Bloomberg 21 mayo 2025 ¿Caída accidental por sobrecarga, ataque cibernético, o consecuencia de la algoritmización veloz?

Paraninfo Gordón Ordás. Universidad de León

El miércoles 21 de mayo de 2025, Bloomberg sufrió una interrupción técnica importante que afectó a sus terminales financieras en todo el mundo. Durante aproximadamente tres horas, los terminales dejaron de proporcionar datos en tiempo real, lo que afectó las operaciones en los mercados financieros y provocó retrasos en subastas de deuda pública, como las del Reino Unido y Portugal.

Según informó Financial Times el mismo día, la caída interrumpió las subastas de deuda de ambos emisores, lo que llevó a la Debt Management Office (Oficina de Gestión de Deuda del Reino Unido) a ampliar el periodo de pujas para una subasta de «gilts» (bonos del Estado de RU) en 90 minutos, mientras que la Comisión Europea amplió en una hora el plazo para una subasta de bonos emitidos por la Unión Europea en el marco de su programa de financiación conjunta. Dos grandes bancos de inversión confirmaron que sus operaciones de compraventa se vieron interrumpidas. En uno de ellos, que los operadores no pudieron acceder a los datos de precios de la subasta de deuda británica, por lo que no se tramitaron órdenes de clientes. Un gestor de carteras de una gran gestora de activos señaló que no solo las operaciones de compraventa, sino todo su flujo de trabajo, se vio paralizado por el fallo.

A las 9:55 h de ese mismo día, el servicio de soporte técnico de Bloomberg emitió un comunicado reconociendo «un problema global con los terminales» e informando de que su equipo de ingeniería estaba trabajando activamente en identificar y resolver la causa. Bloomberg se disculpó públicamente y más tarde descartó que se tratara de un ciberataque o de un fallo provocado por algoritmos de alta frecuencia (HFT). Según la empresa, el incidente fue causado por una combinación de errores de hardware y software que generaron un tráfico anómalo en su red interna.

A estas altunas cabe preguntarse si se trató de un ataque de hacking (Bloomberg declaró que no lo fue), o de un fallo interno de hardware y software que provocó un tráfico excesivo en su red, haciendo que las máquinas colapsaran y los usuarios quedaran desconectados (explicación de Bloomberg). Esta explicación sería compatible con la intervención de HFT agents que pudieran sobrecargar los sistemas de la intermediaria.

El servicio de mensajería interna de Bloomberg siguió funcionando durante la interrupción, pero la caída de los datos en tiempo real puso en evidencia la alta dependencia de los mercados respecto a esta plataforma.  Y, aunque verdaderamente fuera atribuible a causas técnicas internas y no a un ciberataque externo, plantea importantes implicaciones desde el punto de vista regulatorio y jurídico.

  • En primer lugar, subraya la relevancia de los proveedores de servicios de datos financieros como infraestructuras críticas para el funcionamiento ordenado del mercado. Ello, podría motivar una revisión de su supervisión bajo el marco del Reglamento (UE) 2022/2554 (DORA), que establece requisitos de resiliencia operativa digital para entidades financieras y terceros proveedores esenciales.
  • También, subraya la relevancia de los proveedores de servicios de datos financieros como infraestructuras críticas para el funcionamiento ordenado del mercado, lo que podría motivar una revisión de su supervisión en relación con el marco del Reglamento (UE) 2022/2554 (DORA). Es decir, aunque, a día de hoy Bloomberg no está sujeto directamente a la regulación financiera como una entidad supervisada,  su papel estructural como proveedor de datos esenciales podría justificar, en un futuro, su inclusión en el perímetro regulatorio como proveedor de servicios TIC críticos, en línea con el espíritu amplio de DORA.
    • Recuérdese que el artículo 31 de DORA permite que las autoridades competentes identifiquen a determinados proveedores de servicios TIC como «proveedores terceros críticos» cuando presten servicios a un número significativo de entidades financieras o cuando el tipo de servicios prestados sea esencial para el mantenimiento de funciones críticas del sector financiero. Aunque el artículo se centra en proveedores contratados por entidades financieras sujetas a supervisión, y requiere un procedimiento formal de evaluación y designación por parte de las autoridades europeas, sugiere un marco regulatorio que podría, al menos en teoría, extenderse a plataformas como Bloomberg en la medida en que su interrupción pueda poner en riesgo la estabilidad de los mercados financieros.
  • Por otro lado, la interrupción afectó a la correcta formación de precios y ejecución de operaciones, lo que conecta con el marco del Reglamento (UE) 600/2014 (MiFIR) -en particular con los artículos 10 y 12, que regulan la transparencia pre y post-negociación para los centros de negociación y sistemas organizados de negociación, y con el artículo 18 sobre el acceso equitativo a las infraestructuras de mercado. Asimismo, el artículo 65 de la Directiva 2014/65/UE (MiFID II) exige que los centros de negociación dispongan de mecanismos eficaces para garantizar la continuidad y regularidad de la prestación de servicios y actividades de inversión, incluyendo planes de contingencia y sistemas resilientes. La disrupción plantea dudas sobre si la falta de disponibilidad de datos puede considerarse una forma indirecta de asimetría informativa o incluso de disfunción de mercado, cuya gestión podría ser exigible a los operadores en virtud de las obligaciones mencionadas . Sin olvidar el Reglamento (UE) 596/2014 (MAR), en cuanto a la obligación de transparencia pre y post negociación, así como al acceso equitativo y no discriminatorio a la información de mercado.
  • En conjunto, la situación plantea dudas sobre si la falta de disponibilidad de datos puede considerarse una forma indirecta de asimetría informativa o incluso de disfunción de mercado, cuya gestión podría ser exigible a los operadores en virtud de las obligaciones de «sistemas resilientes» previstas en MiFID II.

 

Aunque Bloomberg ha comunicado que no hubo intervención externa, este tipo de eventos podría tener repercusiones regulatorias importantes.

    • Así, la obligación de notificación de incidentes operativos mayores conforme a DORA, o el deber de comunicación inmediata a clientes institucionales, podrían convertirse en exigencias prácticas para este tipo de actores clave, aunque hoy no estén sujetos formalmente a esa normativa.
    • Además, el evento puede abrir la puerta a potenciales responsabilidades contractuales o extracontractuales por daños causados a operadores y entidades que, al carecer de acceso a datos fiables en tiempo real, pudieron tomar decisiones erróneas o incurrir en pérdidas.

Ver:

DORA en profundidad: El Reglamento Delegado (UE) 2024/1774 y la continuidad operativa en el sector financiero

En un entorno financiero profundamente digitalizado, la resiliencia operativa digital es crucial para la estabilidad del sistema y la protección de los servicios esenciales. El Reglamento Delegado (UE) 2024/1774, de 13 de marzo de 2024, desarrolla el Reglamento DORA (UE) 2022/2554, estableciendo normas técnicas de regulación (RTS) relativas a la gestión del riesgo de las TIC, la continuidad operativa y la gobernanza interna.

Objetivo y Alcance del Reglamento Delegado. 

Este desarrollo Reglamentario está orientado a garantizar la proporcionalidad y eficacia en la aplicación del DORA, con especial atención a la diversidad estructural de las entidades financieras.

Según su artículo 1, este Reglamento tiene por objeto especificar los requisitos detallados sobre:

  • Herramientas, métodos y políticas para la gestión del riesgo de las TIC (art. 4-24).
  • Estrategias y planes de continuidad operativa y recuperación (art. 2 y 3, y 25-27).
  • Gobernanza interna en relación con los riesgos TIC (art. 28-30).

Estrategia de Continuidad Operativa TIC . Los artículos 2 y 3 exigen a las entidades:

  • Identificar funciones críticas o importantes (CFI) y sus dependencias.
  • Determinar los recursos TIC necesarios y los riesgos derivados de la dependencia tecnológica.
  • Establecer mecanismos de revisión y aprobación periódica por parte del órgano de dirección.
  • Integrar la estrategia de continuidad TIC en el marco general de gestión de riesgos.

Gestión integral del riesgo TIC

Los artículos 4 a 23 del Reglamento Delegado (UE) 2024/1774 articulan un marco integral para la gestión del riesgo relacionado con las TIC, estructurado en distintos bloques temáticos que abarcan todo el ciclo de vida de los activos digitales.

En primer lugar, los artículos 5 a 11 se centran en la gestión del ciclo de vida de los activos TIC, incluyendo aspectos como el control de accesos, la segmentación de entornos, las políticas de configuración, la gestión de parches y actualizaciones, el registro de eventos, la planificación de capacidad y el uso seguro de técnicas criptográficas.

El art 9 establece que las entidades financieras deben desarrollar procedimientos específicos para la gestión de la capacidad y el rendimiento de sus sistemas TIC.

  • Estos procedimientos deben permitir determinar los requisitos de capacidad, optimizar el uso de recursos y mantener o mejorar la disponibilidad, eficiencia y previsión de necesidades tecnológicas.
  • Además, deben adaptarse a las particularidades de los sistemas que requieren procesos de adquisición complejos o que hacen un uso intensivo de recursos, garantizando así una planificación adecuada y resiliente

El Reglamento Delegado (UE) 2024/1774 profundiza en las obligaciones de seguridad que deben adoptar las entidades financieras en relación con los datos y sistemas TIC.

El artículo 10 regula la gestión de vulnerabilidades y parches.

  • En primer lugar, exige que las entidades financieras elaboren procedimientos para identificar, evaluar y mitigar vulnerabilidades, incluyendo la actualización constante de fuentes de información fiables, la realización de escaneos automatizados (al menos semanales para activos críticos), y la verificación de que los proveedores TIC gestionan adecuadamente sus propias vulnerabilidades. También se requiere el seguimiento del uso de bibliotecas de terceros, especialmente en servicios TIC esenciales, y la divulgación responsable de vulnerabilidades cuando sea necesario. Además, se deben priorizar los parches según la gravedad de la vulnerabilidad y el perfil de riesgo del activo afectado, y registrar todas las vulnerabilidades detectadas junto con su resolución.
  • En cuanto a la gestión de parches, el artículo exige procedimientos que permitan identificar y evaluar actualizaciones mediante herramientas automatizadas, establecer protocolos de emergencia, probar e implementar los parches conforme a las normas de seguridad y definir plazos claros para su instalación. En caso de incumplimiento de estos plazos, deben existir mecanismos de escalado jerárquico para su resolució

Además, concreta en su artículo 11 la necesidad de establecer procedimientos específicos para salvaguardar la integridad, confidencialidad y disponibilidad de la información.

  • Dichos procedimientos deben ser coherentes con la clasificación de datos establecida conforme al Reglamento DORA e incluir medidas técnicas y organizativas que garanticen configuraciones seguras, restricción de accesos, control de software autorizado, protección frente a códigos maliciosos y uso controlado de dispositivos.
  • También se exige prestar especial atención a entornos de teletrabajo y a la gestión de activos operados por terceros, respetando en todo momento el principio de responsabilidad plena de la entidad financiera respecto de sus proveedores de servicios TIC.
  • Asimismo, se prevén requisitos precisos sobre la eliminación segura de datos y soportes, así como sobre la prevención de fugas de información y el aseguramiento de la resiliencia digital.

Complementariamente, el artículo 12 impone un marco riguroso para la gestión de registros, como salvaguarda frente a intrusiones y usos indebidos. Las entidades deben identificar qué hechos registrar, han de proteger la integridad de los datos y tienen que garantizar su conservación durante periodos adecuados, en función de la finalidad del registro y del nivel de riesgo asociado. La trazabilidad debe extenderse al acceso lógico y físico, al rendimiento de redes, a la gestión de la capacidad y al ciclo de vida de los sistemas TIC. Para asegurar la fiabilidad y utilidad de estos registros, el Reglamento exige mecanismos contra la manipulación o el acceso no autorizado, así como la sincronización precisa del tiempo en todos los sistemas, asegurando su coherencia con fuentes de referencia fiables.

 En los artículos 17 a 19, el Reglamento trata específicamente la seguridad de redes y sistemas de información (SGSI), con énfasis en la protección frente a ciberamenazas, la implementación de mecanismos de autenticación robusta y el despliegue de medidas de defensa en profundidad. Por su parte, los artículos 20 a 23 regulan la gestión del desarrollo y mantenimiento de software, exigiendo procedimientos seguros durante las fases de desarrollo, prueba y modificación tanto de software propio como de soluciones de terceros.

Políticas y  Planes de continuidad operativa.

Los artículos 24 a 26 del Reglamento Delegado (UE) 2024/1774 desarrollan de forma precisa los requisitos que deben cumplir las políticas y planes de continuidad operativa en materia de TIC.

  • El artículo 24 establece el contenido mínimo que deben incluir dichas políticas, tales como los objetivos perseguidos, sus eventuales limitaciones, los criterios para su activación y desactivación, así como los procedimientos de comunicación tanto interna como externa en situaciones de crisis. Asimismo, exige la definición de escenarios de disrupción y de objetivos concretos de recuperación, la planificación de pruebas periódicas y su validación documental.
    • Estas políticas deben estar armonizadas con las relativas a la subcontratación, en línea con lo dispuesto en el artículo 28 del propio Reglamento.
  • Por su parte, el artículo 25 impone la obligación de realizar pruebas de los planes de continuidad TIC al menos una vez al año. Estas pruebas deben estar basadas en análisis de impacto en el negocio y contemplar escenarios graves pero verosímiles. Además, deben incluir simulaciones que involucren a terceros proveedores de servicios TIC, lo que refuerza la preparación frente a fallos externos. Es fundamental que los resultados de estas pruebas se documenten adecuadamente, que se subsanen las deficiencias detectadas y que cualquier fallo material se comunique sin demora al órgano de dirección.
  • El artículo 26 exige que las entidades dispongan de planes de respuesta y recuperación ante incidentes TIC que definan con claridad las condiciones de activación, aseguren la restauración de la disponibilidad e integridad de los sistemas críticos y contemplen alternativas operativas cuando las medidas primarias no sean viables. Estos planes deben abordar también la respuesta ante incidentes complejos como fallos de infraestructuras, ciberataques o pandemias, e incluir tiempos objetivos de recuperación (RTOs) claramente definidos para cada función crítica o importante (CFI).

Mongolfiera

Los requisitos reforzados para ciertas entidades se contemplan en el art 27:

  • Contrapartes centrales (CCPs): recuperación de servicios esenciales en un máximo de 2 horas, con centros de respaldo en ubicaciones geográficas con riesgo diferenciado.
  • Depositarios centrales de valores (CSDs): enfoque de continuidad con especial atención a sus interdependencias sistémicas.
  • Centros de negociación: capacidad de reanudar operaciones en menos de 2 horas, con pérdida mínima de datos.

Por otro lado, los artículos 28 a 30 establecen las bases de la gobernanza interna y el control del riesgo TIC, señalando que el órgano de dirección de cada entidad es el responsable último del marco de gestión implantado. Este marco debe estar respaldado por una clara asignación y documentación de funciones, garantizar la formación continua y la competencia técnica del personal implicado, así como prever la existencia de una función de auditoría interna independiente que verifique regularmente el cumplimiento de las obligaciones establecidas en materia de riesgo TIC.

Gobernanza Interna y control 

Los artículos 28 a 30 del Reglamento Delegado (UE) 2024/1774 establecen los principios de gobernanza y supervisión interna del marco de gestión del riesgo relacionado con las TIC en las entidades financieras.

  • En primer lugar, el artículo 28 atribuye al órgano de dirección la responsabilidad última sobre la gestión del riesgo TIC. Este órgano debe aprobar y revisar periódicamente el marco de gestión del riesgo, asegurando su adecuación a la naturaleza, escala y complejidad de la entidad. Además, debe supervisar su aplicación efectiva y garantizar que se disponga de los recursos necesarios para su implementación.
  • El artículo 29 exige que las funciones y responsabilidades relacionadas con la gestión del riesgo TIC estén claramente asignadas, documentadas y comunicadas dentro de la organización. Esto incluye tanto a los niveles operativos como a los de supervisión, con el fin de evitar solapamientos o lagunas en la gestión. Asimismo, se establece que el personal implicado debe contar con la formación continua y la competencia técnica adecuadas, lo que implica programas de capacitación adaptados a los riesgos y tecnologías emergentes.
  • Por último, el artículo 30 impone la obligación de contar con una función de auditoría interna independiente, encargada de evaluar periódicamente la eficacia del marco de gestión del riesgo TIC. Esta auditoría debe ser objetiva, estar debidamente documentada y sus resultados deben comunicarse al órgano de dirección. Además, debe incluir recomendaciones para corregir deficiencias y hacer seguimiento de su implementación.

ESMA publicó sus directrices para prevenir el abuso de mercado en criptoactivos, en desarrollo del Reglamento MiCA

ESMA publica , el 29 abril 2025, directrices para prevenir el abuso de mercado en criptoactivos, en desarrollo del Reglamento MiCA

 

Se trata del  Informe Final sobre las Directrices relativas a las prácticas de supervisión para prevenir y detectar el abuso de mercado en virtud del Reglamento (UE) 2023/1114 sobre los mercados de criptoactivos (MiCA)) .  Este documento constituye una pieza importante en la regulación europea para los criptoactivos. Establece un marco armonizado de actuación para las autoridades nacionales competentes (NCAs) a los efectos de prevenir prácticas abusivas en los mercados de criptoactivos. La publicación se enmarca en el proceso de implementación progresiva del Reglamento (UE) 2023/1114 (MiCA).

Antecedentes

MiCA establece normas uniformes para el mercado de criptoactivos en la UE, un tipo de activos que hasta entonces carecía de regulación (se incluyen en su ámbito los tokens de referencia de activos y los tokens de dinero electrónico),. La regulación abarca la transparencia, la divulgación, la autorización y la supervisión de las transacciones para la protección del mercado y de los consumidores.

Las disposiciones de MiCa se aplican a cualquier persona que realice actos relacionados con criptoactivos admitidos a negociación o respecto de los cuales se haya presentado una solicitud de admisión a negociación, independientemente de que dichas operaciones se realicen o no en una plataforma de negociación, y tanto si se realizan en la UE como en terceros países .El abuso de mercado puede revestir  la forma de utilización de información privilegiada (arts 87 a 90 MiCa), o de otros tipos de manipulación (art 91 MICA)

MiCa reconoce como “información privilegiada” aquella de carácter concreto, aún no divulgada públicamente, que se refiera a emisores, oferentes, solicitantes de admisión a negociación o a los propios criptoactivos, y cuya publicación pudiera afectar significativamente su cotización. Esta definición incluye también información concreta transmitida por clientes respecto a órdenes pendientes. Se exige que los emisores, oferentes o solicitantes de admisión a negociación hagan pública, con prontitud y de forma comprensible, la información privilegiada que les concierna directamente, garantizando su disponibilidad durante al menos cinco años en sus sitios web. Se admite, no obstante, la posibilidad de retrasar su publicación bajo determinadas condiciones, siempre que se preserven la legitimidad del interés, la claridad informativa y la confidencialidad, debiendo informar posteriormente a la autoridad competente y justificar el cumplimiento de los requisitos. Asimismo, se prohíbe expresamente el uso de información privilegiada para operar en el mercado, ya sea mediante adquisición, cesión o transmisión de criptoactivos, incluidas las recomendaciones o incitaciones a terceros para actuar basándose en dicha información. Con estas disposiciones, MiCA busca consolidar un marco homogéneo en la Unión Europea que preserve la integridad y transparencia del incipiente mercado de criptoactivos, equiparándolo en garantías a los mercados financieros tradicionales.

Luminaria, Pisa

Las directrices se fundamentan en dos disposiciones esenciales:

  • En primer lugar, el artículo 92(3) del Reglamento MiCA, que faculta expresamente a la ESMA para emitir directrices dirigidas a las autoridades nacionales con el fin de garantizar una aplicación coherente de las obligaciones relativas a la prevención del abuso de mercado. Los apartados 1 y 2 del mismo precepto, además, imponen a los proveedores de servicios de criptoactivos (CASPs) y a los emisores, la obligación de establecer sistemas eficaces para prevenir y detectar conductas como la manipulación de mercado, el uso indebido de información privilegiada o la difusión de información engañosa.
  • En segundo lugar, en el artículo 16 del Reglamento (UE) n.º 1095/2010, que regula el funcionamiento de la ESMA y le otorga la competencia para emitir directrices y recomendaciones dirigidas tanto a las autoridades como a los participantes del mercado, con el objetivo de fomentar prácticas supervisoras coherentes y eficaces en toda la Unión Europea.

Entre las diferentes medidas previstas en MiCA, las entidades deben adoptar y cumplir con una política de prevención y prohibición de abuso de mercado, y sus comportamientos relativos a esa política y prohibiciones serán supervisadas por los estados.

El objetivo principal de estas directrices es proporcionar a las Autoridades Estatales que supervisan la aplicación de MICA y, en concreto, las prohibiciones de abuso un marco metodológico común para supervisar los mercados. Y, más específicamente, los mercados de criptoactivos, teniendo en cuenta las particularidades de este sector. Entre los riesgos específicos que se abordan destacan la naturaleza transfronteriza de los criptoactivos, que dificulta la trazabilidad de las operaciones; el uso intensivo de redes sociales; y la alta volatilidad y opacidad de ciertos instrumentos, que pueden facilitar conductas abusivas difíciles de detectar con los métodos tradicionales de supervisión.

Las directrives se estructuran en torno a ocho principios operativos:

  • El primero es el de proporcionalidad, que exige adaptar las medidas de supervisión al perfil de riesgo y a las características del mercado supervisado.
  • El segundo principio establece un enfoque general de prevención y detección, que insta a las autoridades a adoptar estrategias proactivas y coordinadas.
  • El tercer principio promueve la integración de prácticas existentes, especialmente aquellas desarrolladas bajo el Reglamento de Abuso de Mercado (MAR), lo que permite aprovechar la experiencia acumulada en mercados financieros tradicionales.
  • El cuarto principio aboga por una cultura supervisora común, basada en la cooperación entre autoridades y en el intercambio de información y buenas prácticas.
  • El quinto principio introduce una supervisión basada en riesgos, que implica priorizar recursos en función de los riesgos más relevantes.
  • El sexto principio fomenta un diálogo abierto con el mercado, para identificar riesgos emergentes y promover el cumplimiento normativo.
  • El séptimo principio impulsa iniciativas de promoción de la integridad del mercado, como campañas de concienciación y formación. Finalmente, el octavo principio recomienda el uso de herramientas tecnológicas avanzadaspara la vigilancia y el análisis de datos en tiempo real, con el fin de detectar patrones sospechosos de comportamiento.

Conforme al procedimiento establecido en el artículo 16 del Reglamento de la ESMA, las autoridades nacionales deberán notificar a ESMA , en un plazo de dos meses, si cumplen, si tienen la intención de cumplir, o si no seguirán las directrices. Esta obligación de notificación permite a la ESMA evaluar el grado de armonización en la aplicación del Reglamento MiCA en los distintos Estados miembros.

Ver

  • ECHEBARRÍA SAENZ, M.,»El abuso de mercado en la propuesta de Reglamento MiCA”, Guía de Criptoactivos MICA, Madrid Parra, A. Pastor Sempere, C. (Dir), Thomson-Reuters-Aranzado, 2021
  • TAPIA HERMIDA, A ,https://ajtapia.com/2024/09/criptoactivos-la-aplicacion-del-reglamento-europeo-sobre-mercados-de-criptoactivos-reglamento-mica-a-partir-del-30-de-diciembre-de-2024-5-funcionamiento/

 

 

Accionistas y política ambiental: Acceso a documentos de un banco para verificar el cumplimiento de las declaraciones ambientales

En este breve comentario se presta atención a una solicitud de acceso a documentos corporativos, por parte de un grupo de accionistas de un banco australiano. Se trataba de averiguar la fidelidad y verdad de las declaraciones de los representes del banco en relación con el cumplimiento de sus políticas medioambientales y sociales, especialmente en lo relativo a ciertos requisitos de las inversiones.

En 2019, el Commonwealth Bank of Australia (CBA) anunció públicamente su

Azaleas

Marco Medioambiental y Social, que incluía el  compromiso de que (sus)  políticas de préstamos empresariales apoyarán la transición responsable hacia una economía de emisiones netas cero para 2050, para lo cual… solo prestaremos servicios  bancarios y de financiación en el sector de los proyectos de explotación de petróleo, gas o carbón fósil cuando estén respaldados por una evaluación de los impactos ambientales, sociales y económicos de dicha actividad que demuestre su coherencia con los  objetivos del Acuerdo de París.

En este contexto, los señores Guy y Kim Abrahams accionistas del banco y representantes (fideicomisarios) del Abrahams Family Trust observaron que algunas inversiones que se estaban realizando suscitaban dudas en cuanto a su compatibilidad y coherencia con la declarada política ambiental del banco.

  • El banco estaba, en efecto, proporcionando más de 50 millones de dólares (septiembre de 2019) abriendo una línea de crédito de 545 millones de dólares para la construcción y desarrollo inicial del nuevo gasoducto Permian Highway Pipeline, de 692 km. Esta infraestructura ya ha sido terminada y transporta 2. 1.000 millones de pies cúbicos diarios de gas natural a través de Texas, en Estados Unidos.
  • Además CBA era uno de los promotores y miembros principales  de un sindicato de préstamos que proporciona financiación (deuda) por valor de 1.050 millones de dólares para construir nuevos buques de GNL por parte de Gaslog Ltd (2019)
  • También lideraba el pool de financiadores para los nuevos buques de GNL de FLEX LNG Ltd de (2020), entre otros proyectos 

El 26 de agosto de 2021, Guy y Kim Abrahams  presentaron una solicitud ante el Tribunal Federal de Australia para acceder a documentos del banco, apoyándose  en lo dispuesto en la Ley de Sociedades de Australia de 2001. Concretamente pedían acceder a documentos vinculados con la  participación del banco en los mencionados proyectos (y en otros que suscitaban similares preocupaciones).  A raíz de la audiencia de 4 de noviembre de 2021, el Tribunal Federal de Australia accedió a la solicitud de inspección de documentos, estableciendo los periodos y etapas al efecto (entre el 9 de diciembre de 2021 y el 10 de febrero de 2022).

 

Primeros desarrollos reglamentarios y de normas técnicas de DORA. Listados

Las normas de desarrollo del DORA, aprobadas por la Comisión Europea  con el apoyo en las normas técnicas de las autoridades independientes financieras  han sido ya en su mayoría  adoptadas, o al menos han sido publicadas los borradores finales de normas técnicas:

Rio Arno, Luminaria, di San Rainieri, 2024

 

 

¿Es viable una supervisión centralizada de los proveedores TIC para sector financiero? Informe ESMA

La creciente dependencia de las entidades financieras en tecnologías digitales ha incrementado la exposición a riesgos cibernéticos. Como es sabido, el Reglamento (UE) sobre Resiliencia Digital Operativa (DORA) establece un marco regulatorio para reforzar la resiliencia digital del sector financiero, exigiendo la notificación de incidentes TIC significativos a las autoridades competentes. Actualmente, estas notificaciones se realizan a nivel nacional, lo que puede generar dificultades en la supervisión que de lugar a respuestas descoordinadas dentro de la UE. En cambio, parecería que la centralización de la notificación de incidentes TIC tendría impacto significativo en la resiliencia digital del sector financiero especialmente en el sentido de fortalecer la confianza en la seguridad de los sistemas financieros europeos.

Sanabria. Desde el restaurante del camping

Sobre la base de tales reflexiones, el 17 de enero de 2025, las tres Autoridades Europeas de Supervisión (EBA, EIOPA y ESMA) publicaron un informe conjunto sobre la viabilidad de una mayor centralización en la notificación de incidentes importantes relacionados con las Tecnologías de la Información y la Comunicación (TIC) . El informe plantea la pregunta de si sería viable una mayor centralización en la notificación de incidentes significativos relacionados con las Tecnologías de la Información y la Comunicación (TIC) dentro del sector financiero de la Unión Europea (UE). Esta evaluación se lleva a cabo en el marco del Artículo 21 de la Ley de Resiliencia Operativa Digital (DORA) . Destaca la necesidad de mejorar la eficiencia y coherencia en la notificación de incidentes TIC dentro del sector financiero a cuyos efectos formula tres posibles modelos sobre los que analiza su viabilidad:

  • Modelo de referencia básica (baseline): consiste en mantener las estructuras actuales de notificación de incidentes sin cambios significativos, aunque con ciertas mejoras en los estándares de notificación. En este modelo, cada entidad financiera continuaría notificando incidentes TIC a su autoridad nacional competente, que luego transmitiría la información a las autoridades europeas de supervisión. Aunque este modelo respeta la estructura regulatoria actual, su principal desventaja es la falta de una respuesta coordinada a nivel europeo y posibles duplicaciones en la notificación.
  • Modelo mejorado intercambio de datos: cuya esencia radica en la introducción de mecanismos avanzados para compartir información entre las autoridades competentes. Resultaría aparentemente sencillo de poner en marcha , dado que no exige grandes cambios en la arquitectura de las notificaciones. Sin embargo, su mayor coste y dificultad técnica deriva de que actualmente existen distintos modelos y estándares nacionales cuya armonización exige esfuerzos e inversión. Y cuya perfecta compatibilidad no está garantizada a día de hoy.
  • Modelo totalmente centralizado que plantea la creación de una plataforma única en toda la Unión Europea para la recopilación y gestión de informes de incidentes relacionados con las TIC. Conforme a este planteamiento, las entidades financieras reportarían directamente a un organismo central, eliminando la necesidad de notificaciones a nivel nacional. La mayor centralización, además de viable, ofrece ciertos beneficios. Con todo, también identifica que la alta concentración de información sensible conlleva un mayor riesgo de pérdida de datos, lo que requeriría la puesta en marcha de controles integrales de seguridad de la información en una solución centralizada. Y, que implica retos significativos en términos de costos y armonización regulatoria.

El estudio, que  ha sido remitido al Parlamento Europeo, al Consejo Europeo y a la Comisión Europea para su consideración en futuros desarrollos regulatorios formula recomendaciones clave, que incluyen:

  • Evaluación de costos y beneficios antes de poner en marcha cualquier cambio en la estructura de notificación.
  • Desarrollo de infraestructura tecnológica que facilite la interoperabilidad entre sistemas nacionales y europeos.
  • Promoción de la cooperación regulatoria para garantizar una transición eficiente hacia modelos más centralizados.

La Comisión Nacional del Mercado de Valores (CNMV) de España realizó (poco antes de haberse hecho público el informe mencionado, un ejercicio de autoevaluación con 245 entidades financieras para evaluar su preparación ante la entrada en vigor de DORA. El informe reveló buenas medidas de gobernanza y ciberseguridad en general, pero también identificó carencias en la gestión de incidentes y en la gestión del riesgo de proveedores de servicios TIC, especialmente en entidades de menor tamaño que no pertenecen a un grupo.

 

 

Responsabilidad ambiental de sociedades y de sus administradores. RU (II)

Fundamentos para la exigencia de responsabilidad ambiental contra administradores. A propósito de  Reino Unido (II)

 

  • Incumplimiento de deberes (fiduciarios) de los administradores. Como ejemplo cabe recordar que, en marzo de 2024, la ONG ClientEarth anunció que estaba dando el primer paso para iniciar acciones legales en el Reino Unido contra 13 de los directores de Shell, alegando incumplimientos de los deberes de los administradores y directivos por no haber preparado suficientemente el riesgo de transición de Shell a cero emisiones netas. Si el caso prospera, será el primero en el Reino Unido en el que se pretenda responsabilizar personalmente a los consejeros por no haber gestionado adecuadamente el riesgo climático. Ver.
    • El principal fundamento jurídico sustantivo consistió en la acusación de infracción de deberes de los administradores, dado que el artículo 172 de la Ley de Sociedades de 2006 exige a los administradores que actúen de la forma más adecuada para promover el éxito de la empresa, teniendo en cuenta el impacto sobre la comunidad y el medio ambiente. Para ello, los administradores deben actuar con la diligencia, destreza y cuidado razonables.
    • Conforme a los demandantes, los administradores habrían debido adoptar medidas para abordar cuestiones medioambientales como el cambio climático para evitar daños o pérdidas causados a la sociedad.
    • Esta reclamación de la ONG ClientEarth contra los miembros del consejo de Shell por no haber aplicado políticas adecuadas para cumplir las obligaciones de cero emisiones netas poniendo así en peligro el valor a largo plazo de Shell .
  • Otras reclamaciones climáticas pueden derivar de la falta de trasparencia corporativa como ponen de manifiesto los trabajos del Grupo de Trabajo sobre Divulgación de Información Financiera Relacionada con el Clima (TCFD).
    • Desde su publicación en 2017, las recomendaciones del TCFD han sido adoptadas por numerosas organizaciones, convirtiéndose en un estándar de facto para la divulgación de información financiera relacionada con el clima. Se estructuran en torno a :
      • Gobernanza: Divulgar la gobernanza de la organización en torno a los riesgos y oportunidades relacionados con el clima
      • Estrategia: Divulgar los impactos reales y potenciales de los riesgos y oportunidades relacionados con el clima en los negocios, la estrategia y la planificación financiera de la organización
      • Gestión de riesgos: Divulgar cómo la organización identifica, evalúa y gestiona los riesgos relacionados con el clima.
      • Métricas y objetivos: Divulgar las métricas y objetivos utilizados para evaluar y gestionar los riesgos y oportunidades relacionados con el clima.
    • Incluso si estas recomendaciones son autoasumidas por las empresas,  existen importantes obstáculos jurídicos para presentar demandas por falta de trasparencia (o por informaciones erróneas)  sobre riesgos climáticos pues, esa información tendría que estar dirigida a un demandante específico que se hubiera apoyado en ella y que, en consecuencia hubiera sufrido daños. La individualización de los efectos parece poco probable a la luz de la documentación que cumplimentan las empresas en relación con los riesgos climáticos (que suene ser informes de tipo general).
  • Alternativamente, se podría presentar una demanda en el Reino Unido  en virtud de la sección 90A de la Ley de Servicios y Mercados Financieros de 2000 (FSMA), que se ocupa de la información errónea publicada que afecta al mercado. Sin embargo, este tipo de demandas sólo pueden interponerse contra un emisor concreto y siempre que su actuación (o la de sus dirigentes responsables de la publicación de información ) sea deshonesta o temerariamente imprudente temeraria dando lugar a inexactitues en la información.

Defensas y protección de los administradores frente a la exigencia de responsabilidad por daños ambientales

 

Garexo no verán

Garexo no verán

  • La sección 463 de la Ley de Sociedades del Reino Unido de 2006 ofrece un posible puerto seguro para los administradores. En virtud de esta disposición, sólo serán responsables ante la empresa por la información contenida en el informe de gestión, el informe de remuneración de los directores, el informe estratégico, la declaración de gobierno corporativo (u otros informes corporativos preceptivos) ,  en la medida en que conociesen que la información es inexacta o falsa  (o si  ignorasen,  por su propia negligencia, que la declaración era falsa o deshonesta (sección 90A).
Corporate Indemnification (y límites)
  • Algunos administradores se benefician de una indemnización corporativa pactada. O pueden resultar protegidos mediante la contratación de seguros. Sin embargo, existen una serie de límites a estas protecciones. Aunque está admitido que la sociedad puede pagar los costes de los administradores derivados de su defensa en procedimientos civiles (corporate indemnification),  si se dicta sentencia firme contra el administrador o administradores en cuestión, dichas sumas deben ser reembolsadas.
  • Ello es así porque artículo 232 de la Ley de Sociedades de 2006 prohíbe a las sociedades indemnizar a los administradores por su responsabilidad por negligencia, incumplimiento, vulneración del deber o abuso de confianza en relación con la sociedad o una de su grupo.
  • Por otro lado, es lícito que la sociedad financie los gastos de defensa de los administradores en procedimientos iniciados por la autoridad reguladora. Pero, no le está permitido indemnizar al administrador por las sanciones impuestas por la autoridad reguladora (ni abonarlas).
Seguros
  • Las pólizas de administradores y directivos (D&O) aseguran a los administradores (tanto ejecutivos como no ejecutivos) y/o a los directivos corporativos frente a su responsabilidad y a los costes de defensa. La cobertura ofrecida suele ampliarse para cubrir investigaciones, incluidas las penales, reclamaciones relacionadas con mercados de valores, entre otras.
  • Los litigios climáticos contra empresas y sus directivos han implicado hasta la fecha la articulación novedosa de causas  que se hacen valer en procedimientos clásicos (como el incumplimiento de deberes fiduciarios y estatutarios, acciones derivadas, reclamaciones sobre folleto, e investigaciones del regulador) , Estos procedimientos entran de lleno en las que pudieron ser diseñadas en las pólizas de D&O.

Mas:

 

¿Responsabilidad civil de administradores por incumplimientos que perjudican al medio ambiente?. Reino Unido.

autumn trecking

En varias jurisdicciones, como la británica,  la responsabilidad civil de administradores por daños ambientales ha alcanzado los tribunales. Ya contamos con alguna jurisprudencia sobre ese tema.

ClientEarth v Shell. La ONG verde ClientEarth reclamó la responsabilidad civil de los consejeros de la energética Shell. Les acusaba de no haber hecho lo necesario para preparar la transición energética en esa compañía y grupo.

En su calidad de accionista minoritario de Shell, la organización ecologista alegó que los administradores habían incumplido las obligaciones que les impone la Ley de Sociedades del Reino Unido (Companies Act , CA, de 2006). Las pretensiones de la demandante fueron desestimadas, con condena en costas contra ClientEarth. Este asunto es también comentado aquí

McGaughey  v Universities Superannuation Scheme. En 2023, los tribunales británicos desestimaron una demandar presentada por beneficiarios del llamado Universities Superannuation Scheme (USS), un fondo de pensiones de empleo. Argumentaban los reclamantes que los administradores de la gestora de USS había incumplido sus obligaciones al seguir invirtiendo en combustibles fósiles. Se trata del asunto McGaughey & Anor v Universities Superannuation Scheme Ltd & Ors [2023] EWCA Civ 873 (21 July 2023) , dirimido ante el Court of Appeal o Tribunal de Apelación en una decisión que puede leerse aquí

El University Superannuation Scheme (USS) es uno de los mayores planes de pensiones  privados del Reino Unido (planes de pensiones de empleo). Se especializa en las prestaciones de jubilación al personal académico y similar de las universidades y otras instituciones de enseñanza superior. El fondo está administrado por su fideicomisario corporativo, una gestora denominada Universities Superannuation Scheme Limited («USSltd»). Esta gestora adopta una forma de personificación corporativa vigente en Reino Unido, que permite la creación de sociedades limitadas por garantía y sin que sus socios sean titulares de partes alícuotas del capital social.

Los demandantes, personal académico de las universidades, eran partícipes en el USS. Canalizaron sus pretensiones solicitando ante los tribunales que se tuviese por interpuesta una demanda derivativa (es decir, en beneficio de USSltd), contra los administradores de la misma sociedad. Acusaban a éstos de haber incumplido sus deberes como tales administradores, y apoyaban su reclamación en una serie de argumentos:

  • Por un lado, que pese al objetivo publicamente declarado de la USS ltd de que sus fondos alcanzasen la neutralidad («carbono neutral») en 2050, el USS continúa invirtiendo en combustibles fósiles y los administradores de la gestora no habían puesto en marcha ningún plan de desinversión. Por ello, los demandantes consideraban que los administradores incumplían las obligaciones establecidas en los artículos 171 y 172 de la CA de 2006.
  • Por otro que con su comportamiento, los administradores de la gestora no tuvieron en cuenta una serie de consideraciones pertinentes, incluidos los resultados de una encuesta que se había realizado a los miembros partícipes del fondo en relación con aspectos éticos y con sus preferencias de inversión.
  • También aducían que los intereses a largo plazo de la sociedad USSltd y del fondo  podrían satisfacerse mediante «un programa inmediato de desinversión» , resultando, según los demandantes, que la única «medida racional» que los administradores podían adoptar en virtud de los artículos de la CA de 2006 que regulan obligaciones de administradores (arts 171 y 172) consistía en «idear y aplicar dicho programa lo antes posible».
  • Que carecer de «un programa inmediato de desinversión» había perjudicado el éxito de la sociedad, que había sufrido pérdidas como consecuencia de ello.
  • Además, los relamantes alegaban que los administradores  de la sociedad gestora del fondo habían antepuesto sus propias creencias con respecto a los combustibles fósiles, por encima de las preferencias e intereses de los beneficiarios y de la propia sociedad.

En suma, los demandantes solicitaban que se declarase que la ausencia de «un programa inmediato de desinversión» constituía un incumplimiento de los deberes estatutarios y fiduciarios, y que tales incumplimientos causaron pérdidas a la sociedad.

Las pretensiones de los reclamantes no tuvieron exito y el Court of Appeal estableció una serie de conclusiones:

  • La acción que se intentó hacer valer no puede caracterizarse como una acción derivativa dado que no cumple los requisitos de este tipo de petición, conforme al ordenamiento jurídico británico. Señalaba el Tribunal que no existían prima facie, daños causados o pérdidas para la sociedad como resultado de las supuestas infracciones de los deberes de los administradores. Y por lo tanto, no era procedente la interposición de una acción derivativa a favor de USSltd.
  • Los demandantes tampoco evidenciaron mala fe de los administradores, ni que hubieran actuado de modo distinto a lo que consideraban el mejor interés de la sociedad o del fondo de pensiones USS.
  • El criterio de los administradores se había formado tras haber recibido el asesoramiento adecuado, como  corresponde a una administración diligente.
  • Los demandantes no habían probado que las supuestas infracciones de los administradores favorecieran sus propios intereses. Ni tampoco, que las acciones de los administradores se realizasen anteponiendo las propias convicciones de éstos con respecto a los combustibles fósiles, por encima de los intereses de los beneficiarios y de la sociedad. En suma, si bien los demandantes ponían en cuestión la gestión de la sociedad fideicomisaria y sus decisiones de inversión, sus argumentos carecían de fundamento. Nada sugería que hubieran ejercido sus poderes de forma indebida.

El Court of Appleal añadió que las reclamaciones podrían haber sido sustanciadas por otra vía procesal más adecuada. Concretamente, podría haberse formulado como una demanda directa por abuso de confianza, vía procesal disponible en Reino Unido. Para objetar frente a la política de inversión de una sociedad gestora de fondos la demanda directa, con sus exigencias procesales, podría haber tenidido más razón de ser.  En su lugar, interpusieron una acción derivativa, que permitiría ahorrar ciertos trámites procesales, pero que no es la vía procesal adecuada en este asunto.

Litigios de inversión en valores (security litigation)

En mayo de 2024, los inversores institucionales de Boohoo Group PLC presentaron una demanda colectiva de valores solicitando una indemnización de alrededor de 100 millones de libras esterlinas por las pérdidas financieras causadas por la no divulgación por parte de la empresa de violaciones de los derechos humanos y de la esclavitud moderna en las fábricas de sus proveedores, que, cuando se expusieron en la prensa, hicieron que el precio de las acciones cayera más de un 40%.

Los inversores pretenden recuperar estas pérdidas, alegando que se derivan de las declaraciones u omisiones falsas o engañosas sobre la empresa. Ciertamente, su demanda aborda cuestiones ASG más amplias. Pero, cuando esté resuelta las conclusiones serán aplicables a la supuesta falta de divulgación o tergiversación de cualquier riesgo material, incluido el riesgo climático. Se trata de la primera demanda de valores de este tipo (de la que se tiene noticia) en el Reino Unido.

  • Más sobre este asunto aquí.

 

Iluminación navideña

Guías y Recomendaciones Soft

Más allá de los asuntos judicializados, en 2023 la Law Society publicó una guía para abogados sobre cómo asesorar a los consejos de administración de las empresas sobre el riesgo climático. Esta guía constituye un marco para ayudar a las empresas a evaluar su impacto mediambiental (ver la noticia publicada en The Guardian).

Sin olvidar que un creciente número de empresas está adoptando las recomendaciones del Grupo de Trabajo sobre Divulgación de Información Financiera Relacionada con la Naturaleza para lograr una mayor transparencia sobre sus riesgos relacionados con la naturaleza (ver aquí las recomendaciones)

 

Más información: The transformation of European climate litigation (LSE/Grantham Research Institute on Climate Change and the Environment)

Entrada realizada con el apoyo del Proyecto orientados a la transición ecológica y a la transición digital, financiado por el Ministerio de Ciencia e Innovación, Agencia Estatal de Investigación. Proyecto competitivo nacional, con referencia:  TED2021-130344B-I00, titulado DESAFÍOS Y RETOS DE LA ORDENACIÓN DE LAS INNOVACIONES DE CAMBIO CLIMÁTICO,

 

 

 

Los Estados de Información No Financiera, fundamento normativo y actualidad en el Informe anual de 2023 de la CNMV

Galería

La Comisión Nacional del Mercado de Valores (CNMV) ha publicado el “Informe sobre la supervisión por la CNMV de la información no financiera y principales áreas de revisión del ejercicio siguiente. Ejercicio 2022”. La obligatoriedad de elaborar el Estado de … Sigue leyendo

Actualizando – a propósito de la ciberseguridad en mercados de valores. EEUU

Con motivo de una intervención , estos días, en el I Encuentro INCIBE de Académicos  en materia de Ciberseguridad y Derecho, se retoma y actualiza una antigua entrada de agosto de 2017

Decíamos que en EEUU la Regulation Systems Compliance and Integrity , RSCI un reglamento que había sido aprobado por la Securities and Exchange Commission, SEC, en 2014. El objetivo principal del RSCI es lograr un funcionamiento seguro de los sistemas tecnológicos de los  «participantes clave del mercado». La RSCI fue objeto de atención mediática y constituyó una respuesta a los incidentes y fallos en la seguridad y funcionamiento de sistemas informáticos que habían sido comunicados, o que se habían hecho evidentes. De modo muy particular responde a los que condujeron al llamado flash «crash» de 6 de mayo de 2010. 

La SEC ya -antes de 2015- contaba con una línea de política estratégica de seguridad basada en principios voluntarios (Política de Revisión de la Automatización, ARP) , que incluía inspecciones de vigilancia tecnológica. Además, la Government Accountability Office había recomendado introducir normas obligatorias, así como mayores controles y supervisión de los sistemas informáticos con incidencia en la actividad de los mercados. La RSCI avanza en esa línea:

    • Los sistemas de cumplimiento y de integridad a los que refiere a RSCI consisten en mecanismos informáticos y procedimientos pautados que se utilizan en procesos digitales desarrollados en los centros de negociación y en su entorno. Se despliegan sobre la negociación, la liquidación, el enrutamiento de ordenes, los datos operativos y de supervisión de mercado, entre otros.
    • La RSCI impone que las entidades aprueben políticas y pongan en marcha procedimientos escritos para proteger su capacidad operativa (incluyendo pruebas regulares para identificar fallos y amenazas). Deben garantizar que cuentan con «niveles de capacidad, integridad, resiliencia, disponibilidad y seguridad adecuados para mantener su capacidad operativa, y para interactuar en mercados ordenados”. Se les impone, además, estrictas obligaciones de notificación al supervisor de mercados (SEC), y de difusión de información entre sus propios administradores y altos ejecutivos, y entre  los miembros o partes que se relacionen con la entidad, además de deberes de registro de los incidentes y de las medidas de cumplimento.
    • El vigente Reglamento exige a las entidades sujetas, entre otras cosas: disponer de políticas y procedimientos exhaustivos diseñados razonablemente para garantizar que sus sistemas tengan los niveles de capacidad, integridad, resistencia, disponibilidad y seguridad adecuados para mantener la capacidad operativa y promover el mantenimiento de unos mercados justos y ordenados; adoptar las medidas correctivas apropiadas en respuesta a los problemas de los sistemas; proporcionar notificaciones e informes a la Comisión diseñados para facilitar la supervisión de la tecnología del mercado de valores; difundir información sobre los problemas de los sistemas a las partes afectadas; realizar una revisión anual de las políticas y procedimientos de las entidades sujetas. Estas entidades también tendrán que realizar pruebas coordinadas de continuidad de la actividad y pruebas de recuperación en caso de catástrofe (BC/DR), sobre ambas tendrán que crear, mantener y conservar registros.
    • En relación con los marcos tecnológicos, como no existían referencias tecnológicas totalmente fiables se presume que son seguras las disposiciones que se vayan aprobando para el sector financiero por el gobierno de los Estados Unidos u otra «organización ampliamente reconocida”

Paraninfo Gordón Ordás. Universidad de León

Actualmente el RSCI entrado en un proceso de reforma: En 2023 la SEC propuso modificaciones al RSCI de la Securities Exchange Act de 1934 («Exchange Act»),  cuyo resumen puede consultarse aquí

Las modificaciones propuestas ampliarían la definición de «entidad sujeta» para incluir una gama más amplia de participantes en las infraestructura del mercado de valores de Estados Unidos, y actualizarían ciertas disposiciones del RSCI para tener en cuenta la evolución del panorama tecnológico de los mercados:

      • La ampliación propuesta añadiría las siguientes entidades: los depositarios de datos de permutas financieras basadas en valores («SBSDR», por sus siglas en inglés) registrados; los intermediarios registrados que superen un umbral de activos o de actividad de operaciones; y las agencias de compensación adicionales exentas de registro. Los agentes de bolsa registrados ante la Comisión en virtud de la Sección 15(b) que superen un umbral de activos totales o un umbral de actividad de transacción en acciones NMS, opciones cotizadas en bolsa, valores del Tesoro de EE.UU. o valores de la Agencia; y – Todas las agencias de compensación exentas de registro.
      • Además, las actualizaciones propuestas modificarían las disposiciones del Reglamento en relación con : (i) la clasificación de sistemas y la gestión del ciclo de vida; (ii) la gestión de terceros/proveedores; (iii) la ciberseguridad; (iv) la revisión de la SCI; (v) el papel de las normas industriales actuales; y (vi) el mantenimiento de registros y asuntos relacionados.  Sin olvidar que la Comisión ha solicitado comentarios al público sobre si otras entidades, como los intermediarios que utilizan sistemas electrónicos o automatizados para la negociación de valores de deuda corporativa o valores municipales, deben estar sujetos al Reglamento.
      • Otras obligaciones que se imponen , de aprobarse la propuesta de reforma, obligan a especificar que las políticas y procedimientos requeridos de una entidad sujeta incluyen: o bien un programa de inventario, clasificación y gestión del ciclo de vida de los sistemas SCI y los sistemas SCI indirectos; o bien un programa para gestionar y supervisar a terceros proveedores, incluidos los proveedores de servicios en la nube, que proporcionen o soporten sistemas SCI o SCI indirectos. También, como se indicó antes, que cuenten con Planes de resistencia y recuperación (BC/DR) y que éstos prevean la respuesta para supuestos en los que la indisponibilidad de cualquier proveedor externo sin el cual habría un impacto material en los sistemas SCI críticos; o un programa para evitar el acceso no autorizado a los sistemas SCI y a la información en ellos contenida.

Entradas relacionadas:

 

Ciberseguridad en mercados de valores (III) Guia IOSCO de resiliencia cibernética de infraestructuras mercados. Y, otras guías y propuestas

Ciberseguridad, orientaciones para empresas cotizadas. Antecedentes, a la espera de la reforma normativa en Estados Unidos

Ciberseguridad en mercados de valores (I). Cooperación internacional y flexibilidad

Ciberseguridad en mercados de valores (II). Informe Consejo IOSCO 2016

Investigación financiada por el proyecto nacional PID2021-127527OB-I00, Proyectos de Generación de Conocimiento 2021, Modalidades: Investigación No Orientada e Investigación Orientada

LLAVES Y CLAVES DE SOSTENIBILIDAD EN LA UNIÓN EUROPEA. 

Galería

Esta galería contiene 2 fotos.

III edición de las series del Grupo de Innovación Docente: Sostenibilidad empresa justicia: LLAVES Y CLAVES DE SOSTENIBILIDAD EN LA UNIÓN EUROPEA.  Actividad del Grupo de Innovación Docente DERMERULE para el curso académico 2023-24. Se inicia el  miércoles 17 de … Sigue leyendo

Información bursátil y cinta consolidada en los mercados de capitales de la UE ¿qué modelo?¿qué intereses están en juego? ¿es una aspiración viable?

Esta entrada se relaciona con la aspiración de la Comisión Europea de facilitar la consolidación de datos  en los mercados de capitales de la UE

  • La acción 14 , relacionada con el  objetivo n.º 3 del Plan de Acción de la Unión de los Mercados de Capitales (UMC), tiene por objeto establecer una cinta consolidada CC. Sería un instrumento fundamental en la configuración de la UMC. Proporcionaría datos consolidados sobre los precios y el volumen de los valores negociados en la UE. Mejoraría la trasparencia y la competencia entre los centros de negociación
  • La CC se concibió junto con el punto europeo de acceso único para la información de las empresas (PEA), para mejorar la información que se da a los inversores a nivel de toda Europa.

Tras abundantes debates, la Comisión se comprometió en 2020 a presentar una propuesta legislativa para apoyar la introducción de una cinta o registro de información consolidada .

  • Los mercados europeos tienen limitaciones estructurales que la MiFID II pretendía abordar, pero que aún no se han resuelto del todo. MiFID II  introdujo la función de una CC para Europa relativa a  la información post-negociación de forma consolidada, independientemente de si las operaciones se ejecutan en un centro de negociación o no. Sin embargo, aún no ha surgido ningún proveedor  que ofrezca el servicio conforme a la definición de la MiFID II, Esto es debido a muchos factores, como son -entre otros- las dificultades estructurales para obtener datos de alta calidad de los centros de ejecución extrabursátiles (OTC) y de los internalizadores sistemáticos (IS) en toda Europa. Esta problemática pone en entredicho la viabilidad comercial de una CC, frente a las soluciones de datos de mercado ya existentes.
  • Dado que no ha surgido ningún proveedor de CC, es probable que la Comisión Europea lo imponga, en el marco de MiFIR -y su reforma-. Recientemente se han sometido a debate público e investigación distintas opciones de CC, entre ellas una en tiempo real previa a la negociación, otra en tiempo casi real posterior a la negociación, otra con un retraso de 15 minutos posterior a la negociación y la que consolida al final del día posterior a la negociación. Hoy existen soluciones diversas -privadas y parciales- para obtener datos, pero sigue siendo difícil obtenerlos en mercados menos transparentes y persiste la dificultad para alcanzar la información en tiempo real.

En junio de 2023, el Consejo Europeo, la Comisión y el Parlamento acordaron establecer una cinta consolidada para la renta variable y los fondos cotizados (ETF) con datos pre-negociación en tiempo real, pero sin atribución de centro y con una sola capa de cotizaciones de compra y venta. Pero , lejos de este modelo tan sencillo, existe un debate más amplio. Por ejemplo, los gestores de activos y algunas empresas de intermediación sugieren una cinta consolidada que incluya cinco niveles de cotizaciones, así como la atribución de centros. Esta idea coincide con los iniciales trabajos de la Comisión, que no se refleja en la propuesta de CC. Pero las bolsas se opusieron durante las negociaciones debido a la preocupación por la pérdida de ingresos.

El primer procedimiento de selección para la PIC de bonos está previsto para finales de 2024. Previamente, la ESMA redactará las normas técnicas para la selección

 

 

Documentos:

Gótico