Dos semanas de fallos operacionales sísmicos en Lloyds Bank y Barclays han expuesto una corrosión institucional más profunda de la que la mayoría de clientes con depósitos se dan cuenta. Una exposición de datos de 80.500 clientes en Lloyds —tras lo que la entidad caracterizó como un "fallo informático grave"— llegó apenas semanas después de que Barclays anunciara una pérdida de 228 millones de libras derivada de su filial hipotecaria MFS, una unidad que colapsó bajo el peso de decisiones de préstamo arriesgadas y, por implicación, de una gobernanza operacional deficiente. Estos no son incidentes aislados. Son síntomas de una vulnerabilidad estructural en cómo se ha permitido que la infraestructura bancaria heredada británica se deteriore.

La filtración de Lloyds merece un escrutinio particular. Un "fallo informático" que expuso casi 100.000 registros de transacciones de clientes no es ni fallo ni accidente —es evidencia de una inversión sistémica insuficiente en resiliencia de datos, controles de acceso y arquitectura de supervisión. El hecho de que Lloyds enmarcara este incidente en un lenguaje tan pasivo subraya una estrategia regulatoria y de reputación que se ha convertido en rutinaria en la banca británica: minimizar el lenguaje, limitar la transparencia y confiar en la inercia de los clientes. Sin embargo, el marco de resiliencia operacional del Banco de Inglaterra, ahora vigente en todo el sector, exige capacidades demostrables de recuperación y respaldo. Si Lloyds no puede prevenir el acceso no autorizado a datos mediante lo que equivale a controles fundamentales —y una filtración que afecta a 80.500 cuentas sugiere exactamente eso—, entonces el banco ha fracasado en una prueba que debería ser innegociable.

La pérdida de 228 millones de libras de Barclays en MFS cuenta una historia complementaria: apetito de riesgo divorciado de una gobernanza adecuada. La empresa hipotecaria fue expuesta a préstamos de propiedad comercial durante un período de volatilidad de tipos y estrés sectorial. Que Barclays permitiera que esa exposición se ampliara hasta el punto de generar una pérdida de nueve dígitos indica que los comités de riesgo no recibieron inteligencia adecuada o, peor aún, la recibieron y optaron por no actuar. Cualquiera de estos escenarios representa un fracaso del tipo que los reguladores afirman controlar a través de pruebas de estrés de capital y orientación del Pilar 2. Sin embargo, aquí estamos, viendo cómo una entidad crediticia de importancia sistémica del Reino Unido asume pérdidas que podrían haberse evitado con controles operacionales más estrictos y sistemas de alerta temprana mejorados.

Para proveedores de infraestructura financiera y plataformas fintech emergentes que operan bajo el régimen de PSD2 —que incluye redes de finanzas integradas, plataformas de Banking-as-a-Service y redes de pago digital—, los tropiezos de Lloyds y Barclays tienen una implicación incómoda: si prestamistas de primer nivel con décadas de experiencia operacional y miles de millones en presupuestos informáticos anuales no pueden mantener la seguridad de datos de referencia e higiene de riesgos, ¿qué confianza pueden depositar los reguladores o los clientes en proveedores de infraestructura más nuevos y ágiles?

La respuesta, paradójicamente, puede residir en la diferencia arquitectónica más que en la escala. La orientación del Banco Central Europeo sobre resiliencia operacional enfatiza cada vez más diseño modular, nativo en la nube y auditable —precisamente lo opuesto a las plataformas de banca central monolíticas que sustentan los sistemas orientados al cliente de Lloyds y Barclays. Un emisor fintech usando APIs de emisión de tarjetas con custodia segregada y pilas de supervisión dedicadas puede, de hecho, presentar menor riesgo operacional que un banco heredado con sistemas de procesamiento por lotes dispersos, bases de datos incompatibles y jerarquías de control de acceso bizantinas. Esto no es un argumento para la tolerancia regulatoria de los actores más pequeños —es un argumento de que el Banco de Inglaterra y la Autoridad de Conducta Financiera deben comenzar a evaluar el riesgo operacional en función de la arquitectura y la capacidad de respuesta ante incidentes, no del tamaño de la institución.

La condena por estafa criptográfica informada la misma semana —un operador tejano encarcelado durante 23 años por un fraude respaldado por arte de mil millones de dólares— añade contexto. El fraude, el robo y el fracaso operacional son riesgos universales. Lo que diferencia a los buenos actores de los malos no es la inmunidad al riesgo; es la transparencia, la rapidez de detección y la remediación proporcionada. Lloyds ha notificado a los clientes afectados y a la FCA. Ese es el nivel de referencia. Pero ¿detectó el banco la filtración a través de supervisión proactiva o queja de un cliente? ¿Cuánto tiempo estuvo expuesta la información? ¿Se iniciaron transacciones fraudulentas como resultado? Estos detalles importan —y su ausencia en las declaraciones públicas sugiere que el banco sigue calibrando qué divulgación puede minimizar sin provocar una acción de cumplimiento.

La presión regulatoria está aumentando. Las reglas finales de resiliencia operacional del Banco de Inglaterra, vigentes desde enero de 2025, exigen que los bancos identifiquen "servicios comerciales importantes" y prueben su capacidad para continuarlos bajo estrés. Una filtración de datos que expone detalles de transacciones argumentablemente fracasa en esa prueba. La pérdida de Barclays en MFS probablemente atraerá mayor escrutinio durante la próxima prueba de estrés coordinada por el BCE, particularmente si el banco no puede articular cómo evitará exposiciones similares en el futuro. Para plataformas fintech más nuevas que buscan demostrar resiliencia como competidoras de prestamistas heredados, estos errores son tanto advertencia como oportunidad: demuestren que han aprendido las lecciones que estas instituciones no han aprendido.

Lo que esto revela no es que la banca británica sea frágil —es que las instituciones más antiguas son las más lentas en adaptarse. Los problemas de Lloyds y Barclays reflejan décadas de deuda de infraestructura heredada, estructuras de gobernanza optimizadas para regímenes regulatorios pasados, y una suposición implícita de que el tamaño y la historia confieren invulnerabilidad. La FCA y el Banco de Inglaterra ahora tienen motivos explícitos para acelerar la aplicación de la ley sobre resiliencia operacional. Esperen avisos de cumplimiento. Esperen adiciones de capital. Y esperen que la próxima generación de proveedores de rieles de pago y operadores de BaaS sea sometida a escrutinio mucho más riguroso —no porque sean más riesgosos, sino porque los reguladores ya no tolerarán la complacencia operacional que se ha vuelto endémica en la banca establecida.

Escrito por el editor de Codego Press — periodismo de banca e infraestructura fintech independiente impulsado por Codego, proveedor europeo de infraestructura bancaria desde 2012.

Fuentes: The Finanser / blog de Chris Skinner · 29 de abril de 2026