El regulador de Wall Street desvela nuevas normas sobre piratería informática, datos y resistencia del mercado

El máximo regulador de los mercados estadounidenses anunció el miércoles un paquete de políticas propuestas diseñadas para ayudar a endurecer el sistema financiero contra la piratería informática, el robo de datos y los fallos de los sistemas.

En una reunión pública, los cinco miembros de la Comisión del Mercado de Valores debían votar tres propuestas, parte de una preocupación continua por modernizar las normativas para adaptarlas a las amenazas tecnológicas que avanzan.

Las tres propuestas de normas regulan la forma en que los agentes de bolsa abordan los incidentes de piratería informática y protegen los datos de los consumidores, y la forma en que las bolsas de valores y las cámaras de compensación de transacciones y otras consideradas fundamentales para la seguridad económica nacional se blindan contra los fallos del sistema y las intrusiones cibernéticas.

Se suman a las medidas introducidas desde el año pasado para contrarrestar lo que los funcionarios dicen que son peligros crecientes para las empresas públicas y los inversores - y es probable que alimenten las críticas de que bajo la presidencia de Gary Gensler la SEC se ha embarcado en una agenda de elaboración de normas excesivamente ambiciosa que pone a prueba los límites de su capacidad.

Según las propuestas, los agentes de bolsa y los gestores de dinero estarían obligados a mantener programas para detectar y responder al acceso no autorizado a los datos y a notificar a los clientes afectados en un plazo de 30 días.

Los corredores-agentes, las bolsas de valores y otros también estarían obligados a mantener políticas de riesgos de ciberseguridad y a notificar a la SEC "inmediatamente" los incidentes "significativos". Gensler, en declaraciones preparadas, calificó la propuesta de "la primera que aborda explícitamente las prácticas de ciberseguridad para la mayoría de estas entidades del mercado".

Es probable que el requisito de notificación inmediata levantara ampollas entre los defensores del sector. Una propuesta similar del año pasado para las empresas de inversión exigía una notificación confidencial en un plazo de 48 horas, lo que suscitó objeciones de que esto podría obstaculizar los esfuerzos para responder rápidamente a los incidentes de piratería informática.

Gensler señaló que en septiembre una unidad de Morgan Stanley había acordado pagar 35 millones de dólares para resolver las acusaciones de la SEC de no haber protegido la información personal durante un periodo de cinco años.

Además, la SEC propuso ampliar el número de bolsas de valores, agencias de compensación registradas y otras entidades cubiertas por la normativa de 2014 sobre "Cumplimiento e Integridad de los Sistemas", que exige a los operadores que construyan sistemas lo suficientemente robustos como para respaldar las actividades del mercado.

La modificación propuesta también obligaría a estos operadores a supervisar los servicios de los proveedores de computación en nube para asegurarse de que cumplen los requisitos de la norma que rigen la resistencia de los sistemas.