La SEC multa a la empresa matriz de la Bolsa de Nueva York con 10 millones de dólares por no informar sobre un ciberataque

La Intercontinental Exchange (ICE) pagará una multa de 10 millones de dólares por no informar a las autoridades sobre una intrusión cibernética, según un anuncio de la Comisión de Bolsa y Valores de Estados Unidos (SEC).

La infracción, descubierta en abril de 2021, implicó la inserción de un código malicioso en un dispositivo VPN para acceder a la red corporativa de ICE. La SEC afirma que ICE identificó rápidamente la amenaza pero no notificó a los funcionarios legales y de cumplimiento de sus subsidiarias, incluida la Bolsa de Valores de Nueva York, durante varios días.

El Reglamento de Cumplimiento e Integridad de los Sistemas (Regulación SCI) de la agencia exige que las empresas informen a la SEC inmediatamente sobre cualquier incidente importante de ciberseguridad. El director de cumplimiento de la SEC, Gurbir S. Grewal, dijo:

"Cuando se trata de ciberseguridad, especialmente eventos en intermediarios críticos del mercado, cada segundo cuenta y cuatro días pueden ser una eternidad".

ICE está detrás de la red de bolsas y cámaras de compensación más grande del mundo. Sus subsidiarias incluyen bolsas como la Bolsa de Valores de Nueva York (NYSE), ICE Futures U.S. y Europa, junto con cámaras de compensación y proveedores de datos.

La acción de ejecución de la SEC afectó a varias subsidiarias de ICE, incluidas Archipelago Trading Services, Inc., New York Stock Exchange LLC, NYSE American LLC, NYSE Arca, Inc., ICE Clear Credit LLC, ICE Clear Europe Ltd., NYSE Chicago, Inc., y NYSE National, Inc. Además, la Securities Industry Automation Corporation acordó una orden de cese y desistimiento además de la sanción monetaria.

En respuesta a las multas, los comisionados de la SEC, Hester Peirce y Mark Uyeda, emitieron un comunicado calificando la multa como una "reacción exagerada" a un "incidente mínimo".

"Esta sanción desproporcionadamente grande por no informar de manera oportuna un incidente que las subsidiarias de ICE SCI finalmente determinaron que fue de minimis nos sugiere que la Comisión está más preocupada por generar sanciones importantes que por garantizar que las entidades importantes del mercado aborden las vulnerabilidades tecnológicas".

Según Peirce y Uyeda, la multa contribuye a la percepción de que “el régimen de sanciones de la Comisión es más una herramienta para generar cifras para las estadísticas de fin de año y menos un medio para lograr resultados que mejoren la integridad del mercado”. Los comisionados habían criticado el enfoque de la SEC hacia las empresas de cifrado en el pasado.

Revista: ¿Qué hacen realmente los creadores de mercado de criptomonedas? Liquidez o manipulación