Ujedinjeno Kraljevstvo od 13. srpnja 2026. stavlja četiri najveća pružatelja cloud usluga pod poseban režim nadzora kao kritične treće strane financijskog sustava. Status su dobili Microsoft Ireland Operations, Google Cloud EMEA, Amazon Web Services EMEA i Oracle Corporation UK, čime prvi britanski tehnološki dobavljači ulaze pod zajednički izravni nadzor Bank of Englanda, Prudential Regulation Authorityja i Financial Conduct Authorityja. Novi okvir trebao bi smanjiti rizik da tehnički kvar, kibernetički napad ili širi prekid rada jednog velikog pružatelja istodobno ugrozi veći broj banaka, osiguravatelja i institucija financijskog tržišta.
Obuhvaćene kompanije morat će provoditi redovite samoprocjene operativne otpornosti, sudjelovati u testovima koje odrede regulatori, prijavljivati veće incidente te dokazivati da njihovo upravljanje rizicima odgovara važnosti usluga koje pružaju financijskom sektoru. Regulatori će moći detaljnije ispitivati upravljanje prekidima, postupke oporavka, sigurnost infrastrukture i ovisnosti o drugim dobavljačima unutar tehnološkog lanca. Time se nadzor prvi put izravno pomiče s financijskih institucija koje koriste cloud prema kompanijama koje tu infrastrukturu stvarno kontroliraju.
To je važna promjena jer su banke do sada uglavnom same snosile regulatornu odgovornost za usluge koje su prenijele vanjskim tehnološkim dobavljačima. Banka je morala procjenjivati rizike, ugovarati pravo nadzora i dokazivati da može nastaviti poslovanje nakon prekida, ali regulator nije uvijek imao jednako snažan izravan pristup samom cloud operatoru. Novi režim ne ukida odgovornost banaka, nego joj dodaje drugi sloj: sustavno važni dobavljači sada i sami postaju predmetom financijskog nadzora.
Cloud se time definitivno transformira iz infrastrukture za modernizaciju aplikacija u pitanje financijske stabilnosti. Banke, osiguravatelji, platne institucije, burze i fintech kompanije sve više oslanjaju transakcijske sustave, pohranu podataka, analitiku, identitetske servise, sigurnosne operacije i AI modele na infrastrukturu nekoliko globalnih pružatelja. Prekid rada jednog cloud regiona više zato nije samo tehnički problem pojedine kompanije. Ako isti dobavljač istodobno podržava više velikih banaka, kartičnih servisa i institucija tržišta kapitala, kvar može prerasti u sektorski incident.
Upravo je koncentracija jedan od glavnih razloga za intervenciju regulatora. Pojedinačna banka može imati dobro ugovorenu i tehnički otpornu cloud uslugu, ali na razini cijelog sustava može postojati problem ako desetci institucija ovise o istom pružatelju, istoj regiji, istim sigurnosnim alatima ili istom sustavu upravljanja identitetima. Regulator zato više ne promatra samo odnos jedne banke i jednog dobavljača, nego pokušava utvrditi koliko bi velik dio financijskog sustava mogao biti pogođen istim incidentom.
Takav sistemski rizik posebno je izražen kod usluga koje se teško mogu brzo zamijeniti. Premještanje osnovnog bankarskog sustava, podatkovne platforme ili složenog AI okruženja s jednog clouda na drugi nije usporedivo s promjenom uobičajenog softverskog dobavljača. Aplikacije su često povezane s vlasničkim bazama podataka, sigurnosnim alatima, funkcijama bez poslužitelja, analitičkim servisima i platformama za umjetnu inteligenciju. Što financijska institucija koristi više specifičnih usluga jednog clouda, to su troškovi i tehničke prepreke promjene dobavljača veći.
Zbog toga će britanski regulatori veliku pozornost usmjeriti na izlazne planove. Financijske institucije morat će dokazivati da znaju koje bi sustave mogle preseliti, u kojem roku, uz kakve troškove i s kojim utjecajem na korisnike. Izlazni plan ne može ostati samo ugovorna odredba prema kojoj se podaci nakon raskida mogu preuzeti u određenom formatu. Mora uključivati arhitekturu aplikacija, raspoložive stručnjake, kapacitet alternativnog pružatelja, sigurnu migraciju podataka i redovito testiranje postupaka prelaska.
To ipak ne znači da će regulatori zahtijevati da svaka banka istodobno koristi više javnih cloud platformi za svaki sustav. Multi-cloud arhitektura može smanjiti dio ovisnosti, ali istodobno povećava složenost, troškove, broj sigurnosnih konfiguracija i potrebu za stručnjacima. Za neke će sustave prikladniji biti aktivni rad u dvije regije istog pružatelja, za druge kombinacija privatnog i javnog clouda, a za najkritičnije procese potpuna odvojenost rezervne infrastrukture. Regulatorni cilj nije formalno imati više dobavljača, nego dokazati da je odabrani model stvarno otporan.
Britanski pristup izravno je usporediv s europskim okvirom uvedenim kroz Digital Operational Resilience Act. DORA se u Europskoj uniji primjenjuje od siječnja 2025., a europska nadzorna tijela u studenome iste godine označila su 19 tehnoloških i uslužnih kompanija kao kritične ICT dobavljače financijskom sektoru. Na popisu su, među ostalima, europske kompanije Amazona, Google Clouda i Microsofta, ali i IBM, Bloomberg, London Stock Exchange Group, Orange i Tata Consultancy Services.
Europski okvir širi je od britanskog početnog popisa jer ne obuhvaća samo vodeće javne cloud platforme. Polazi od toga da sistemski rizik može nastati i u području podatkovnih usluga, mreža, tržišne infrastrukture, upravljanih ICT usluga i poslovnog softvera. Europska nadzorna tijela kroz DORA-u procjenjuju imaju li kritični pružatelji primjerene sustave upravljanja, kontrole i otpornosti kako njihov prekid ne bi destabilizirao veći broj financijskih subjekata.
Suradnja između dvaju režima već je institucionalizirana. Europska nadzorna tijela i britanski financijski regulatori u siječnju 2026. potpisali su memorandum o suradnji u nadzoru kritičnih ICT dobavljača. To je važno jer iste multinacionalne tehnološke kompanije pružaju usluge bankama s obje strane La Manchea, a incident u jednoj regiji ili zajedničkom upravljačkom sustavu može istodobno imati posljedice u Ujedinjenom Kraljevstvu i Europskoj uniji.
Novi režim ne treba promatrati kao zabranu korištenja američkih cloud platformi. Regulatori priznaju da javni cloud može povećati otpornost u usporedbi sa zastarjelim internim podatkovnim centrima, osobito ako pruža geografski odvojene lokacije, automatizirano sigurnosno kopiranje, napredne sigurnosne alate i brzo povećavanje kapaciteta. Problem nastaje kada se tehnološka korist pretvori u nekontroliranu ovisnost koju institucija ne može objasniti, nadzirati ili prekinuti.
Financijske institucije zato će morati preciznije klasificirati što zapravo povjeravaju pojedinom pružatelju. Nije jednako koristi li se cloud za razvojno okruženje, pohranu arhive, internu analitiku ili obradu plaćanja u stvarnom vremenu. Što je usluga važnija za kontinuitet poslovanja i korisnike, to će se od institucije očekivati stroža procjena dobavljača, više ugovornih prava, jasniji postupci oporavka i češće testiranje.
Posebno osjetljivo područje postaje umjetna inteligencija. Banke sve više koriste cloud platforme za treniranje i izvršavanje modela za otkrivanje prijevara, kreditno bodovanje, analizu dokumenata, sprječavanje pranja novca i automatizaciju korisničke podrške. Takve aplikacije ovise ne samo o računalnim kapacitetima nego i o vlasničkim modelima, platformama za upravljanje podacima i akceleratorskoj infrastrukturi. Prekid jednog AI servisa može zato zaustaviti cijeli poslovni proces, čak i kada osnovni bankarski sustav tehnički nastavi raditi.
Cloud koncentracija pritom nije samo operativno, nego i geopolitičko pitanje. Većinu najvećih platformi kontroliraju američke kompanije, dok europske financijske institucije na njima obrađuju neke od najosjetljivijih poslovnih i korisničkih podataka. Europski dužnosnici sve otvorenije upozoravaju da ovisnost o malom broju neeuropskih dobavljača stvara dodatne rizike povezane sa sankcijama, promjenom međunarodnih odnosa, pristupom podacima i kontinuitetom usluga.
Data-center tržište sve manje ovisi samo o tehnološkim specifikacijama pojedinog objekta. Investitori, operatori i korisnici traže kombinaciju dostupne električne energije, pravodobnih dozvola, fizičke sigurnosti, povezanosti i mogućnosti prilagodbe sve gušćim AI radnim opterećenjima. Financijski sektor tome dodaje vlastite zahtjeve: dokazivu lokaciju podataka, odvojene zone dostupnosti, pravo nadzora, kontrolu podizvođača i sposobnost nastavka poslovanja tijekom ozbiljnog incidenta.
To dodatno povećava važnost regionalnih cloud lokacija i europskih podatkovnih centara. Institucije žele smanjiti latenciju i zadržati podatke unutar određene jurisdikcije, ali sama činjenica da se server nalazi u Europi ne rješava automatski koncentracijski rizik. Više cloud regija može koristiti iste upravljačke sustave, identitetske servise ili softverske komponente, pa se tehnička i organizacijska neovisnost mora dokazivati, a ne pretpostavljati.
Britanska odluka zato predstavlja više od još jednog regulatornog zahtjeva za četiri tehnološke kompanije. Ona potvrđuje da su najveće cloud platforme postale infrastrukturno usporedive s telekomunikacijskim mrežama, platnim sustavima i drugim ključnim dijelovima gospodarstva. Što više financijskih procesa prelazi na njihove platforme, to je slabija granica između privatne tehnološke usluge i infrastrukture od sistemske važnosti.
Za financijske institucije glavni zaključak nije da trebaju usporiti digitalizaciju ili vratiti sve sustave u vlastite podatkovne centre. Cloud i dalje može donijeti veću skalabilnost, sigurnost i brzinu razvoja. Međutim, odluka o korištenju više se ne može temeljiti samo na cijeni, funkcionalnostima i roku implementacije. Ona mora uključivati koncentracijski rizik, ugovornu kontrolu, otpornost cijelog lanca dobavljača i dokaz da organizacija može nastaviti poslovati kada ključna platforma postane nedostupna.