Ciberseguridad en mercados de valores. EEUU

el 14 agosto, 2017 en Banca y Seguros, DM_RJcoMercado

  • La Regulation Systems Compliance and Integrity  RSCI es una norma aprobada por la Securities and Exchange Commission, SEC, en 2015 con el objetivo de lograr un funcionamiento seguro de los sistemas tecnológicos de los  “participantes clave del mercado”,  término en el que se incluyen las bolsas de valores, sistemas alternativos de negociación, entre otros. Esta norma reconoce excepciones (como algunas relativas a la liquidación de valores).

 

La RSCI constituyó una respuesta a los incidentes y fallos en la seguridad y funcionamiento de sistemas informáticos que habían sido comunicados, o que se habían hecho evidentes. De modo muy particular responde a los que condujeron al llamado flash de 6 de mayo de 2010. Recordemos  que los negociadores de alta frecuencia había sido también culpados de aquel «crash», al menos por haber contribuido a los problemas de liquidez en los mercados.

HolywellSt, Ox

Anteriormente, la SEC ya contaba con una línea de política estratégica de seguridad basada en principios voluntarios (Política de Revisión de la Automatización, ARP)  y efectuaba inspecciones de vigilancia tecnológica. Además, la Government Accountability Office había recomendado introducir normas obligatorias, así como mayores controles y supervisión de los sistemas informáticos con incidencia en la actividad de los mercados

Los sistemas SCI a los que refiere a RSCI consisten en mecanismos informáticos y procedimientos pautados que se utilizan en la negociación, la liquidación, el enrutamiento de ordenes, los datos operativos y de supervisión de mercado, entre otros. La RSCI impone que las entidades que operan las actividades afectadas desarrollen políticas y pongan en marcha procedimientos escritos para proteger su capacidad operativa (incluyendo pruebas regulares para identificar fallos y amenazas). Estas entidades deben contar con “niveles de capacidad, integridad, resiliencia, disponibilidad y seguridad adecuados para mantener su capacidad operativa, y para interactuar en mercados ordenados”. Se les impone además estrictas obligaciones de notificación al supervisor de mercados (SEC), y de difusión de información entre sus propios administradores y altos ejecutivos, y entre  los miembros o partes que se relacionen con la entidad, además de deberes de registro de los incidentes y de las medidas de cumplimento.

A los efectos de la norma, las políticas y procedimientos estarían razonablemente diseñados si se ajustan a las disposiciones tecnológicas para el sector financiero que apruebe el gobierno de los Estados Unidos u otra “organización ampliamente reconocida” de tal modo que el cumplimiento de tales disposiciones implica una presunción de “cumplimiento” que eximiría a las entidades (y a su personal) de responsabilidades, en circunstancias en las que no existieran «motivos razonables para creer que los procedimientos no cumplían con el marco normativo».

We thank the European and Comparative Law Institute, Oxford University, for the support received, July/August 2017

Los comentarios están cerrados, pero trackbacks y pingbacks están permitidos.