En el marco normativo europeo y neerlandés contemporáneo, la resiliencia de las entidades críticas ya no puede comprenderse de forma convincente mediante un análisis limitado a la organización interna, a la propia estructura de gobernanza, a la seguridad física de sus propias instalaciones o al control formal de los procesos directamente desplegados por la propia entidad. Un enfoque de esa naturaleza presupone implícitamente que la entidad crítica produce el servicio esencial principalmente dentro de un espacio institucional delimitado cuyas vulnerabilidades son, en lo sustancial, identificables internamente, abordables internamente y reparables internamente. Sin embargo, ese presupuesto se corresponde cada vez menos con la estructura real de la prestación de servicios vitales en una economía en la que la continuidad operativa se sostiene, en medida considerable, por ecosistemas digitales, mercados concentrados de proveedores, modelos transfronterizos de mantenimiento y soporte, estructuras especializadas de externalización, prestadores de servicios financieros, nodos logísticos, funciones de gestión basadas en datos y estructuras contractuales que vuelven cada vez más porosos los límites organizativos formales de la entidad crítica. El marco europeo derivado de la Directiva sobre la resiliencia de las entidades críticas y la ley neerlandesa sobre la resiliencia de las entidades críticas imponen, por tanto, una lectura mucho más amplia de la noción de resiliencia, en la cual no solo ocupa el centro la situación de la organización nuclear, sino sobre todo la capacidad del servicio esencial para mantenerse en circunstancias en las que la perturbación se manifiesta en relaciones externas, en la cadena que rodea a la entidad, en las estructuras de propiedad y control de proveedores y prestadores de servicios, o en mecanismos de apoyo que sobre el papel parecen secundarios pero que, en realidad, son constitutivos de la prestación de la función vital. Desde esa perspectiva, la resiliencia ya no es únicamente una cualidad de la entidad en cuanto tal, sino una cualidad de una red de dependencias de la que la entidad forma parte, de la que se beneficia y por la que también queda sustancialmente condicionada. Con ello también se desplaza el centro de gravedad jurídico y de gobernanza: la cuestión ya no es únicamente si la entidad crítica está bien organizada internamente, sino si el servicio esencial puede seguir funcionando cuando los lugares reales de vulnerabilidad se sitúan fuera de la organización formal.
Ese desplazamiento entraña consecuencias de gran alcance para la manera en que deben abordarse, dentro de las entidades críticas, la dependencia de la cadena de suministro, el riesgo de terceros y la Gestión integrada del riesgo de delincuencia financiera. En este contexto, el riesgo de terceros no constituye un tema aislado de procurement, ni una cuestión meramente contractual, ni siquiera un problema de cumplimiento circunscrito que pueda gestionarse mediante cuestionarios estandarizados o controles genéricos de proveedores. En el contexto de las entidades críticas, esta noción adquiere una significación sistémica mucho más intensa, porque las partes externas con frecuencia tienen acceso a infraestructuras críticas, datos esenciales, regímenes de mantenimiento, entornos de software, flujos logísticos, circuitos de pago, procesos de identidad y acceso o rutinas operativas que inciden directamente en la continuidad, la integridad y la gobernabilidad del servicio esencial. De ello resulta que la perturbación operativa, la vulnerabilidad en materia de ciberseguridad, los problemas de integridad, la opacidad de la propiedad, la exposición a sanciones, el riesgo de fraude, la exposición a la corrupción y la concentración de dependencias se entrelazan en la práctica de manera indisociable. Un proveedor puede parecer técnicamente competente y comercialmente fiable, mientras que detrás de la contraparte contractual jurídica puede esconderse una estructura de control o de financiación que expone a la entidad crítica a manipulación, influencia indebida, riesgo de sanciones o pérdida repentina de la seguridad del suministro. Un socio de mantenimiento puede ofrecer un rendimiento adecuado en el plano operativo, mientras que la exclusividad de hecho de su pericia sitúa a la entidad en una posición de bloqueo estructural en la que la sustituibilidad sigue siendo en gran medida teórica. Un prestador de servicios digitales puede aparecer sobre el papel como solo uno entre muchos actores de apoyo, mientras que la arquitectura de sistemas, datos e interfaces hace que se haya convertido, en términos sustanciales, en un eslabón central sin el cual el servicio esencial no puede prestarse, o solo puede prestarse de forma severamente degradada. En este contexto, la Gestión integrada del riesgo de delincuencia financiera no debe concebirse como un programa de control paralelo a la política de resiliencia, sino como un componente constitutivo de la arquitectura más amplia de resiliencia de las entidades críticas, porque la delincuencia financiera, la opacidad de la propiedad, la elusión de sanciones, la corrupción dentro de la cadena y la manipulación fraudulenta de los servicios de apoyo pueden comprometer directamente la continuidad y la fiabilidad de las funciones vitales.
Por qué la resiliencia de las entidades críticas no termina en los límites de la organización
La afirmación de que la resiliencia de las entidades críticas no termina en los límites de la organización no constituye una exageración retórica, sino una corrección necesaria de un modelo organizativo superado en el que la entidad se presenta como un conjunto más o menos autosuficiente que recurre a partes externas únicamente de manera instrumental. En el marco de la Directiva sobre la resiliencia de las entidades críticas y de la normativa neerlandesa sobre la resiliencia de las entidades críticas, el punto de partida debe ser, por el contrario, el reconocimiento de que el servicio esencial suele producirse mediante un conjunto de capacidades internas y externas, en el que los componentes externos no son ni ocasionales ni marginales, sino que inciden profundamente en la forma en que se mantienen los activos, se procesan los datos, se gestionan los sistemas, se apoyan las decisiones operativas y se hace posible en la práctica la recuperación en situaciones de crisis. Una entidad crítica puede ser propietaria de su infraestructura física y disponer de una gobernanza formal adecuada, y aun así seguir dependiendo intensamente de proveedores de software para el control de procesos, de prestadores especializados de mantenimiento para la disponibilidad operativa, de gestores de red externos para la conectividad, de proveedores de nube o de datos para el tratamiento de información esencial, de prestadores logísticos para el abastecimiento y de intermediarios financieros o administrativos para la integridad de los procesos de apoyo. En un modelo de esta índole, el propio límite de la organización es ciertamente visible desde el punto de vista jurídico, pero resulta mucho menos relevante desde el punto de vista funcional como línea divisoria entre lo que se integra en la resiliencia y lo que queda fuera de ella. El servicio esencial no termina allí donde termina el organigrama; las condiciones reales de la continuidad se extienden a la cadena, a las relaciones contractuales, a las interfaces técnicas y a las estructuras de propiedad situadas fuera de la jerarquía directa de gobernanza.
Esta concepción implica que los métodos clásicos de control interno pueden presentar un punto ciego estructural. Cuando la evaluación del riesgo se concentra principalmente en las propias instalaciones, el propio personal, las propias medidas de seguridad y los propios procesos, existe el peligro real de que permanezcan insuficientemente visibles precisamente aquellas dependencias externas dotadas de la mayor capacidad de desorganización. En el contexto de las entidades críticas, ello resulta especialmente problemático, porque la función social de la entidad no se valora a la luz de la elegancia de su documentación interna de gobernanza, sino a la luz de la disponibilidad real de un servicio esencial en condiciones de tensión. Una organización puede estar formalmente muy regulada, disciplinada internamente y bien estructurada desde el punto de vista procedimental, mientras que la continuidad de la función vital descansa, en la realidad, sobre un número reducido de eslabones externos sobre los cuales la visibilidad sigue siendo limitada. Ello puede referirse a un proveedor que posee un conocimiento exclusivo del sistema, a un productor extranjero de piezas de recambio, a un prestador que dispone de acceso remoto a tecnologías operativas, a un prestador de servicios de pago que facilita procesos de apoyo o a un subcontratista que, en la práctica, constituye el único actor capaz de remediar fallos dentro de los plazos de respuesta exigidos. La implicación jurídica es considerable: la resiliencia debe entenderse como una noción normativa que obliga a la entidad no solo a controlar sus propias vulnerabilidades, sino también a identificar, valorar y mitigar de manera sistemática las condiciones externas en las que el servicio esencial sigue estando garantizado.
Para la Gestión integrada del riesgo de delincuencia financiera, esta concepción transfronteriza de la resiliencia reviste una importancia directa. Los riesgos de delincuencia financiera rara vez se manifiestan exclusivamente dentro del núcleo formal de la entidad crítica. Con frecuencia se desarrollan en la periferia de la organización, en las relaciones con proveedores, en las cadenas de procurement, en las estructuras de consultoría y mantenimiento, en los modelos de agencia, en los canales de distribución, en la subcontratación, en los mecanismos de financiación y en servicios de apoyo aparentemente rutinarios en los que pueden incorporarse intereses opacos, pagos ilícitos, contrapartes sancionadas, flujos de facturación fraudulentos o mecanismos de influencia manipuladora. Cuando la noción de resiliencia permanece confinada a la esfera interna, tales fenómenos se tratan erróneamente como cuestiones de integridad separadas, carentes de un vínculo directo con la seguridad del suministro del servicio esencial. Una lectura así constituiría un error categorial. Un esquema corrupto en contratos de mantenimiento, una estructura fraudulenta de proveedor, un subcontratista expuesto a sanciones o una cadena logística contaminada por delincuencia financiera pueden conducir directamente a interrupciones, retrasos, pérdida del control directivo, intervenciones regulatorias o cese forzoso de servicios de apoyo críticos. Por esa razón, la Gestión integrada del riesgo de delincuencia financiera debe situarse, dentro de las entidades críticas, como un elemento esencial del análisis más amplio de la resiliencia de la cadena de suministro, y no como un ámbito autónomo de cumplimiento que solo devendría relevante una vez que el daño operativo ya se hubiera producido.
Los terceros, proveedores y prestadores de servicios como portadores de vulnerabilidad sistémica
En el contexto de las entidades críticas, los terceros, los proveedores y los prestadores de servicios actúan cada vez menos como actores de mercado externos neutrales que suministran insumos estrictamente delimitados, y cada vez más como portadores de vulnerabilidad sistémica. Ello significa que su importancia no puede comprenderse adecuadamente mediante la pregunta tradicional de si un proveedor determinado ejecuta correctamente el contrato, entrega en plazo u ofrece condiciones comerciales ventajosas. La cuestión decisiva es, más bien, si el sujeto de que se trate está tan entrelazado con el servicio esencial que su fallo, su retraso, su manipulación, sus infracciones de integridad o la pérdida súbita de su disponibilidad producirían consecuencias desproporcionadas para la función pública de la entidad crítica. La noción de vulnerabilidad sistémica subraya así que no solo importa la calidad del tercero, sino también la posición que ocupa dentro de la red de dependencias operativas. Un contrato de valor relativamente modesto puede tener un impacto sistémico extraordinariamente elevado cuando el servicio de que se trata está profundamente integrado en la arquitectura operativa, cuando no existen sustitutos realistas, cuando el conocimiento reside exclusivamente en la parte externa o cuando los puntos de acceso controlados por el tercero afectan a procesos, datos o activos vitales. A la luz de esta realidad, la calificación jurídica y de gobernanza de los terceros debe evolucionar: ya no se trata de meros proveedores, sino de coportadores funcionales de la estructura de resiliencia.
Este enfoque reviste especial importancia en sectores en los que la especialización, la complejidad tecnológica y la concentración del mercado han conducido, en la práctica, a que las entidades críticas dependan de un número limitado de prestadores para software, mantenimiento, datos de sensores, monitorización remota, piezas de recambio, apoyo en materia de cumplimiento o ejecución logística. Un prestador que tenga acceso a tecnologías operativas puede constituir simultáneamente una fuente de riesgo cibernético, de exposición a amenazas internas, de problemas de integridad de datos y de parálisis operativa. Un proveedor de componentes críticos puede representar, al mismo tiempo, una dependencia productiva, un riesgo de concentración geográfica y una exposición sensible desde la perspectiva de las sanciones. Un sujeto encargado de una gestión externa puede, a primera vista, desempeñar únicamente tareas de apoyo, mientras que tales tareas resultan en realidad esenciales para la respuesta ante incidentes, para la capacidad de recuperación o para la reanudación segura de los procesos después de una perturbación. De ello se sigue que la vulnerabilidad sistémica ya no puede medirse atendiendo únicamente al valor nominal del contrato o a la clasificación formal del servicio prestado, sino que debe medirse a la luz de la capacidad efectiva de desorganización del tercero de que se trate. Ello exige un marco analítico capaz de resistir la tentación institucional de clasificar a los proveedores exclusivamente según categorías de compra, y que, por el contrario, se concentre en la posición operativa, digital, financiera y de gobernanza del tercero dentro de la cadena de valor del servicio esencial.
En el ámbito de la Gestión integrada del riesgo de delincuencia financiera, además, la noción de vulnerabilidad sistémica posee una dimensión de integridad incuestionable. Un tercero profundamente integrado en procesos críticos no solo puede causar un perjuicio operativo debido a su fallo, sino también servir como vehículo de corrupción, fraude, conflictos de interés, concusión, favoritismo indebido, falsificación de datos de rendimiento u ocultación de los titulares reales últimos con antecedentes problemáticos. En situaciones de esa naturaleza, el tercero no constituye solamente un riesgo operativo, sino también un mecanismo de transmisión a través del cual la delincuencia financiera y las infracciones de integridad pueden incidir sobre la continuidad del servicio esencial. Un proveedor seleccionado bajo influencia corrupta en lugar de sobre la base del mérito, un socio de mantenimiento que produzca informes falsos, un consultor que actúe en realidad como intermediario de pagos ilícitos o un socio logístico implicado en la elusión de sanciones puede exponer a la entidad crítica a una forma de vulnerabilidad sistémica que no puede reducirse a mero daño reputacional o responsabilidad jurídica. Una situación así puede comprometer la gobernabilidad del servicio, intensificar la presión regulatoria, provocar el colapso de las relaciones contractuales y socavar la capacidad de recuperación operativa precisamente en el momento en que la rapidez y la fiabilidad resultan más indispensables. Por esta razón, el análisis de los terceros como portadores de vulnerabilidad sistémica debe llevarse a cabo siempre, al menos en parte, a través del prisma de la Gestión integrada del riesgo de delincuencia financiera, valorando no solo el rendimiento y la seguridad, sino también la integridad, la transparencia de la propiedad, los flujos financieros y el riesgo de influencia.
Externalización, digitalización y crecimiento de las dependencias indirectas
La externalización y la digitalización han rediseñado profundamente el panorama de los servicios críticos al provocar un fuerte incremento de las dependencias indirectas. Allí donde en el pasado las dependencias eran con frecuencia visibles en relaciones contractuales directas con proveedores identificables, la organización contemporánea de los servicios esenciales ha dado lugar a cadenas estratificadas en las que la entidad crítica depende, en realidad, de múltiples niveles de subcontratación, de dependencia de plataformas, de capas de software, de eslabones de datos, de entornos de alojamiento, de socios de integración y de funciones de apoyo que no siempre son plenamente visibles en la imagen contractual primaria. Una entidad crítica puede, por ejemplo, celebrar un contrato con un proveedor principal para una solución digital, mientras que dicha solución se sustenta, a su vez, en infraestructuras subyacentes de nube, en servicios externos de identidad, en centros de soporte situados en otras jurisdicciones, en accesos especializados de ciberseguridad, en equipos de desarrollo externalizados y en dependencias respecto de sujetos de tercera o cuarta línea sobre los cuales la propia entidad solo puede ejercer una influencia directa muy limitada. El perfil de riesgo se desplaza así desde cadenas directamente controlables hacia estructuras de dependencia complejas e imbricadas en las que la fuente de la perturbación, de la manipulación o de la contaminación de la integridad se sitúa con frecuencia a uno o varios eslabones de distancia del contratante formal. Desde el punto de vista jurídico y de gobernanza, se trata de una complicación sustancial, pues la entidad crítica sigue siendo responsable, está sometida a supervisión y continúa vinculada por obligaciones de resiliencia, mientras que una parte significativa de las condiciones efectivas de prestación del servicio puede situarse fuera de su visibilidad y de su control directos.
La digitalización intensifica esta evolución en la medida en que la continuidad operativa depende cada vez más de servicios inmateriales y persistentes que no pueden localizarse, inspeccionarse o sustituirse con facilidad. Un activo físico es visible; una dependencia digital puede, por el contrario, quedar enterrada en lo profundo de la arquitectura y hacerse perceptible solo cuando ya se ha producido un fallo o una compromisión. Una entidad crítica puede, por ejemplo, considerar que recurre a varios proveedores y que con ello ha logrado diversificación, cuando en realidad diferentes aplicaciones, interfaces y flujos de trabajo se apoyan, por debajo de la superficie, en el mismo proveedor de nube, en la misma biblioteca de software, en la misma capa de datos o en el mismo integrador especializado. La ilusión de diversificación puede, en tales circunstancias, enmascarar una concentración efectiva. Lo mismo ocurre con la externalización de funciones de apoyo que, sobre el papel, parecen no críticas, mientras que en la práctica ofrecen acceso a sistemas críticos, a procesos operativos o a información sensible de carácter decisorio. Las funciones de asistencia, los servicios de monitorización, las actualizaciones de software, la gestión de identidades y accesos, la respuesta externa a incidentes y el mantenimiento remoto pueden presentarse individualmente como mero soporte técnico, mientras que en su conjunto crean una considerable esfera de influencia externa dentro del núcleo del servicio vital. Las dependencias indirectas, por tanto, no emergen como un fenómeno marginal, sino como consecuencia estructural de la manera en que la digitalización y la externalización reorganizan la producción de los servicios esenciales.
Para la Gestión integrada del riesgo de delincuencia financiera, el crecimiento de las dependencias indirectas reviste una importancia especial, porque los riesgos de delincuencia financiera en cadenas digitalizadas y externalizadas de varios niveles suelen ser más difusos, menos visibles y más difíciles de rastrear. Estructuras complejas de subcontratación pueden utilizarse para ocultar a los titulares reales últimos, encubrir jurisdicciones de alto riesgo, distribuir flujos financieros irregulares u ocultar una implicación sensible desde la perspectiva sancionadora tras modelos de prestación de servicios aparentemente neutrales. Además, en entornos fuertemente externalizados y digitalizados, resulta más probable que decisiones de procurement, solicitudes de modificación, contratos de soporte y excepciones técnicas se utilicen como vehículos de favoritismo indebido, prestaciones ficticias, facturación fragmentada, manipulación de la incorporación de proveedores o construcción selectiva de dependencias en beneficio de un círculo reducido de actores. La cuestión de la integridad se desplaza así del contratante individual a toda la pila de servicios a través de la cual el servicio esencial se hace posible. Un marco eficaz de Gestión integrada del riesgo de delincuencia financiera dentro de las entidades críticas debe, por tanto, valorar no solo al proveedor directo, sino también la cadena operativa y financiera subyacente, incluidos los subcontratistas, las estructuras de propiedad, los circuitos de pago, la exposición geográfica y el grado de dependencia efectiva de la entidad respecto de eslabones indirectos desprovistos de instrumentos propios de gobernanza directa. A falta de una perspectiva ampliada de esta naturaleza, existe un riesgo serio de que la vulnerabilidad material y la exposición a la delincuencia financiera se subestimen precisamente allí donde la digitalización y la externalización han hecho que la organización dependa más intensamente de terceros invisibles.
Delincuencia financiera en las cadenas de proveedores y en los servicios de apoyo
En el contexto de las entidades críticas, la delincuencia financiera dentro de las cadenas de proveedores y de los servicios de apoyo debe entenderse como una fuente de perjuicio directo para la resiliencia, y no como un mero riesgo derivado de reputación o de cumplimiento. Esta calificación reviste gran importancia, porque los enfoques tradicionales sobre la delincuencia financiera en las organizaciones se han concentrado con frecuencia en la protección de los activos propios, en la integridad de las transacciones internas y en el respeto, en sentido estricto, de las normas en materia de prevención del blanqueo, lucha contra la corrupción y sanciones. Para las entidades críticas, ese marco es necesario, pero insuficiente. Cuando la delincuencia financiera se inserta en las cadenas de proveedores, en las estructuras de mantenimiento, en los servicios generales, en el soporte informático, en la ejecución logística o en la subcontratación especializada, no solo afecta a la integridad de la relación comercial, sino que también puede dañar el servicio esencial en el núcleo mismo de su funcionamiento operativo. La corrupción puede conducir a la selección o al mantenimiento de proveedores inadecuados, o de proveedores que refuerzan la dependencia. El fraude puede implicar la ausencia efectiva de mantenimiento, el suministro de componentes de calidad inferior o la existencia, sobre el papel, de capacidades que en la realidad faltan. La elusión de sanciones o las estructuras de propiedad ocultas pueden provocar de manera repentina bloqueos jurídicos, congelación de servicios o resolución forzosa de las relaciones contractuales. El blanqueo o los flujos financieros fraudulentos en los servicios de apoyo pueden desencadenar intervenciones penales o administrativas que sometan a presión el control directivo de los procesos críticos. En cada uno de estos supuestos, la delincuencia financiera no constituye un fenómeno periférico, sino un mecanismo de perturbación apto para comprometer la continuidad de la función vital.
Las cadenas de proveedores son especialmente sensibles a estos riesgos, porque suelen caracterizarse por una combinación de presión competitiva, transparencia limitada, asimetría técnica y responsabilidad fragmentada. En condiciones de este tipo, las irregularidades pueden ocultarse con relativa facilidad detrás de contratos aparentemente rutinarios, órdenes de cambio, suministros urgentes, consultores, agentes locales, subcontratistas o desviaciones justificadas por referencia a la necesidad operativa. En el universo de las entidades críticas, esta dinámica resulta especialmente peligrosa, porque la rapidez, la disponibilidad especializada y las exigencias de continuidad pueden inducir a la organización a aceptar excepciones que posteriormente se revelan como la puerta de entrada a vulneraciones de la integridad o a estructuras fraudulentas de dependencia. Un prestador de mantenimiento titular de una posición exclusiva de larga duración, un proveedor informático con costes de salida muy elevados, un socio logístico con acceso regional dominante o un proveedor de datos o software con integraciones profundamente arraigadas puede crear una situación en la que la entidad crítica disponga, en la práctica, de muy pocas alternativas y desarrolle, en consecuencia, una mayor tolerancia frente a carencias, estructuras opacas o desviaciones contractuales. Es precisamente en un contexto semejante donde la delincuencia financiera suele prosperar: no mediante una confrontación abierta, sino a través de la normalización progresiva de posiciones excepcionales, la insuficiencia del escrutinio crítico, la falta de transparencia y la idea de que la necesidad operativa debe prevalecer sobre la disciplina de integridad.
La Gestión integrada del riesgo de delincuencia financiera debe incorporar expresamente esta realidad tratando la delincuencia financiera dentro de la cadena como un riesgo de pérdida de gobernabilidad operativa. Ello exige un enfoque en el que la diligencia debida sobre proveedores, el análisis de los titulares reales, el control frente a sanciones, los controles de pago, la detección del fraude, la gobernanza del procurement y la supervisión contractual no operen de forma aislada, sino que se conecten con la cuestión de qué terceros son esenciales para la función vital y de qué vulneraciones de la integridad pueden producir un impacto desproporcionado sobre la prestación de esa función. Por tanto, una entidad crítica no puede limitarse a constatar que un proveedor existe jurídicamente, parece financieramente plausible y se encuentra contractualmente disponible. Se requiere, por el contrario, un examen más profundo de quién ejerce realmente el control, de qué incentivos y dependencias estructuran la relación, de qué excepciones se han desarrollado en la práctica, de qué señales de fraude en la facturación, conflictos de interés, corrupción o riesgo sancionador son visibles, y de la rapidez con que el servicio esencial se vería afectado si la relación tuviera que interrumpirse de manera abrupta por razones de integridad. Este vínculo entre el análisis de la delincuencia financiera y la continuidad operativa constituye el núcleo de una Gestión integrada del riesgo de delincuencia financiera sólida dentro de las entidades críticas. En ausencia de ese vínculo, el control de la integridad sigue siendo excesivamente abstracto, mientras que la vulnerabilidad real radica en la posibilidad de que relaciones de apoyo contaminadas por la delincuencia financiera terminen condicionando precisamente aquellas funciones vitales que la Directiva sobre la resiliencia de las entidades críticas y la normativa neerlandesa sobre la resiliencia de las entidades críticas pretenden proteger.
Riesgos de integridad en el procurement, el mantenimiento, la informática y el apoyo logístico
Los riesgos de integridad en el procurement, el mantenimiento, la informática y el apoyo logístico merecen, en el contexto de las entidades críticas, una atención diferenciada y particularmente intensa, porque en estos ámbitos la frontera formal entre apoyo y función central resulta con frecuencia engañosa. El procurement no determina únicamente qué sujeto obtiene un contrato, sino que estructura, en numerosos casos, la arquitectura de dependencias del servicio esencial durante años. El mantenimiento no determina únicamente si los activos siguen siendo técnicamente utilizables, sino también si las averías pueden corregirse oportunamente y si existe realmente una capacidad efectiva de recuperación. El soporte informático no incide solo en el rendimiento de los sistemas, sino también en los accesos, en la integridad de los datos, en la visibilidad de los procesos operativos y en la respuesta a incidentes. El apoyo logístico no se limita al transporte o a la gestión de existencias, sino que puede constituir la verdadera línea vital para piezas de recambio, combustibles, componentes críticos o acceso físico a las infraestructuras. En todos estos ámbitos, el deterioro de la integridad puede producir un doble perjuicio: la calidad y la fiabilidad del servicio de que se trate disminuyen, mientras que, al mismo tiempo, la entidad crítica construye una estructura de dependencia difícil de desmantelar. En consecuencia, un incidente de integridad no constituye solo una infracción normativa, sino potencialmente el comienzo de una pérdida estructural de control sobre una parte de la función vital.
En el procurement, tales riesgos pueden manifestarse en forma de procedimientos de selección sesgados, colusión entre proveedores, manipulación de especificaciones, excepciones opacas, dispositivos artificiales de urgencia, conflictos de interés, competencia ficticia u orientación hacia una parte ya preseleccionada bajo el pretexto de una necesidad técnica. En el mantenimiento pueden surgir trabajos ficticios, inspecciones estructuralmente aplazadas, certificaciones defectuosas, datos de rendimiento falsificados o dependencia indebida de un único prestador de mantenimiento. En la informática, accesos privilegiados insuficientemente controlados, subcontrataciones opacas, componentes de software poco transparentes, estructuras ocultas de soporte remoto o cadenas de propiedad y desarrollo insuficientemente claras pueden conducir a una situación en la que la entidad crítica es formalmente cliente, pero posee, en sustancia, un control limitado sobre los sistemas que sostienen su servicio esencial. En el apoyo logístico, eslabones fraudulentos, desvíos, intermediarios no controlados, corredores poco fiables, rutas sensibles desde el punto de vista sancionador o información manipulada sobre existencias y disponibilidad pueden comprometer la fiabilidad y la integridad de la cadena. Lo que une a todos estos ejemplos es que el riesgo de integridad no puede disociarse aquí de la gobernanza de la resiliencia. Incide directamente en la cuestión de si la entidad puede seguir asegurando su función vital bajo presión sin quedar, en la práctica, rehén de relaciones de apoyo comprometidas o ingobernables.
Por esa razón, la Gestión integrada del riesgo de delincuencia financiera debe, en estos ámbitos, ir mucho más allá de una lucha reactiva contra el fraude o de una diligencia debida estandarizada respecto de terceros. Se requiere un marco integrado en el que las decisiones de procurement se examinen desde la perspectiva de la creación de dependencias, las relaciones de mantenimiento desde la perspectiva de la sustituibilidad real y de la verificabilidad de las prestaciones, los servicios informáticos desde la perspectiva de la transparencia técnica y de gobernanza, y el apoyo logístico desde la perspectiva de la integridad de las rutas, del riesgo ligado a intermediarios y de la exposición a sanciones o fraudes. Ese marco debe incluir además una visibilidad precisa sobre los mecanismos excepcionales, pues con frecuencia no es la regla formal, sino la desviación aparentemente temporal, la que se convierte en el lugar donde se encuentran el favoritismo indebido y la vulnerabilidad estructural. Una prórroga contractual justificada por la urgencia, una elusión provisional de los requisitos de incorporación, una solución de emergencia que implique acceso remoto, un intermediario logístico ad hoc o un mecanismo de modificación contractual fuera del circuito decisorio ordinario pueden transformarse en una fuente duradera de riesgo de integridad y de continuidad. Dentro de las entidades críticas, el procurement, el mantenimiento, la informática y la logística deben, por tanto, entenderse no simplemente como funciones de apoyo que deben operar de manera eficiente, sino como ámbitos estratégicos de resiliencia en los que la calidad de la gestión de la integridad contribuye a determinar si el servicio esencial permanece gobernable, fiable y sometido a un control público y organizativo efectivo. Es precisamente en ese punto donde un sistema de Gestión integrada del riesgo de delincuencia financiera fuertemente estructurado y profundamente arraigado se vuelve indispensable.
Riesgo de concentración, puntos únicos de fallo y perturbación entrelazada en la cadena
El riesgo de concentración constituye, en el ámbito de las entidades críticas, una de las manifestaciones más subestimadas y, al mismo tiempo, más desestabilizadoras de la dependencia de la cadena de suministro. No se refiere únicamente a la situación en la que una entidad crítica depende formalmente de un solo proveedor, de una sola tecnología, de un solo socio de mantenimiento o de un solo corredor logístico, sino también a la configuración más sutil y, en la práctica, a menudo mucho más peligrosa, en la que relaciones que parecen diversificadas convergen en realidad en la misma infraestructura subyacente, la misma estructura financiera o de propiedad, la misma base de conocimiento técnico o el mismo espacio geográfico y jurídico de dependencia. El riesgo de concentración adquiere así un alcance mucho más amplio del que sugiere la concepción clásica propia del derecho de la contratación o de la gestión operativa. Lo relevante no es únicamente si existen varias contrapartes contractuales en términos numéricos, sino si esas partes operan de manera materialmente independiente, si representan realmente capacidades sustituibles, si descansan sobre fundamentos operativos separados y si puede excluirse razonablemente su fallo o compromiso simultáneo. En el marco de la resiliencia de las entidades críticas, el riesgo de concentración no es, por tanto, un problema abstracto de estructura de mercado, sino una amenaza directa para la continuidad de un servicio esencial. Cuando demasiadas funciones críticas convergen en un número limitado de eslabones, se configura un sistema en el que la perturbación deja de ser local o proporcionada y se traduce rápidamente en una desorganización entrelazada en la cadena, con posibles consecuencias intersectoriales.
Los puntos únicos de fallo no deben entenderse, en este contexto, en un sentido técnico estrecho. El concepto no alude exclusivamente a un único servidor, un único centro de datos, un único componente de red o una única instalación física, sino también a dependencias jurídicas, contractuales, personales, geográficas y basadas en la especialización que, en la práctica, pueden desempeñar la misma función desestabilizadora. Una entidad crítica puede, por ejemplo, disponer formalmente de varios prestadores de servicios y, sin embargo, seguir dependiendo en sustancia de un solo grupo de técnicos especializados que son los únicos con acceso a un sistema complejo, de un solo proveedor de software que es el único capaz de ejecutar actualizaciones y actuaciones de recuperación, de un solo productor extranjero de piezas de recambio o de un solo nodo logístico por el que transitan flujos de bienes esenciales. En todos estos casos, un punto único de fallo no surge porque la organización haya sido negligente en un sentido elemental, sino porque la combinación de especialización tecnológica, concentración de mercado, lock-in contractual, presión temporal y acumulación histórica de dependencias ha conducido a una situación en la que la sustituibilidad operativa parece estar presente en teoría, mientras que en la práctica es casi inexistente. Para las entidades críticas, se trata de una base extremadamente precaria, porque la función social del servicio esencial no puede esperar procesos prolongados de sustitución, renegociaciones internacionales o complejas migraciones técnicas. La existencia de puntos únicos de fallo ocultos plantea, por ello, la cuestión de si la entidad sigue dirigiendo realmente las condiciones de su propia continuidad, o si ese control ya se ha desplazado, en términos materiales, hacia eslabones externos insuficientemente visibles, insuficientemente influenciables o insuficientemente sustituibles con rapidez.
En el marco de la Gestión integrada del riesgo de delincuencia financiera, el riesgo de concentración adquiere una significación adicional y particularmente aguda, porque los riesgos de delincuencia financiera no solo pueden acompañar los efectos de la concentración, sino también profundizarlos y acelerarlos. Una relación concentrada con un proveedor que vaya acompañada de opacidad en la propiedad, flujos financieros inusuales, favoritismo hacia un proveedor preferente, incentivos para el soborno, competencia simulada o estructuras sensibles desde la perspectiva de las sanciones no crea solamente un problema de cumplimiento; crea una situación en la que la entidad crítica queda anclada a un único eslabón riesgoso precisamente en el punto en el que la dependencia operativa ya es máxima. En tales circunstancias, la delincuencia financiera se convierte en un amplificador de la vulnerabilidad sistémica. Puede provocar la expulsión de alternativas del mercado, la prolongación artificial de dependencias contractuales, el abuso de monopolios técnicos o logísticos y la detección demasiado tardía o demasiado vacilante de señales de disfunción por temor a una desorganización operativa. Un sistema sólido de Gestión integrada del riesgo de delincuencia financiera debe, por tanto, atender no solo a la cuestión de si un proveedor o prestador de servicios actúa con integridad, sino también a la cuestión de si la concentración de la dependencia expone estructuralmente a la entidad a influencias indebidas, a la continuación fraudulenta de relaciones, a la escalada del riesgo de sanciones o a la pérdida repentina de servicios en caso de intervención regulatoria. El riesgo de concentración no es, en este sentido, ni una cuestión puramente de resiliencia ni una cuestión puramente de integridad, sino un tema convergente en el que coinciden continuidad, gobernabilidad y gestión de los riesgos de delincuencia financiera.
Supervisión de terceros en el marco de la Directiva sobre la resiliencia de las entidades críticas y de la Wwke, así como en los regímenes más amplios de resiliencia
La supervisión de terceros en el marco de la Directiva sobre la resiliencia de las entidades críticas y de la Wwke debe entenderse a la luz de un horizonte normativo profundamente desplazado. El objeto de la atención regulatoria ya no es exclusivamente el cumplimiento interno de la entidad crítica en sentido estricto, sino la cuestión más amplia de si la entidad está en condiciones de proteger su servicio esencial, en situaciones de perturbación, frente a vulnerabilidades que se sitúan en una medida significativa fuera de sus propios límites organizativos. Ello no significa que las autoridades supervisoras adquieran, por esta vía, un poder directo y genérico sobre todas las partes externas de la cadena, pero sí significa que se espera de la entidad crítica un conocimiento demostrable de los terceros de los que dependen, en la práctica, la continuidad, la integridad y la gobernabilidad de la función vital. En ese sentido, también cambia el contenido material de lo que debe entenderse por gobernanza adecuada y gestión suficiente del riesgo. Una entidad crítica no puede limitarse a aportar contratos, expedientes generales de diligencia debida o evaluaciones estándar de proveedores cuando la estructura efectiva de dependencias es mucho más profunda y compleja. Lo que pasa a ser más relevante es si la entidad puede justificar qué terceros han sido calificados como críticos, sobre qué bases se ha producido esa calificación, cómo mantiene visibilidad sobre la subcontratación subyacente y las estructuras de propiedad, qué escenarios de contingencia existen y de qué manera la gobernanza de la entidad garantiza que las señales de deterioro de la fiabilidad o de la integridad en terceros se aborden con la debida oportunidad.
El marco más amplio de resiliencia refuerza esta evolución porque distintos ámbitos regulatorios se entrecruzan cada vez más intensamente en la práctica. La resiliencia de las entidades críticas no puede separarse, en efecto, de la ciberseguridad, del cumplimiento de sanciones, de los regímenes anticorrupción, de la disciplina en materia de contratación y adquisiciones, de la gestión del riesgo operativo, de la gobernanza de la externalización y de los requisitos sectoriales de supervisión. De ello resulta un paisaje normativo estratificado en el que un mismo tercero puede ser relevante desde múltiples perspectivas: como punto de acceso cibernético, como socio de mantenimiento, como actor logístico clave, como encargado del tratamiento de datos, como intermediario financiero o como potencial riesgo de integridad. Para la entidad crítica, esto significa que la supervisión ya no puede abordarse como una serie de líneas separadas de rendición de cuentas, cada una de ellas con su propio conjunto limitado de documentos. Lo que se necesita, por el contrario, es una arquitectura de gobernanza coherente, capaz de satisfacer distintas expectativas supervisoras sin perder de vista la cuestión material central: dónde se encuentran los eslabones de la cadena que sostienen el servicio esencial o que pueden desestabilizarlo, y cómo se mantiene un control efectivo sobre ellos en términos de gobernanza y de operación. Desde esa perspectiva, las obligaciones de notificación, la respuesta a incidentes y las evaluaciones periódicas de riesgo también adquieren un peso mayor. No solo los incidentes internos, sino también las perturbaciones, las infracciones de integridad o los impedimentos jurídicos que afectan a terceros pueden adquirir relevancia supervisora cuando inciden, o pueden incidir, en la función vital.
La Gestión integrada del riesgo de delincuencia financiera debe, dentro de esta realidad supervisora, situarse expresamente como un elemento integral de una gestión demostrable de la resiliencia. La supervisión de terceros queda, en efecto, materialmente vaciada de contenido si los riesgos de delincuencia financiera en la cadena solo se ponen de manifiesto de manera fragmentaria o puramente reactiva. Una autoridad supervisora que evalúe la resiliencia de una entidad crítica difícilmente podrá darse por satisfecha, en términos materiales, con un modelo en el que la criticidad operativa haya sido cartografiada mientras que la transparencia de la propiedad, la sensibilidad a las sanciones, el riesgo de corrupción, los patrones de fraude y los flujos financieros inusuales permanecen fuera del análisis central. Un tercero puede ser, en efecto, operativamente indispensable y, al mismo tiempo, inestable desde la perspectiva de la integridad, jurídicamente precario o financieramente opaco. En tales circunstancias, la vulnerabilidad del servicio esencial no puede valorarse seriamente sin incorporar la dimensión de la integridad. Un modelo creíble y preparado para la supervisión debe, por tanto, demostrar que la entidad crítica no solo sabe qué tercero es importante, sino también cómo se evalúa la integridad de ese tercero, cómo se supervisan los cambios en la propiedad o en el control, cómo se abordan las transacciones inusuales o los riesgos crecientes de sanciones, y de qué manera es posible una intervención de gobernanza cuando un tercero ya no puede considerarse fiable. La supervisión de terceros en el marco de la Directiva sobre la resiliencia de las entidades críticas, de la Wwke y de los marcos conexos presupone así una organización que no contempla sus dependencias externas como meras relaciones comerciales, sino como objetos de una gobernanza de la resiliencia permanente y demostrablemente integrada.
Cartografía de la cadena, diligencia debida y supervisión continua de las dependencias críticas
Dentro de las entidades críticas, la cartografía de la cadena no constituye un mero ejercicio documental de apoyo, sino un elemento constitutivo de la cuestión de si la entidad comprende realmente la arquitectura de su propia vulnerabilidad. Sin una imagen profunda y dinámica de la cadena, toda afirmación relativa a la resiliencia sigue siendo, en gran medida, especulativa, porque permanece incierto qué eslabones externos sostienen efectivamente el servicio esencial, dónde se sitúan las concentraciones de dependencia, qué capas de subcontratación son operativamente relevantes y dónde las estructuras jurídicas, geográficas o de propiedad pueden debilitar el control de gobernanza sobre los procesos críticos. La cartografía de la cadena debe, por ello, ir mucho más allá de la elaboración de una lista de proveedores o de la clasificación de contratos según el volumen de gasto o la categoría formal del servicio. Lo que se requiere es una imagen mucho más refinada que haga visibles las partes que tienen acceso a sistemas críticos, los terceros que realizan mantenimiento sobre activos vitales, los proveedores que tratan o alojan datos operativos, los nodos logísticos esenciales para la continuidad, los subcontratistas especializados indispensables para la recuperación y las infraestructuras subyacentes utilizadas simultáneamente por varios prestadores de servicios que exteriormente parecen independientes unos de otros. Solo cuando estas relaciones se ponen de manifiesto de manera sistemática es posible determinar dónde es materialmente vulnerable la entidad y dónde resultan necesarias intervenciones preventivas, contractuales, técnicas o de gobernanza.
En ese marco, la diligencia debida adquiere un carácter sensiblemente más exigente que el que suele observarse en los programas convencionales de gestión de proveedores. No se trata solo de comprobar si un tercero existe legalmente, puede aportar documentación básica y parece respetable en términos generales. Más importante es determinar si existe visibilidad sobre la identidad de los titulares reales últimos, sobre las relaciones efectivas de control, sobre la solidez financiera, sobre la dependencia respecto de jurisdicciones de alto riesgo, sobre la sensibilidad a sanciones, sobre el comportamiento histórico en materia de integridad, sobre las prácticas de subcontratación, sobre las personas clave, sobre la postura de ciberseguridad y sobre la cuestión de si el proveedor o prestador de servicios ocupa una posición tan singular que la entidad crítica dispone, en la práctica, de muy pocas alternativas realistas. La diligencia debida debe, además, diferenciarse en función de la naturaleza de la dependencia. Un proveedor de material de oficina genérico no exige el mismo nivel de profundidad que un prestador con acceso privilegiado a tecnología operativa, que un socio de mantenimiento para instalaciones vitales o que un actor logístico que controle un corredor exclusivo hacia activos críticos. El centro de gravedad normativo no reside, por tanto, en una uniformidad administrativa universal, sino en una profundidad selectiva en aquellos puntos donde el impacto potencial sobre el servicio esencial es mayor. En ese sentido, la diligencia debida dentro de las entidades críticas no es un simple ejercicio de marcar casillas, sino un instrumento para responder a la cuestión material de si la continuidad de la función pública puede confiarse responsablemente al tercero de que se trate.
La supervisión continua resulta después indispensable, porque las dependencias críticas rara vez permanecen estáticas. La propiedad puede cambiar, la subcontratación puede ampliarse, el rendimiento puede deteriorarse gradualmente, las condiciones geopolíticas pueden modificarse, los regímenes de sanciones pueden endurecerse, la salud financiera puede empeorar y lo que inicialmente parecía una relación con un proveedor manejable puede transformarse silenciosamente en un eslabón de hecho indispensable. Una mera fotografía tomada en el momento de la incorporación inicial resulta, por tanto, insuficiente. Se requiere una forma continua de supervisión dentro de la organización, en la que las señales procedentes de la gestión contractual, de los incidentes operativos, de los acontecimientos cibernéticos, del comportamiento de pago, de los cambios en las estructuras de gobernanza, de la evolución del mercado y del contexto jurídico o geopolítico se integren en un único proceso de evaluación. En el marco de la Gestión integrada del riesgo de delincuencia financiera, esta supervisión continua reviste una importancia especial. Los riesgos de delincuencia financiera suelen revelarse, en efecto, únicamente con el tiempo: a través de cambios en los patrones de facturación, intermediarios inusuales, transferencias rápidas de propiedad, dependencia creciente de contratos excepcionales, solicitudes de pago anómalas, señales de conflictos de interés o exposición creciente a regiones sancionadas o de alto riesgo. Una arquitectura de supervisión eficaz debe, por tanto, dirigirse no solo a la disponibilidad y al rendimiento, sino también a la evolución de la integridad de la relación y a la cuestión de si la entidad crítica sigue siendo capaz de gobernar el servicio esencial cuando la fiabilidad de un tercero se ve sometida a presión. La cartografía de la cadena, la diligencia debida y la supervisión continua no constituyen, así, tres técnicas de control separadas, sino una única estructura coherente mediante la cual la resiliencia material del servicio esencial se hace visible y gobernable.
Cooperación público-privada frente a perturbaciones en las cadenas de suministro vitales
En la concepción contemporánea de la resiliencia, la cooperación público-privada frente a perturbaciones que afectan a las cadenas de suministro vitales no constituye un simple complemento facultativo a la preparación individual de las empresas, sino una condición estructural para una respuesta eficaz cuando la desorganización supera los límites de una sola organización. Las entidades críticas operan, en efecto, en entornos en los que las perturbaciones rara vez permanecen confinadas a la relación directa entre la entidad y un solo proveedor. Escasez de componentes, fallos de prestadores especializados, impedimentos al transporte, bloqueos geopolíticos, incidentes cibernéticos, actos de sabotaje, desórdenes financieros o infracciones de integridad dentro de la cadena pueden afectar simultáneamente a múltiples actores y propagarse con rapidez entre sectores, regiones y capas de dependencia. En tales circunstancias, una lógica de respuesta exclusivamente privada resulta insuficiente, porque la entidad individual suele carecer de información suficiente, capacidad coactiva, mandato de coordinación o visión de conjunto del sector para mitigar eficazmente la perturbación. La cooperación público-privada adquiere, por ello, una significación estratégica que va mucho más allá del mero intercambio general de información. Se refiere al establecimiento de un orden de respuesta en el que poderes públicos, autoridades supervisoras, alianzas sectoriales y entidades críticas intercambian información de manera controlada, determinan prioridades, asignan capacidades escasas, identifican obstáculos jurídicos y coordinan medidas de emergencia destinadas a proteger los servicios esenciales.
La necesidad de ese enfoque se hace especialmente visible cuando la perturbación afecta a cadenas en las que los mecanismos de mercado, bajo presión de crisis, funcionan de manera insuficiente o incluso contraproducente. La escasez de piezas de recambio, de personal especializado de mantenimiento, de capacidad de recuperación digital, de acceso logístico o de prestadores alternativos fiables puede llevar a que entidades individuales compitan por los mismos recursos limitados, mientras que el interés colectivo exige, por el contrario, una asignación basada en la prioridad vital y en el impacto sistémico. Del mismo modo, un problema de integridad o de sanciones que afecte a un proveedor dominante puede repercutir simultáneamente sobre varias entidades críticas, de modo que un enfoque puramente contractual se vuelve insuficiente y surge la necesidad de una interpretación coordinada, de alineación jurídica y de vías temporales de emergencia. En estas situaciones, la cooperación público-privada no debe entenderse como una fórmula de consulta ad hoc inventada solo en el momento de la crisis, sino como una estructura preparada de antemano en la que ya se hayan desarrollado puntos de contacto, líneas de escalado, protocolos de información, acuerdos de confidencialidad, mecanismos sectoriales de priorización y escenarios comunes. Solo de esa manera puede evitarse que una perturbación en la cadena de suministro vital conduzca a una toma de decisiones fragmentada, a asimetrías de información y a una situación en la que cada actor actúe por separado cuando la vulnerabilidad es, en sustancia, colectiva.
En el marco de la Gestión integrada del riesgo de delincuencia financiera, la cooperación público-privada en este ámbito reviste también una importancia fundamental, porque las perturbaciones en cadenas vitales suelen venir acompañadas de una mayor exposición al fraude, a la corrupción, a la manipulación de precios, a la evasión de sanciones, a la falsificación documental, a intermediarios oportunistas y a otras formas de abuso económico-financiero. Las condiciones de crisis incrementan la presión para contratar con rapidez, apartarse de los controles ordinarios, admitir proveedores de emergencia y aceptar temporalmente documentación incompleta. Ese es precisamente el contexto en el que la delincuencia financiera suele encontrar espacio para desplegarse. Una entidad que actúe de forma aislada corre entonces el riesgo de recurrir a los mismos intermediarios riesgosos que otros actores, de pasar por alto señales de alerta que ya se han manifestado en otros lugares, o de adoptar, bajo presión operativa, medidas que posteriormente socaven la integridad y la sostenibilidad jurídica de la respuesta. La cooperación público-privada puede aquí desempeñar una función de contrapeso mediante la agregación de señales, la construcción de visiones compartidas del riesgo, la identificación más rápida de patrones de fraude y la organización de una alerta colectiva frente a prestadores de riesgo, estructuras de pago inusuales o proveedores de emergencia que aparecen repentinamente. Queda así de manifiesto que la cooperación público-privada frente a perturbaciones en cadenas de suministro vitales no se refiere solo a la continuidad operativa, sino también a evitar que la propia respuesta a la crisis se convierta en el vehículo de nuevas dependencias, contaminación de la integridad y debilitamiento del control de gobernanza.
La resiliencia de terceros como componente indispensable de la Gestión integrada del riesgo de delincuencia financiera en las entidades críticas
Dentro de las entidades críticas, la resiliencia de terceros debe considerarse una componente indispensable de la Gestión integrada del riesgo de delincuencia financiera, porque la clásica separación entre continuidad operativa y control de la delincuencia financiera ya no resulta sostenible en este contexto, ni desde el punto de vista analítico ni desde la perspectiva de la gobernanza. Las partes externas de las que depende una entidad crítica no constituyen únicamente fuentes de incertidumbre en materia de suministro o de rendimiento, sino también portadoras potenciales de opacidad en la propiedad, riesgo de corrupción, sensibilidad a las sanciones, patrones de fraude, influencias indebidas y otras formas de daño a la integridad capaces de incidir directamente en la disponibilidad, fiabilidad y gobernabilidad del servicio esencial. Un tercero puede ser al mismo tiempo socio de mantenimiento, titular de acceso a datos, eslabón logístico, receptor de pagos y mecanismo de recuperación operativa. En una relación de esa naturaleza sería artificial situar, por un lado, las evaluaciones del riesgo operativo y, por otro, el análisis de la delincuencia financiera, como si ambos planos solo estuvieran marginalmente conectados. Para las entidades críticas, la cuestión central consiste, más bien, en saber si las dependencias externas se gobiernan de tal modo que no expongan la función vital a una convergencia de perturbación de la continuidad, degradación de la integridad y pérdida de control de gobernanza. La resiliencia de terceros, por consiguiente, no constituye un capítulo adicional respecto de la Gestión integrada del riesgo de delincuencia financiera, sino uno de los lugares en los que ese sistema de gestión demuestra su relevancia material.
Esta conclusión entraña consecuencias profundas para la configuración de la gobernanza, de las líneas de información y de los procesos de decisión. Cuando la resiliencia de terceros se trata seriamente como parte de la Gestión integrada del riesgo de delincuencia financiera, la evaluación de proveedores y prestadores de servicios ya no puede permanecer fragmentada entre distintas funciones en ausencia de un marco analítico unificador. Las compras no pueden seguir persiguiendo de forma autónoma una optimización puramente comercial mientras la integridad y la formación de dependencias se evalúan en otro lugar. Las funciones cibernéticas no pueden limitarse a controles técnicos sin visibilidad sobre la propiedad, la subcontratación y la exposición a sanciones. El cumplimiento normativo no puede conformarse con controles de entrada mientras permanece ajeno a la criticidad operativa de la relación. Las operaciones, por su parte, no pueden presumir que el rendimiento histórico constituye prueba suficiente de fiabilidad cuando la estructura subyacente es frágil desde la perspectiva de la integridad o financieramente opaca. Lo que se necesita es un modelo en el que criticidad, sustituibilidad, concentración, transparencia de la propiedad, comportamiento de pago, incidentes de integridad, exposición jurídica y relevancia en crisis de los terceros se integren en un único lenguaje de gobernanza. Solo dentro de un modelo de esa índole se hace visible qué terceros soportan el mayor valor de riesgo compuesto y dónde resultan necesarias la intervención, la reestructuración, el refuerzo contractual, una supervisión adicional o la reducción estratégica de la dependencia.
En el sentido más fundamental, este enfoque confirma que la Gestión integrada del riesgo de delincuencia financiera dentro de las entidades críticas solo posee verdadera fuerza de convicción cuando se concentra en aquellos lugares donde confluyen la protección de las funciones públicas y la realidad de la cadena. La delincuencia financiera no es aquí simplemente una cuestión de ilícito financiero; es un mecanismo capaz de deformar la arquitectura de la dependencia, situar a terceros inadecuados o arriesgados en posiciones clave, paralizar la detección, excluir alternativas y anclar vulnerabilidades regulatorias o geopolíticas en el núcleo operativo del servicio esencial. La resiliencia de terceros funciona, por ello, como la prueba decisiva de la profundidad de todo el sistema. Si una entidad crítica dispone de reglas generales de integridad pero carece de una visibilidad precisa sobre qué partes externas condicionan la función vital, falta la conexión material entre la norma y el riesgo. Si, por el contrario, la transparencia de la propiedad, la cartografía de la cadena, la sensibilidad a las sanciones, la detección del fraude, la capacidad de palanca contractual, el análisis de la sustituibilidad y la supervisión continua se integran conjuntamente en la gobernanza de las dependencias críticas, emerge una forma de Gestión integrada del riesgo de delincuencia financiera que no solo es formalmente sólida, sino que contribuye efectivamente a la protección de los servicios esenciales frente a las amenazas entrelazadas de la economía contemporánea. En este sentido, la resiliencia de terceros no es simplemente una componente relevante del sistema, sino una de las condiciones centrales de su credibilidad y de su funcionamiento efectivo.
