Ciberseguridad en mercados de valores (III) Guia IOSCO de resiliencia cibernética de infraestructuras mercados. Y, otras guías y propuestas

La ciberseguridad, o más bien su ausencia se halla entre los principales riesgos de los mercados financieros de hoy en día

En junio de 2016, IOSCO hizo pública la primera Guía Internacional de Ciber seguridad en Mercados Financieros, ámpliamente anunciada

El objetivo de esta Guía es orientar los esfuerzos de la industria financiera y de los gestores de infraestructuras de mercados para prevenir, hacer frente y corregir los ataques cibernéticos y sus consecuencias. También se pretende asimilar el nivel de protección en las distintas jurisdicciones y estados cuyas infraestructuras de mercados se someten a igual supervisión.IglesiaSantirsoSahagun

Entre los contenidos de esta Guía:

  • Identificación de infraestructuras a las que se orienta esta Guía
  • Medidas para evitar las consecuencias de la interconexión entre infraestructuras (identificación, contagio
  • Gobernanza reforzada en política de ciberseguridad

La Guía IOSCO se nutre de la previa experiencia en EEUU de la SEC, que realizó, inter alia un trabajo de investigación sobre medidas de seguridad en intermediarios de mercados (resultado resumido aquí) ; y otro estudio «Examen de Ciberseguridad»  en 2015; sin olvidar la influencia de otros reguladores de gran influencia, como el Regulador Financiero del Estado de Nueva York que también está avanzando propuestas sobre ciberseguridad financiera, (aquí y aquí)

En Europa, ESMA desarrolla trabajos y la CNMV anunció en su programa anual de trabajo (Memoria de Actividades) para 2016, que publicaría una guía con sugerencias para la mejora en esta materia. Llama la atención que alguna gran empresa, como BBVA anunciara como hecho relevante la constitución de una comisión interna de tecnología y seguridad

 También DerMerUle: Ciberseguridad (II);  Ciberseguridad (I); Ciberseguridad y formación judicial; Ciberseguridad (Directiva)

Ciberseguridad en mercados de valores (II). Informe Consejo IOSCO 2016

Un informe del Consejo de  IOSCO de 2016 (basado en otro previo de 2014) alerta sobre aspectos principales de la ciberseguridad en mercados de valores 

  1. Define ciberriesgos, ciberataques, decisiones que deben adoptar los reguladores y prácticas de los participantes en mercado para mejorar la ciberseguridad.IglesiaSantiagoVillaFranca
  1. En relación con la revelación de incidentes, principios de divulgación periódicos y el tratamiento de un marco de divulgación en las jurisdicciones de los miembros de IOSCO dependientes de las leyes domésticas y estándares IOSCO para evitar ciberataques
  1. En los centros de negociación se deben realizar negociaciones electrónicas, revisiones periódicas, prácticas seguras siguiendo el marco NIST (National Institute of Standards and Technology).
    • sistemas de atraer y atrapar;
    • información de amenazas en tiempo real;
    • herramientas software SIEM;
    • protección de información interna;
    • dirección de terceras partes;
    • nuevos enfoques de seguridad en la nube;
    • colaboración con y entre los centros de negociación.
  1. IOSCO cuenta con un grupo de trabajo para proveer asistencia informal a intermediarios de mercado
  2. IOSCO realiza encuestas entre gestores de activos para conocer sus necesidades, y ya se conocen algunas
    • Coherencia entre los sistemas de seguridad
    • Claves largas y complejas;
    • Inventario periódico de los ordenadores, programas de software y aplicaciones; y d) un plan de respuesta preciso.
  1. Sobre infraestructuras del mercado financiero, el grupo conjunto de CPMI-IOSCO sobre Ciber Resiliencia (WGCR) ha emitido un documento con una guía para las infraestructuras financieras de mercado (FMI): gobernanza, identificación, protección, detección, respuesta y recuperación. Recomienda adoptar un papel activo para mejorar la capacidad cibernética.
  1. Se hace preciso compartir información entre reguladores de valores. La colaboración resulta útil para emular las medidas técnicas de los actores y la prevención de ataques cibernéticos.
    • Existen dos tipos básicos de información, técnica / operacional, es decir, de computadora a computadora, o información estratégica con evidencias contextuales de amenazas o vulnerabilidades.
    • Los gobiernos han de promover, facilitar y compartir información con la industria estableciendo redes de información. Según el MMoU de IOSCO, los reguladores pueden intercambiar información sobre violaciones de seguridad relacionadas con ciberataques, particularmente en casos como ventas fraudulentas, apropiación indebida de bienes, abuso del mercado, disrupción del sistema o sabotaje.
  1. En conclusión:
    • la ciberseguridad es uno de los retos más importantes para los mercados y reguladores;
    • es un problema internacional, global
    • existen multitud de amenazas destacando las asociadas al uso de tecnologías de almacenamiento de información y computación en línea;
    • los agentes de los mercados deben adoptar medidas basándose en herramientas, directrices y marcos de actuación de IOSCO
    • la publicación de hechos relevantes sobre ciberriesgos y ciberataques debería ajustarse a las circunstancias particulares de cada emisor, dando suficiente detalle pero sin llegar a comprometer más la ciberseguridad;
    • es vital integrar la ciberseguridad en la gobernanza de las entidades implicando a directivos y consejeros;
    • la ciberseguridad debe formar parte de los programas de gestión de riesgos;
    • es importante compartir información tanto a nivel interno (participantes-reguladores de cada mercado) como, especialmente, internacional, dada la naturaleza internacional de los ciberriesgos;

 

IOSCO cuenta con un grupo de trabajo -«Cyber Resilience and financial technology» que elabora recomendaciones o buenas prácticas en este entorno. 

Ciberseguridad en mercados de valores (I). Cooperación internacional y flexibilidad

La ciberseguridad en los mercados de valores resulta esencial para la integridad, eficacia y solidez de los mercados financieros.

CasaBotinesFachadaLeón

Las transacciones de valores se hacen de forma electrónica y por tanto están expuestas a una amenaza constante. Es sabido que muchas organizaciones que no denuncian los ataques para no perder su reputación.

  • Cabe recordar que el Consejo de IOSCO, de febrero de 2014, IOSCO apoyó  distintas iniciativas de sus comités permanentes en los que están presentes los reguladores de todo el mundo. Y, que los Principios y el Multilateral Memoramdum of Understanding  de IOSCO dan cobertura a la cooperación entre Autoridades en la investigación de infracciones relacionadas con el cibercrimen
  • Dado el carácter global de los riesgos, las medidas de ciberseguridad efectivas se basan en  configurar políticas unificadas para: identificación de riesgos, protección, medidas técnicas, organizativas y concienciación del personal, control de tráfico de datos (combinando herramientas de software con servicios de inteligencia prestados por empresas),  planes de continuidad de negocio , medidas para recuperar datos o sistemas en función de las particularidades de cada sector, etc
  • Existen una gran diversidad de opciones y prácticas regulatorias en diferentes jurisdicciones (Singapur, Australia, Reino Unido, EEUU) Unos enfatizan los Principios regulatorios, otros la Dirección y Gobernanza de entidades y mercados. El punto en común es la flexibilidad que suele dejarse a las entidades reguladas. También los participantes en mercados y las entidades siguen practicas distintas para identificar, protegerse, responder y recuperarse de ciberataques.
  • Las asociaciones industriales organizan seminarios y acciones de concienciación para compartir experiencias

Acciones y bonos convertibles. Reconocimiento como garantías reales a efecto del Reglamento (UE) n.o 575/2013

Las acciones y bonos convertibles son a menudo utilizados como garantía real.

  • A efectos de asegurar su valor como tal, el Reglamento (UE) n.o 575/2013 establece que sólo podrán admitirse a tales efectos (garantía real) por parte de las entidades de crédito, las acciones y bonos convertibles incluidos en alguno de los principales índices bursátiles compuestos por acciones respecto de las cuales es razonable prever que serán realizables en el momento en que la entidad necesite liquidar, y tal presunción se establece cuando como mínimo el 90 % de sus componentes tenga un capital flotante de al menos 500 000 000 EUR o una capitalización bursátil de al menos 1 000 000 000 EUR.
  • También pueden ser admisibles como garantía real los instrumentos que sean líquidos respecto de los mercados en los que operan, ya se trate de un mercado establecido en la Unión o en un tercer país.

De conformidad con el Reglamento (UE) n.o 575/2013, ciertos títulos de deuda que no han sido objeto de una evaluación crediticia efectuada por una agencia externa de calificación crediticia (ECAI), pueden ser utilizados como garantía real admisible siempre que cumplan una serie de condiciones, siendo una de ellas que coticen en un mercado organizado. Pues bien para ser considerado mercado organizado a efectos del Reglamento (UE) no 575/2013, el mercado debe cumplir las condiciones establecidas en ese Reglamento (Art 4, apartado 1, punto 72 ). Además el mercado debe tener un mecanismo de compensación.

El Reglamento de Ejecución (UE) 2016/1646 de la Comisión, de 13 de septiembre de 2016,  establece normas técnicas de ejecución en lo que respecta a los principales índices bursátiles y los mercados organizados de conformidad con el Reglamento (UE) nº 575/2013 del Parlamento Europeo y del Consejo sobre los requisitos prudenciales de las entidades de crédito y las empresas de inversión.

  • Los índices principales a efectos del artículo 197, apartado 8, letra a), del Reglamento (UE) nº 575/2013 se especifican en el anexo , entre ellos el IBEX 35
  • Los mercados organizados a efectos del artículo 197, apartado 8, letra b), del Reglamento (UE) nº 575/2013 se especifican en el anexo II, entre ellos, Bolsa de Madrid, Bolsa de Bilbao, Bolsa de Barcelona, Bolsa de Valencia

OMC. 20 años (++) «mucho más que nada». Apunte

«El 01.01.2015 la OMC cumplía 20 años de existencia», recordaba el informe anual OMC, 2015, que se hacía público no hace mucho, en 2016

» El volumen del comercio ha aumentado dos veces y media desde 1995, y la participación del mundo en desarrollo ha crecido del 27% a más del 43% en la actualidad. Los aranceles aplicados medios se han reducido a la mitad: del 15% a menos del 8%. Hoy día, casi el 60% del comercio mundial está exento de aranceles y otro 20% está sujeto a aranceles de menos del 5%. Mientras que los países industrializados dominaban, el Acuerdo General sobre Aranceles Aduaneros y Comercio (GATT), predecesor de la OMC, los países en desarrollo cumplen una función fundamental en la gestión de la OMC, la elaboración de su programa de trabajo y la negociación de sus acuerdos»

Se extrae del citado Informe Anual 2016, hitos principales de esta Organización Internacional, foro global para la negociación de acuerdos comerciales entre distintos Estados; donde además pueden resolver sus diferencias comerciales, que administra normas comerciales y ofrece ayuda a los países en desarrollo a crear capacidad comercial. (ver web de noticias OMC)

  • 1994 Abril Se firma el Acuerdo de Marrakech por el que se establece la OMC. Se concluye el Acuerdo sobre Tecnología de la Información.
  • 1995 Enero El 1º de enero nace la OMC. Mayo Renato Ruggiero (Italia) asume el cargo de Director General de la OMC.
  • 1997 Diciembre Setenta Miembros de la OMC firman un acuerdo multilateral para abrir sus sectores de servicios financieros
  • 2000 Enero Comienzan las negociaciones sobre los servicios. Marzo Comienzan las negociaciones sobre la agricultura.
  • 2001 Noviembre Se celebra en Doha (Qatar) la Cuarta Conferencia Ministerial. Se pone en marcha el Programa de Doha para el Desarrollo. China pasa a ser el 143º Miembro de la OMC.
  • 2014 Abril Entra en vigor el Acuerdo sobre Contratación Pública revisado de la OMC. Noviembre Se aprueba el Acuerdo sobre Facilitación del Comercio, el primer acuerdo comercial multilateral concertado desde que se estableció la OMC.
  • 2015 Kazajstán pasa a ser el 162 Miembro de la OMC. Se alcanza el número 500 en las diferencias resueltas por el OSD (Órgano de solución de diferencias)
  • 2016 (enero)  68 Miembros de la OMC habían ratificado el Acuerdo sobre Facilitación del Comercio, que entrará en vigor cuando lo hayan ratificado dos tercios de los Miembros de la Organización. Se unen Liberia y Kazajastán (número 164)

Cabe recordar que el Consejo General de la OMC tiene su sede en Ginebra y que esta Organización funciona a través de sus Consejos y sus comités (De Vigilancia, de Obstáculos técnicos,  etc)

Gobernanza internacional financiera. Riesgos por «malas conductas».

El FSB presentó en 2015 un programa de trabajo para la supervisión y propuestas de riesgos financieros que derivan de «malas conductas». Se trataba, más allá de verificar el cumplimiento de la «letra» de las regulaciones, de contemplar la ética y actuación conforme también al «espíritu» de las regulaciones, y el objetivo último enlaza con futuras reformas en política legislativa

Los principales ámbitos de trabajo son:

IMG_20150905_194855169

  1. Estructura de retribuciones, aspecto sobre el que se preparan recomendaciones para finales de 2017
  2. Marco de Gobernanza. Se sigue analizando la posibilidad de ofrecer nuevas orientaciones de la gobernanza financiera para atajar riesgos
  3. Estándares de conducta en mercados mayoristas, respecto de lo que se está a la espera de las conclusiones del Grupo de Trabajo de IOSCO
  4. Estándares en los mercados de divisas, respecto de lo que ya se publicó en Mayo de 2016 el primer Código de Conducta (primera parte)  Global Code of Conduct for the Foreign Exchange Market (Global Code) 
  5. Índices financieros

Se publica ahora el 2 informe de seguimiento del FSB Measures to reduce misconduct risk

Inversión en UE y blockchain. Análisis ESMA

No es la primera vez que ESMA hace públicos sus trabajos sobre las tecnologías blockchain como instrumento de inversión. Pero, queremos llamar la atención sobre su «Propuesta de Debate» de junio de 2016, titulada The Distributed Ledger Technology Applied to Securities Markets , cuyo plazo solicitando contribuciones acaba de clausurarse el 2.09.2016. Positiva como puede ser,  plantea importantes retos de supervisión y regulación que la autoridad europea se dispone a conocer y resolver.

IMG00953-20140502-0736La tecnología de cadenas de bloques apoyados en registros distribuidos que sirvió para el lanzamiento de monedas virtuales en entornos abiertos, está mudando hacia los servicios de inversión, con algunas especialidades, por ejemplo, configurándose entornos virtuales que en lugar de abiertos están sometidos a «permisos».

Los «bloques» están influyendo -según parece- en los procesos internos de los inversores; pero también puede hacerlo en los procesos externos que se desarrollan en infraestructuras de mercado. Las consecuencias en términos de necesidad de regulación son más amplias en el segundo caso: los procesos de liquidación pueden simplificarse llegando a ser automáticos; se facilitaría el registro de los beneficiarios últimos y de los intermediarios de las transacciones en los mercados.  El impacto del blockchain en los mercados no será seguramente uniforme. Asi cuando se trate de transacciones spot, de valores bursátiles por ejemplo, el potencial de incremento de la velocidad obligará -parece a adaptar profundamente el marco normativo. En cambio, otros intercambios donde existen unos plazos de madurez amplios (por ejemplo en muchos derivados) quizás la repercusión de la velocidad no resulte tan determinante de cambios operativos, y por tanto, normativos.

Todo ello, combinado con los algoritmos y los contratos inteligentes tiene el potencial de cambiar en breve y de manera muy relevante la operatividad de las infraestructuras de mercados, tanto primarios como secundarios.  Se plantean cuestiones de seguridad; de posibilidades técnicamente sólidas para aplicar una tecnología nacida en entornos reducidos, a los grandes mercados donde el volumen operativo es inmensamente superior; de compatibilidad con las existentes infraestructuras de mercado e incluso a determinadas operaciones (de nuevo contratos «de duración» como muchos derivados) ; las ventas en corto, operaciones apalancadas, o la  necesidad de intervención de los bancos centrales. En términos de gobernanza, privacidad, cibercrimen, etc. se formulan también retos.

Post scriptum

PAEE. Punto de Acceso Electrónico Europeo (a información regulada) para usuarios finales

En virtud de la  Directiva 2004/109/CE del Parlamento Europeo y del Consejo, la Autoridad Europea de Valores y Mercados (AEVM) debe desarrollar y gestionar  el Punto de Acceso Electrónico Europeo (PAEE) un portal de internet accesible a través del sitio web de la AEVM facilitando el acceso a la información regulada que almacenen los mecanismos designados oficialmente, evitando la duplicación del almacenamiento de datos y minimizando los riesgos para la seguridad del intercambio de información. Se permitirá así a  los usuarios finales efectuar búsquedas en la información regulada que almacenen los mecanismos designados oficialmente.

Reglamento Delegado (UE) 2016/1437 de la Comisión, de 19 de mayo de 2016, por el que se complementa la Directiva 2004/109/CE del Parlamento Europeo y del Consejo en lo que respecta a las normas técnicas de regulación en materia de acceso a información regulada a nivel de la Unión.

  • El buen funcionamiento del PAEE y su conexión con los mecanismos designados oficialmente dependen de la seguridad, la eficacia, la eficiencia y la adaptabilidad de las tecnologías de comunicación utilizadas.
  • El PAEE y los mecanismos designados oficialmente utilizarán el Protocolo Seguro de Transferencia de Hipertexto para conectarse entre sí.
  • Se busca además promover tecnologías de comunicación alternativas en el futuro, por lo que la AEVM, con arreglo a criterios técnicos objetivos, podrá  indicar cuáles son las tecnologías de comunicación alternativas que deberán utilizar el PAEE y los mecanismos designados oficialmente.
  • Cada mecanismo designado oficialmente debe utilizar un identificador único para cada emisor de valores admitidos a negociación en un mercado regulado. Y tales identificadores deben ser aceptados internacionalmente
  • Los mecanismos designados oficialmente deben utilizar los identificadores de entidad jurídica como identificadores únicos para los emisores de valores admitidos a negociación en un mercado regulado
  • El Art 9 del Reglamento delegado facilita el listado de información regulada. Sin ánimo de exhausitividad, éste incluye:
    • información sobre informes de auditoría,
    • pagos a administraciones públicas,
    • información privilegiada o sobre derechos de voto o sobre titularidad de valores de obligada notificación
  • El Art 2 del Reglamento impone la copia de seguridad diaria, así como la accesibilidad al PAEE al menos el 95% del tiempo de cada mes

El Reglamento entró en vigor con su publicación, a excepción del Art 9 y el 7 cuya vigencia se retrasa hasta 01.01.2017. Dada las materias contempladas en ellos (identificador único de los mecanismos designados oficialmente, y listado/clasificación de la información regulada, habrá que estar atentos por si se produce alguna modificación

Ver esta entrada DerMerUle

A propósito de los planes de restructuración de actividades entidades de crédito (UE y FSB)

De nuevo sobre restructuraciones…..

Unión Europea
  • La regulación de restructuraciones de la Directiva 2014/59/UE  implica la elaboración de planes de restructuración  de actividades para la recuperación de entidades y sostenibilidad a largo plazo. En ese plan, no sólo se identifican (y organizan recursos de superación) los problemas críticos que motivan en primera instancia la crisis de la entidad; sino también otras cuestiones que, sin llegar a causarla directamente podrían, de no corregirse, motivar problemas graves en el futuro. El plan ha de incluir además referencias a Sobre estas cuestiones versa el Reglamento Delegado (UE) 2016/1400 de la Comisión, de 10 de mayo de 2016, que completa la Directiva 2014/59/UE del Parlamento Europeo y del Consejo en lo que respecta a las normas técnicas de regulación que especifican los elementos mínimos de un plan de reorganización de actividades y el contenido mínimo de los informes sobre el avance en la ejecución del plan.
  • Se toma nota en particular de que la Comisión acepta como referencia para la elaboración de estos planes a las directrices y comunicaciones adoptadas por la Comisión en relación con la evaluación de la conformidad con el marco de ayudas estatales de la Unión relativas a la reestructuración de empresas en crisis en el sector financiero, con arreglo al artículo 107, apartado 3, del Tratad, porque estas Directrices tienen entre sus objetivos contribuir a la viabilidad a largo plazo de las entidades, orientación compartida con los planes de restructuración (incluso si la elaboración del Plan no comportase la gestión o la previsión de ayudas).
Financial Stability Board  / G20

Derivados. Transparencia y acceso de las autoridades a los registros. Seguimiento

Junto con la imposición de contar con contrapartidas,  controlar riesgos, operar en sistemas regulados e inscribirse en registros; el funcionamiento de unos mercados de derivados transparentes exige homogeneidad en los registros y acceso de las autoridades competentes a los datos en ellos inscritos. En estos meses se han identificado obstáculos en esa transparencia y aportado respuestas para superarlos

CastilloPonferrada

Restructuración y resolución de entidades de crédito. Valoración de Derivados

La complejidad de la valoración de los pasivos por derivados en caso de inviabilidad de entidades de crédito da lugar a dificultades en los procesos de resolución, retrasos, litigios. Entre otros motivos porque debe permitir, antes de adoptarse la decisión de liquidación, calcular el importe al que podrían recapitalizarse en caso de que aconteciese tal liquidación. (o cual sería el valor destruido).

Si la Directiva 2014/59/UE encomienda a las autoridades de resolución  amortizar y convertir los pasivos de las entidades objeto de resolución, ha sido necesario contar con legislación delegada (más detallada) para abordar la valoración de derivados en esos procesos; y para matizar obligaciones de algunas de las entidades que intervienen en los procesos con derivados (compensación que es obligatorio realizar a través de entidades de contrapartida central («ECC») en el caso de los derivados extrabursátiles normalizados,  registros de operaciones con todos los derivados extrabursátiles,…)CasaBotinesFachadaLeón

De reciente publicación el Reglamento Delegado (UE) 2016/1401 de la Comisión, de 23 de mayo de 2016, por el que se completa la Directiva 2014/59/UE del Parlamento Europeo y del Consejo, por la que se establece un marco para la reestructuración y la resolución de entidades de crédito y empresas de servicios de inversión, en lo que respecta a las normas técnicas de regulación relativas a los métodos y los principios de valoración de los pasivos surgidos de derivados.

Seguro de patentes para Pymes

Se anunciaba hace poco el lanzamiento en España de un seguro de propiedad intelectual  (Pons Intellectual Property / Sanza y Poolsegur / Opus Underwiting). Los datos que tenemos apuntan a una cobertura bastante amplia que incluiría (parece) las acciones por violación e incluso indemnizaciones frente a reclamaciones de daños, con una cobertura geográfica global. Desde la expresión de bienvenida a la introducción de este seguro en España:

IMG_20150905_194855169

  • Un producto asegurador adaptado al mercado español -para potenciar la innovación en España-, venía siendo objeto de análisis  y diseño minuciosos para su efectividad en nuestro país. En 2013 tuvimos ocasión de presentar,  de la mano de la Fundación Mapfre, nuestro estudio Viabilidad del Seguro de Patente en España, redactado por los Doctores Elena Pérez Carrillo (Universidad de Santiago de Compostela- Universidad de León) y Frank Cuypers (PRS-Zurig) (aquí y aquí). Que fue seguido por alguna otra reflexión como esta, etc.
  • Desde hace ya años, los seguros de patentes son conocidos en jurisdicciones como EEUU, donde es habitual encontrar pólizas taylor  adecuadas para grandes corporaciones que cuentan con importantes carteras de patentes, licencias y otros derechos. En Europa, son también contratados en Alemania en un diseño algo distinto.
  • En España, investigadores de la talla de la profesora Doña Celia Sánchez-Ramos, científica y ganadora entre muchos otros del Gran Premio Internacional de Invenciones de Ginebra 2013 venían reclamando protección para los inventores -muchos de ellos vinculados al mundo académico y de la pequeña empresa- que se deciden no sólo a patentar, sino también a licenciar o en cualquier modo explotar sus invenciones.  Uno de los grandes problemas que se encuentran es su propia debilidad frente a la infracción de sus derechos. El coste de litigios es tan elevado que en la práctica se hallan indefensos, particularmente si el infractor es una gran corporación o incluso un patent troll.

 Los avances en el mundo asegurador son bienvenidos siempre, máxime si como en este caso se orientan a favorecer la asunción de riesgos de innovación en España, a potenciar el I+D+i  y a favorecer tal actividad en empresas de mediano y pequeño tamaño. También conviene que las coberturas se ajusten efectivamente al mercado al que se dirigen. Y, en este caso concreto sería deseable que las coberturas diseñadas resulten asequibles para innovadores e inventores de reducida capacidad económica -y gran capacidad innovadora- .