La regulación financiera chilena está entrando en una nueva etapa. La actualización del Capítulo 20-7 de la Recopilación Actualizada de Normas (RAN) sobre externalización de servicios y la creación del archivo normativo I28 no deben entenderse como un ajuste meramente operativo, sino como una señal clara de la Comisión de Mercado Financiero (CMF): el riesgo financiero moderno ya no se encuentra solo dentro de las instituciones, sino también en sus proveedores, subcontratistas, servicios cloud, cadenas tecnológicas y “cuartas partes”.
Durante años, externalizar fue visto principalmente como una decisión de eficiencia: reducir costos, acceder a capacidades especializadas y concentrarse en el negocio principal. Sin embargo, en la industria financiera actual, esa decisión implica asumir dependencias críticas. Bancos y entidades financieras descansan cada vez más en terceros para procesamiento de datos, desarrollo tecnológico, ciberseguridad, continuidad operacional, atención de clientes y servicios en la nube. Por ello, externalizar ya no puede ser sinónimo de desentenderse.
El punto central de la nueva mirada regulatoria es que la entidad financiera puede delegar la ejecución de un servicio, pero no su responsabilidad. La continuidad del negocio, la seguridad de la información, la protección de datos personales, el cumplimiento normativo y la confianza de los clientes siguen siendo responsabilidad de la institución regulada. Por eso, la propuesta incorpora conceptos relevantes como “tercera parte proveedora de servicios” y “cuarta parte”, obligando a mirar más allá del proveedor directo y a comprender la cadena completa de prestación del servicio.
Uno de los mayores desafíos estará en pasar desde simples catastros de proveedores a verdaderos mapas de criticidad, concentración e interdependencia. No basta con saber quién presta un servicio; es necesario conocer qué tan crítico es, qué datos procesa, dónde se ejecuta, qué subproveedores intervienen, qué incidentes ha tenido, qué controles aplica y qué ocurriría si dejara de operar. Esta será una tarea especialmente relevante para los Directorios, que deberán incorporar la externalización como un asunto de gobierno corporativo y no solo como una materia de compras, tecnología u operaciones.
La propuesta también introduce una visión de ciclo de vida del proveedor. Esto implica fortalecer la debida diligencia previa, ordenar el proceso de incorporación u onboarding, monitorear permanentemente el desempeño del proveedor y contar con planes de salida efectivos. Este último punto es clave: terminar un contrato tecnológico o financiero no significa simplemente cambiar de proveedor. Puede implicar migrar datos, cerrar accesos, recuperar información, proteger propiedad intelectual, asegurar continuidad operacional y evitar impactos a clientes.
El archivo I28 será una herramienta relevante en esta nueva arquitectura de supervisión. Permitirá reportar información sobre proveedores, contratos, servicios críticos y no críticos, incidentes y cuartas partes involucradas. Su valor no estará solo en aumentar la carga de reporte, sino en permitir que la CMF construya una visión transversal del ecosistema de proveedores del sistema financiero, identificando concentraciones y dependencias que pueden tener impacto sistémico.
En definitiva, la nueva frontera regulatoria está en los contratos, en la nube, en los datos, en las cadenas de subcontratación y en la capacidad de supervisar aquello que ocurre fuera de la organización, pero que puede impactarla como si ocurriera dentro. Las entidades que comprendan tempranamente este cambio no solo cumplirán mejor la norma; estarán mejor preparadas para competir en un sistema financiero donde eficiencia, resiliencia, seguridad y confianza serán inseparables.
Andrés Pumarino Mendoza, abogado de la Universidad Adolfo Ibáñez. Magíster en Gestión de Negocios de la Universidad Adolfo Ibáñez. Curso de Liderazgo Estratégico en Ciberseguridad, Florida International University EE.UU, cuenta con más de 25 años de experiencia en materia de derecho y tecnología, es director de empresas y asesora a organizaciones en materia de derecho y tecnología a empresas del sector financiero, tecnológicas, entre otras.