de tener una oficina principal (física) con servicio al cliente, para apoyar la innovación en el sector.
Además, las autoridades también tienen la capacidad de imponer condiciones a los titulares de licencias caso por caso. Por ejemplo, algunas autoridades pueden exigir informes adicionales en relación con los riesgos de los nuevos productos (incluidos los productos tecnológicos). Algunas jurisdicciones también permiten que los nuevos participantes operen de forma limitada como parte de los sandboxes regulatorios, antes de obtener una licencia bancaria completa.
Uso de tecnologías innovadoras
En todas las jurisdicciones, muchos supervisores confían en la orientación que cubre la gestión de riesgos tecnológicos, la gestión de riesgos operativos y la resiliencia operativa, la gestión de riesgos de modelos, la gestión de riesgos cibernéticos y de TI, la gestión de riesgos de externalización/terceros y los requisitos de gobierno corporativo, para guiar el uso de las nuevas tecnologías por parte de los bancos. Algunas jurisdicciones también han introducido directrices específicas de dominio para el uso de ciertas tecnologías, que se consideran en la Tabla 3.
6.2 Enfoques e instrumentos de supervisión
Los supervisores bancarios también están revisando y ajustando los enfoques y herramientas de supervisión, teniendo en cuenta tanto los beneficios como los riesgos de la digitalización. Algunos de los desafíos comunes identificados por los supervisores incluyen:
• La complejidad técnica de muchas de las nuevas tecnologías y la falta de conocimientos especializados por parte de los supervisores, que se ven agravados por la velocidad de la innovación.
• Supervisión limitada de ciertas actividades y entidades, y lagunas en los marcos regulatorios existentes para abordar todo el espectro de riesgos. La naturaleza transfronteriza de muchas actividades y entidades puede complicar aún más la supervisión eficaz.
• Incertidumbre sobre el estatus legal de ciertos productos (por ejemplo, activos y pasivos tokenizados) y falta de marcos legales integrales para regular el uso de tecnologías específicas (por ejemplo, IA).
• Falta de estandarización e interoperabilidad de determinadas tecnologías y redes (por ejemplo, APIs y DLT), lo que puede dar lugar a la fragmentación.
En términos más generales, las autoridades están considerando cómo lograr el equilibrio adecuado entre permitir la innovación responsable y mitigar los riesgos o daños potenciales. Los supervisores siguen guiándose por un enfoque de supervisión basado en el riesgo.
Enfoques de supervisión
Los enfoques de supervisión están evolucionando para responder a muchos de los desafíos asociados con la digitalización de las finanzas.
• Estrategia y marcos: algunas autoridades han adoptado estrategias de supervisión digital que se centran primero en comprender y evaluar los riesgos relacionados con la digitalización, antes de tratar de reforzar el marco de supervisión. Algunos supervisores están revisando sus marcos para asegurarse de que siguen respaldando su capacidad para tomar medidas correctivas tempranas en todas las áreas de riesgo, incluida la innovación digital.
• Organización: algunas autoridades han iniciado cambios en su organización interna de las funciones de supervisión para incluir equipos especializados en riesgos (por ejemplo, riesgo cibernético y riesgo operativo) o equipos de supervisión especializados que se centran en bancos nuevos/especializados o en actividades novedosas o acuerdos entre bancos y fintechs. Muchas autoridades también han establecido centros de innovación o tecnología financiera como centros para centrarse en las innovaciones digitales y realizar talleres con las partes interesadas, desarrollar documentos de investigación, realizar experimentos (por ejemplo, TechSprints) y relacionarse con la industria. La introducción de nueva legislación que regula las actividades digitales (por ejemplo, sobre criptomonedas o IA) también ha requerido que las autoridades de supervisión asignen más recursos a los esfuerzos de implementación y monitoreo.
• Capacitación y desarrollo de capacidades: muchas autoridades han implementado programas internos de capacitación para educar y mejorar las habilidades de los supervisores en tecnologías específicas y temas más amplios que van más allá de los riesgos financieros tradicionales, como los relacionados con la protección de datos, la privacidad, la discriminación y el sesgo. También se ha apoyado al personal para que asista a conferencias externas y cursos de formación especializados. Algunos esfuerzos de contratación se han centrado en la contratación de personal con experiencia en tecnologías de la información y tecnologías innovadoras. Con el fin de difundir el conocimiento en toda la organización, algunas autoridades preparan y distribuyen documentos internos de sensibilización sobre las tecnologías temáticas. Una institución ha introducido una academia de supervisión de finanzas digitales y algunas dependen de redes internas de expertos.
• Notificación o aprobación previa: muchos supervisores exigen que los bancos notifiquen antes de la adopción de determinadas tecnologías, o de la celebración de asociaciones u otros acuerdos con terceros. Algunos supervisores exigen a los bancos que soliciten la aprobación previa para determinadas actividades o acuerdos digitales.
• Revisiones prudenciales: muchos supervisores están dando mayor énfasis y atención al debate sobre los riesgos tecnológicos y cibernéticos y la resiliencia operativa en las revisiones prudenciales, y han llevado a cabo revisiones temáticas sobre temas relacionados con la digitalización, como la ciberseguridad y el riesgo informático.
• Análisis del modelo de negocio: varios supervisores han mencionado un mayor enfoque en la comprensión de los modelos de negocio nuevos y emergentes, y en la evaluación y comprensión de cómo los modelos de negocio no tradicionales pueden plantear riesgos para la seguridad y la solidez de la banca.
Herramientas de supervisión
Muchos supervisores también están haciendo un mayor uso de la tecnología, incluidas las herramientas de tecnología superior, para mejorar sus capacidades de supervisión y mejorar la eficiencia de la toma de decisiones de supervisión. Las herramientas de tecnología superior adoptan muchas formas diferentes, pero algunos casos de uso comunes incluyen el análisis y el resumen de textos, el análisis de sentimientos de las entidades, la vigilancia del mercado y la identificación de riesgos, las herramientas de impugnación del riesgo de crédito, la detección de valores atípicos en las inspecciones de lucha contra el blanqueo de capitales y la automatización de determinados procesos de supervisión. Algunos supervisores también están utilizando la tecnología suptech para monitorear las tendencias y los riesgos en todo el sector Fintech, incluido el monitoreo de proyectos de criptomonedas y DeFi.
Algunas autoridades están utilizando soluciones suptech para mejorar la comunicación y la claridad sobre los requisitos y expectativas regulatorias. Ejemplos relevantes incluyen interacciones interactivas de «regulación como servicio» al estilo de chat que utilizan IA para responder a las consultas de las entidades reguladas.
Cooperación en materia de supervisión
Los supervisores se están involucrando cada vez más con otros participantes del sector público y privado en temas y áreas de interés relacionados con la digitalización. Dada la naturaleza intersectorial y global de la digitalización, la cooperación con otras agencias nacionales y organismos internacionales de normalización es cada vez más importante.
Dado que muchos elementos de la digitalización plantean cuestiones de política pública más amplias, los supervisores han observado una difuminación de los límites entre la regulación prudencial y, por ejemplo, la protección de los consumidores, la competencia/defensa de la competencia, la delincuencia financiera y la necesidad de una estrecha cooperación con las autoridades responsables. Los supervisores bancarios también están colaborando activamente con otros supervisores, tanto bilateralmente como a través de foros regionales y mundiales, en temas de interés común.
Muchos supervisores también han reconocido la importancia de una estrecha cooperación y colaboración con la industria, los expertos en tecnología y las instituciones académicas en materia de digitalización. Esto puede tomar varias formas, e incluye compromisos bilaterales o de toda la industria sobre temas temáticos (por ejemplo, riesgo cibernético y resiliencia operativa), e iniciativas de puertas abiertas que tienen como objetivo facilitar discusiones abiertas sobre innovación entre el supervisor y la industria. Algunas autoridades han establecido foros público-privados o asociaciones con la industria para explorar tecnologías específicas, con miras a desarrollar principios u orientaciones para hacer frente a los riesgos.74 Otras se han asociado con la industria en proyectos piloto específicos. Muchas autoridades también han establecido sandboxes regulatorios, que permiten a los bancos probar nuevas tecnologías en un entorno controlado, al tiempo que permiten a los supervisores beneficiarse de una mejor comprensión de los riesgos y beneficios asociados, y desarrollar experiencia y habilidades internas. Algunos supervisores también entablan regularmente un diálogo con empresas no bancarias, como los proveedores de servicios esenciales, para analizar los riesgos, las tendencias y los acontecimientos más recientes.
Algunas autoridades han emprendido diversos esfuerzos para promover y fomentar la innovación digital en todo el sector bancario, incluidos eventos de exhibición, mesas redondas, seminarios y sesiones de formación práctica para fomentar la adopción de la tecnología financiera en los servicios financieros. Un supervisor ha establecido un servicio de asistencia en tecnología financiera que actúa como un centro de contacto único para consultas sobre interpretaciones legales, mientras que otro ha realizado exposiciones itinerantes que tienen como objetivo ayudar a fortalecer la capacidad digital de los bancos más pequeños y rurales.
7. Implicaciones para los bancos y los supervisores
En las secciones anteriores se ha analizado la amplia gama de canales en los que los avances en digitalización están impactando en el sistema bancario y sus riesgos y posibles mitigantes. Estos acontecimientos tienen implicaciones para los bancos, la supervisión bancaria y la regulación prudencial en una serie de temas que se describen a continuación. Estas implicaciones no constituyen normas formales ni orientaciones.
Consideraciones macroestructurales
1. La naturaleza y el alcance evolutivos de los riesgos bancarios derivados de la digitalización de las finanzas y sus implicaciones para los riesgos financieros tradicionales.
Los avances en la digitalización y la tecnología financiera continúan transformando el panorama del sistema financiero, incluida la prestación de servicios bancarios. La digitalización de las finanzas presenta tanto oportunidades como riesgos para los bancos y los supervisores. Los riesgos y las vulnerabilidades pueden incluir tanto los riesgos inmediatos como las probables consecuencias a mediano y largo plazo de las actividades y prácticas.
La digitalización puede amplificar los riesgos para los bancos, en particular los riesgos estratégicos y operativos, lo que aumenta la importancia de contar con una gobernanza, procesos de gestión de riesgos y entornos de control eficaces a la hora de adoptar (o adaptarse) a las nuevas tecnologías. La digitalización también puede alterar potencialmente los riesgos para los bancos, por lo que es importante tener en cuenta las interacciones de esos riesgos junto con los riesgos financieros tradicionales.
Es importante que los bancos mitiguen, y que los supervisores supervisen, la evolución de la naturaleza y el alcance de los riesgos derivados de la digitalización de las finanzas, así como sus implicaciones para los riesgos financieros tradicionales. Centrarse en los riesgos asociados a la digitalización de las finanzas no reduce la necesidad de supervisar los riesgos financieros tradicionales y las interacciones entre ambos.
El Comité seguirá supervisando la evolución de la digitalización y adoptará medidas de conformidad con su mandato. Esto puede incluir un seguimiento mejorado, intercambios continuos de supervisión o el desarrollo de nuevas normas u orientaciones, cuando proceda.
2. Principios de seguridad y solidez y adopción de tecnologías y modelos de negocio innovadores.
La digitalización puede beneficiar tanto a los bancos como a los consumidores. Para los bancos, muchas de las oportunidades están relacionadas con la innovación, el aumento de la eficiencia y la mejora de las capacidades de gestión de riesgos. Para los consumidores, la digitalización puede ampliar el acceso a los servicios financieros, reducir los costes de transacción, mejorar las experiencias de los clientes y aumentar la competencia.
Como señaló anteriormente el Grupo de Gobernadores y jefes de Supervisión de Bancos Centrales, la adopción de tecnologías y modelos de negocio innovadores debe guiarse por un principio de innovación responsable. Es importante que los supervisores logren el equilibrio adecuado entre permitir la innovación responsable y, al mismo tiempo, salvaguardar la seguridad y solidez del sistema bancario y la estabilidad financiera.
El Comité ha adoptado un enfoque de precaución que incluye el seguimiento activo de los acontecimientos, el examen de los riesgos y la idoneidad de los marcos existentes, y la elaboración de nuevas normas y directrices cuando la política existente se considera inadecuada. De manera similar, algunas autoridades de supervisión han emprendido diversas iniciativas para promover la innovación responsable, incluida la supervisión basada en el riesgo de actividades y acuerdos novedosos, así como la emisión de nuevas normas y orientaciones o la aclaración de la aplicación de las existentes.
3. La digitalización de las finanzas está difuminando las líneas entre los bancos y la banca.
Los productos y servicios que antes eran ofrecidos exclusivamente por los bancos, ahora son provistos por entidades o aplicaciones que pueden no estar sujetas a regulación y supervisión prudencial. Esto desafía el paradigma tradicional de supervisión basado en entidades.
Si las entidades no bancarias pueden ofrecer productos con mejores rendimientos o menores costos que los bancos, debería ser el resultado de mejoras tecnológicas reales y no el resultado de un arbitraje regulatorio. La integración del principio de «mismo riesgo, misma actividad, misma regulación» en los marcos regulatorios y legales puede ayudar a evitar el arbitraje regulatorio.
A algunos supervisores bancarios se les ha otorgado una supervisión ampliada de ciertos productos y entidades. Sin embargo, incluso cuando los supervisores no tienen supervisión directa de las entidades no bancarias, pueden seguir teniendo un papel que desempeñar, en consonancia con sus mandatos, en la medida en que estas entidades y aplicaciones interactúen con los bancos regulados y presenten riesgos para la estabilidad del sistema bancario y financiero. Una revisión por parte de los supervisores bancarios de sus marcos de supervisión actuales a la luz de los riesgos relacionados con la digitalización, pueden descubrir formas en que los elementos de estos marcos podrían evolucionar de una manera que garantice una supervisión adecuada de las actividades bancarias.
Temas específicos de digitalización
4. Los datos como recurso crítico.
Muchas tecnologías y aplicaciones innovadoras hacen un uso intensivo de datos y aprovechan una amplia variedad de fuentes de datos. Esto hace que los datos sean un recurso crítico dentro de los ecosistemas digitales, incluso para los bancos y los supervisores.
La importancia de los datos exige un nivel proporcional de salvaguardias por parte de los bancos y los supervisores. Para los bancos, esto incluye la implementación de marcos sólidos de gobernanza de datos y la adopción de métodos seguros para compartir datos. Los supervisores pueden respaldar una gobernanza de datos efectiva evaluando la gama de prácticas en los bancos y comunicando sobre la implementación de mejores prácticas.
Una mayor dependencia de los datos también plantea cuestiones de política pública más amplias relacionadas con la recopilación y el consentimiento de datos, la privacidad, el sesgo y la seguridad y el almacenamiento. Muchos de estos desafíos no pueden ser resueltos por los bancos o los supervisores por sí solos, y pueden requerir cooperación y coordinación con una serie de autoridades del sector público.
5. El uso de proveedores de servicios.
El uso de proveedores de servicios por parte de los bancos ha aumentado, y parece probable que esta tendencia continúe. Los bancos están colaborando con proveedores de servicios (que pueden incluir terceros, entidades intragrupo y otras partes más avanzadas en la cadena de suministro) para ofrecer productos y servicios en diferentes partes de la cadena de valor bancaria y mejorar sus capacidades tecnológicas. Una mayor dependencia de los proveedores de servicios puede aumentar los riesgos operativos para los bancos. También puede aumentar los riesgos de estabilidad del sistema bancario y financiero debido al aumento de las interconexiones y a los posibles riesgos de concentración.
Es importante que los bancos implementen prácticas y procesos sólidos de gestión de riesgos sobre cualquier operación realizada por los proveedores de servicios de manera proporcionada y basada en el riesgo. Los controles específicos dependerán de los riesgos introducidos por la actividad, así como de consideraciones como la importancia del servicio para las operaciones críticas del banco. Los controles sobre estos servicios deben revisarse a la luz de la norma aplicada a las operaciones que el propio banco realiza y de manera proporcional al riesgo introducido por la actividad.
Los supervisores también pueden desempeñar un papel en la identificación de puntos comunes de exposición de los bancos a riesgos o vulnerabilidades operacionales, incluida la dependencia de los proveedores de servicios comunes. Los supervisores deben evaluar los riesgos sistémicos potenciales derivados de la concentración de servicios prestados por proveedores de servicios específicos a los bancos.
6. El papel del juicio humano en la gestión y supervisión del riesgo bancario.
Uno de los beneficios de la digitalización es el aumento de la eficiencia derivado de la automatización de los procesos. Si bien los modelos y aplicaciones cada vez más sofisticados pueden ser capaces de realizar una gama más amplia de tareas, el juicio humano sigue siendo importante en la gobernanza bancaria y la gestión de riesgos, así como en la supervisión.
La automatización no puede eliminar la responsabilidad de la toma de decisiones. La responsabilidad última de una gestión adecuada del riesgo recae en las personas que componen la alta dirección y el consejo de administración de un banco. El juicio humano también puede ser un medio importante para mitigar los riesgos derivados del uso de modelos (es decir, mantener a un «humano al tanto»).
Los supervisores también pueden utilizar tecnologías innovadoras o «suptech» como herramienta para mejorar su eficiencia y respaldar sus procesos, pero esto debería aumentar en lugar de reemplazar el papel del juicio supervisor. El uso de tecnologías innovadoras no debe menoscabar la capacidad y la voluntad de los supervisores de adoptar medidas para hacer frente a las prácticas inseguras e inadecuadas, incluidas las relacionadas con la digitalización.
Desarrollo de capacidades y coordinación
7. Recursos, personal y capacidades.
Es importante que los bancos y los supervisores cuenten con las competencias y los conocimientos necesarios para comprender las innovaciones digitales, implementar nuevas tecnologías y gestionar o supervisar los riesgos asociados. Esto puede incluir evaluaciones de la dotación de personal y los programas de capacitación actuales para garantizar que los conocimientos, las habilidades y las herramientas del personal sigan siendo pertinentes y eficaces. También puede incluir la incorporación de nuevo personal con conocimientos especializados para complementar los conocimientos existentes.
Los bancos y los supervisores pueden beneficiarse de foros públicos y privados u otras iniciativas para explorar tecnologías y casos de uso innovadores, y mejorar su comprensión de los riesgos y beneficios asociados. Un diálogo más amplio con expertos en tecnología, instituciones académicas y otras autoridades del sector público también puede ser mutuamente beneficioso.
8. Comunicación y cooperación con las autoridades pertinentes.
La digitalización plantea cuestiones que van más allá del ámbito de la supervisión prudencial, incluidos los objetivos de política pública, como la salvaguardia de la privacidad de los datos, la ciberseguridad, la protección de los consumidores, el fomento de la competencia y el cumplimiento de la LBC/LFT. La comunicación y la coordinación entre los supervisores bancarios y otros reguladores y autoridades públicas pertinentes, tanto dentro de las jurisdicciones como entre ellas, es importante para abordar estas consideraciones.
A medida que las nuevas tecnologías y los proveedores tecnológicamente habilitados operan cada vez más a través de las fronteras, la cooperación internacional también es útil para promover respuestas políticas efectivas y limitar los riesgos que podrían surgir de la fragmentación regulatoria. La estabilidad financiera podría mejorarse reforzando la coordinación supervisora y el intercambio de información existentes, cuando proceda. El Comité proporciona un foro mundial para el intercambio y la cooperación en materia de supervisión.
Glosario de términos
Datos alternativos: datos no tradicionales o datos no utilizados habitualmente, hasta la fecha, por las organizaciones bancarias.
Interfaz de programación de aplicaciones (API): un conjunto de reglas y especificaciones para que los programas de software se comuniquen entre sí, y una interfaz entre diferentes programas de software que facilita sus interacciones. Las API pueden ser públicas (un estándar conocido por el público) o privadas (un estándar que solo conoce un grupo autorizado) y, por lo general, se consideran más seguras que otras técnicas de intercambio de datos.
Inteligencia artificial (IA): si bien no existe una definición única de IA, se ha definido como tareas realizadas por computadoras que anteriormente requerían sofisticación humana.
Banca como servicio (BaaS): la prestación de servicios bancarios por parte de los bancos a través de intermediarios no bancarios que sirven de interfaz con los clientes.
Big Tech: grandes empresas tecnológicas activas a nivel mundial con una ventaja relativa en tecnología digital. Las grandes empresas tecnológicas suelen establecer operaciones globales y una gran base de clientes, y pueden utilizar una gran cantidad de información sobre sus clientes para proporcionarles servicios financieros personalizados.
Computación en la nube: el uso de una red en línea de procesadores de alojamiento para aumentar la escala y la flexibilidad de la capacidad de cómputo. Las características de la computación en la nube incluyen el autoservicio bajo demanda, el amplio acceso a la red, la agrupación de recursos, la elasticidad rápida (escalabilidad) y el servicio medido.
Criptoactivos: activos digitales privados que dependen de la criptografía y la DLT o tecnologías similares. Como representación digital de valor, los criptoactivos pueden utilizarse como medio de intercambio y almacenamiento de valor, o con fines de pago, remesas e inversión.
Gobernanza de datos: las prácticas, políticas y estructuras de control que una empresa tiene implementadas para garantizar que los datos que utiliza estén debidamente protegidos, sean confiables y sólidos, tengan suficiente calidad, se utilicen de manera adecuada, sean accesibles y sean coherentes con las leyes y regulaciones aplicables, incluida la privacidad y la protección del consumidor.
Finanzas descentralizadas (DeFi): soluciones que utilizan DLT para proporcionar diversos servicios, como préstamos, inversiones, pagos de liquidación, seguros, gestión de activos y comercio o intercambio de criptoactivos, sin necesidad de un intermediario centralizado tradicional.96 En lugar de depender de una autoridad central, DeFi se basa en protocolos que utilizan contratos inteligentes o aplicaciones descentralizadas que se ejecutan en una red pública de ordenadores para automatizar las transacciones. Los protocolos DeFi generalmente se rigen por una comunidad de participantes que afirman estar organizados a través de acuerdos descentralizados.
Tecnología de registro distribuido (DLT): los protocolos y la infraestructura de soporte (es decir, libros de contabilidad distribuidos, cadenas de bloques y el conjunto de tecnologías relacionadas) que permiten a los ordenadores de diferentes ubicaciones proponer y validar transacciones y actualizar registros de forma sincronizada a través de una red.
Modelo de lenguaje grande (LLM): un tipo de modelo de aprendizaje automático que puede realizar una variedad de tareas de procesamiento del lenguaje natural (NLP), incluida la generación y clasificación de texto, responder preguntas de manera conversacional, traducir texto de un idioma a otro, resumir texto, codificar y resolver problemas matemáticos. Los LLM utilizan redes neuronales profundas para generar resultados basados en patrones aprendidos de los datos de entrenamiento. Identifican las relaciones entre las palabras de una oración (independientemente de su posición en la secuencia del texto) mediante el uso de mecanismos de autoatención.
Aprendizaje automático (ML): un subconjunto de la IA en el que los algoritmos se optimizan automáticamente a través de la experiencia y con una intervención humana limitada o nula.
Neobancos: bancos exclusivamente digitales, que hacen un uso extensivo de la tecnología, el big data y la analítica avanzada para ofrecer servicios bancarios principalmente a través de aplicaciones para teléfonos inteligentes o plataformas basadas en Internet.
Banca/finanzas abiertas: el intercambio de datos bancarios con permiso del cliente entre el titular principal de esos datos (por ejemplo, un banco) con terceros (por ejemplo, iniciadores de pagos o agregadores de cuentas) para prestar un servicio de valor añadido a los clientes. Las finanzas abiertas se refieren al intercambio autorizado por el cliente de un conjunto más amplio de datos financieros (por ejemplo, hipotecas, productos de seguros e inversiones).
Proveedores de servicios: incluye terceros, entidades intragrupo (es decir, entidades dentro de un grupo, como empresas matrices, subsidiarias o afiliadas) y (si corresponde) otras partes más adelante en la cadena de suministro.
Publicado originalmente: https://www.bis.org/bcbs/publ/d575.pdf