Las tres propuestas que estamos considerando hoy abordan el papel de la tecnología de la información en los mercados de valores. La tecnología ya no es solo fundamental para el funcionamiento de los mercados: son los mercados, y su gestión es vital para la protección de los inversores y las operaciones de mercado justas, ordenadas y eficientes.
Si bien las tres propuestas que estamos considerando hoy están relacionadas, cada una tiene un alcance y propósito únicos: las enmiendas al Reglamento SP abordan la privacidad de los datos y la protección de la información del cliente, la propuesta de Gestión de riesgos de seguridad cibernética se centra en proteger a las entidades del mercado de las amenazas cibernéticas y las enmiendas a La regulación SCI se relaciona con la fortaleza y resiliencia de la infraestructura clave del mercado. En algunos casos, estos diferentes objetivos pueden lograrse por medios similares, por ejemplo, al exigir a las entidades que establezcan políticas y procedimientos para abordar los riesgos de seguridad cibernética. Y puede ser que las entidades del mercado puedan apalancar las mismas acciones para cumplir con más de una regla. Cada uno de los comunicados solicita comentarios sobre si la duplicación creará algún desafío de implementación práctica, y animo a los comentaristas a que nos digan si creen que ese es el caso. Sin embargo, cada una de estas propuestas aborda un aspecto diferente y crítico del papel de la tecnología en los mercados.
Reglamento SP
La primera de las tres propuestas presentadas hoy es la modificación del Reglamento SP, que aborda el manejo y la protección de la información personal de los clientes.
Los corredores, asesores de inversiones y otras instituciones financieras almacenan cada vez más información personal de los clientes. En muchos contextos, se requiere el suministro de información personal para acceder a nuestros mercados. Esa información puede pasarse a los proveedores de servicios u otras instituciones financieras sin que los clientes lo sepan. Y si bien el cifrado digital y otras prácticas han fortalecido la protección de esa información personal, también han aumentado la sofisticación y el volumen de actividades delictivas que buscan infiltrarse en las instituciones financieras.
Y cuando se roban información personal o activos, los resultados pueden ser calamitosos. Puede conducir al robo de identidad, el robo de ahorros, la ruina del crédito y otros efectos que son personalmente desastrosos para los implicados y que pueden ser sistemáticamente significativos para la economía.
Es por eso que es nuestro imperativo imponer requisitos rigurosos a los registrantes de la SEC y garantizar que la información del cliente esté adecuadamente protegida. Desde el año 2000, el Reglamento SP establece ciertos requisitos para la salvaguardia y disposición adecuada de la información personal. La propuesta de hoy se sumaría a las protecciones que actualmente brinda la Regulación SP de manera significativa. Como hemos escuchado hoy, impondría requisitos de protección a los agentes de transferencia, que con frecuencia llegan a poseer información confidencial de los clientes. La propuesta requeriría que los registrantes adopten un programa de respuesta a incidentes para abordar el acceso no autorizado o el uso de la información del cliente. Y, lo que es más importante, exigiría ciertos requisitos de notificación al cliente, para garantizar que las personas cuya información confidencial es, o es probable que haya sido violada, sepan sobre la violación y puedan estar en una posición para mitigar el daño.
Y, lo que es más importante, si bien muchos estados ya cuentan con ciertas protecciones para los clientes con respecto a la notificación, entre otros asuntos, la propuesta de hoy crearía una línea de base federal. Tener un estándar federal mínimo garantizaría que los clientes en todos los estados sean notificados de cualquier violación de su información confidencial que podría resultar en un daño o inconveniente sustancial.
Muchas gracias al personal de las Divisiones de Negociación y Mercados, Gestión de Inversiones, la División de Análisis Económico y de Riesgos y la Oficina del Asesor Jurídico. Esta propuesta representa un verdadero esfuerzo de colaboración entre divisiones, y la calidad de la propuesta refleja la eficacia de esa colaboración. Estoy feliz de apoyar la propuesta y espero los comentarios del público.
Gestión de Riesgos de Ciberseguridad
Como señalé en el pasado, la amenaza de ataques cibernéticos en el sistema financiero de EE. UU. es uno de esos problemas que me quita el sueño. Los mercados de valores de EE. UU., en particular, son un componente crítico de nuestra infraestructura económica, con más de un billón de dólares en transacciones que fluyen a través de ellos cada día. Eso los convierte en un objetivo atractivo para los ciberdelincuentes que buscan dinero, datos confidenciales o un medio para interrumpir la economía global.
El riesgo de ciberseguridad ha crecido con el tiempo. Los ataques cibernéticos han aumentado en frecuencia y sofisticación, mientras que las entidades del mercado financiero han aumentado su dependencia de la tecnología de la información, incluidas las redes interconectadas, la computación en la nube y las aplicaciones móviles.
Debido a que vi los Premios de la Academia el fin de semana pasado, pensé un poco sobre los ataques cibernéticos en las películas de Hollywood. Los piratas informáticos suelen ser los buenos en esas películas, individuos rudos que se infiltran en los sistemas informáticos para corregir un error perpetrado por una institución sin rostro. Sin embargo, la realidad no podría ser más diferente. Es mucho más probable que los ataques cibernéticos sean perpetrados por organizaciones criminales o actores asociados con gobiernos extranjeros hostiles, con individuos como víctimas. Los ataques cibernéticos representan un riesgo real de daño para los inversores, incluidos los inversores minoristas, por el robo de dinero o información personal confidencial, así como por la pérdida de servicios. Las prácticas sólidas de gestión de riesgos de ciberseguridad son fundamentales, tanto para salvaguardar los fondos y los datos de los inversores como para protegerse contra la posible inestabilidad en todo el mercado.
Como escucharon de mis colegas, la Regla de Gestión de Riesgos de Seguridad Cibernética que estamos considerando hoy se aplicaría a las entidades clave del mercado, incluidas las bolsas de valores nacionales, los corredores de bolsa, las entidades de intercambio basadas en valores, los agentes de transferencia y otros. Estas entidades son de fundamental importancia para el funcionamiento justo, ordenado y eficiente de los mercados de valores de EE. UU.
La propuesta requeriría que estas entidades diseñen e implementen políticas y procedimientos de seguridad cibernética para estar mejor preparados para futuras amenazas cibernéticas. Y tales políticas y procedimientos estarían sujetos a requisitos de mantenimiento de registros para que las deficiencias puedan identificarse y abordarse. También estarían obligados, en algunos casos, a divulgar los riesgos de seguridad cibernética que anticipan, cómo manejarían esas amenazas y la naturaleza y el alcance de los incidentes de seguridad cibernética significativos que ocurrieron en los últimos dos años.
Además, la propuesta requeriría el informe inmediato de cualquier incidente de seguridad cibernética significativo a la Comisión y la divulgación pública inmediata. Esto le daría a la Comisión datos para evaluar tendencias, identificar riesgos emergentes y ayudar a coordinar respuestas a incidentes cibernéticos que tienen el potencial de causar interrupciones más amplias, además de proporcionar al público la información que puede necesitar para responder al incidente. En conjunto, estos requisitos tienen como objetivo mejorar la gestión de riesgos de ciberseguridad para la protección de los inversores y los mercados.
Gracias al personal por todo su arduo trabajo en esta propuesta, en particular al personal de la División de Comercio y Mercados, la División de Análisis Económico y de Riesgos y la Oficina del Asesor Jurídico. Me complace apoyarlo, y espero revisar los comentarios.
Reglamento SCI
La historia de los mercados de valores de EE. UU. en las últimas décadas ha sido de automatización, ya que las prácticas comerciales han pasado de ser principalmente manuales a casi completamente electrónicas. En reconocimiento de esta transformación fundamental y de la importancia de los sistemas electrónicos para el funcionamiento justo y ordenado de los mercados, en 2014 la Comisión adoptó el Reglamento de Cumplimiento e Integridad de los Sistemas (“Reg SCI”). Reg SCI estableció el primer marco integral para la supervisión de la SEC de los sistemas tecnológicos que componen los mercados actuales, con el objetivo de fortalecerlos y mejorar su resiliencia.
Por muchas medidas, está funcionando. Si bien siempre es un desafío demostrar que es negativo al identificar fallas o interrupciones que no ocurrieron, los mercados han demostrado resistencia en los últimos años, incluso durante los volúmenes de negociación sin precedentes y la volatilidad del mercado de principios de 2020. Muchos observadores acreditaron esto al menos en parte a Reg SCI. Y aunque algunos errores y fallas son inevitables, no hemos visto repeticiones de eventos como Flash Crash de 2010, la falla de IPO de Facebook de 2012 o los cierres de intercambio de varios días después de la super tormenta Sandy. Es razonable concluir que Reg SCI ha sido un héroe mayormente anónimo de interrupciones del mercado que no ocurrieron.
Sin embargo, los mercados han seguido evolucionando y aumentando su complejidad e interconexión, y la exclusión de ciertas entidades clave del mercado de Reg SCI se ha vuelto cada vez más insostenible. Volúmenes cada vez mayores de transacciones de valores ahora se negocian a la velocidad de la luz en una amplia gama de clases de activos en las plataformas de negociación de la competencia, incluidas las que ofrecen los corredores de bolsa. En 2020, la SEC propuso extender Reg SCI a ciertos sistemas de negociación alternativos, o ATS, que negocian valores gubernamentales. En 2021, como parte de la adopción de la regla de Infraestructura de datos de mercado, la Comisión modificó el Reglamento SCI para extenderlo a ciertos «consolidadores de la competencia «. Hoy, proponemos aprovechar esas acciones anteriores al extender Reg SCI para que se aplique a participantes clave adicionales del mercado, así como actualizar algunas de sus disposiciones.
Específicamente, las enmiendas que estamos considerando hoy extenderían los requisitos de Reg SCI a los repositorios de datos de intercambio basados en valores, ciertos corredores de bolsa registrados y agencias de compensación adicionales. Las enmiendas también fortalecerían ciertos requisitos con respecto a las políticas y procedimientos de las entidades SCI, la supervisión de los proveedores de servicios externos, las revisiones anuales y las pruebas de penetración. Estas mejoras al marco deberían ayudar a garantizar que los sistemas tecnológicos en los que confían las entidades clave del mercado sigan siendo sólidos, resistentes y seguros.
Como se propuso originalmente en 2013, Reg SCI habría incluido ATS que negociaban deuda corporativa o valores municipales, si excedían ciertos umbrales de volumen. Estas entidades no se incluyeron en la adopción, sobre la base de que estos ATS de renta fija dependían menos de la automatización y el comercio electrónico que los mercados de valores. La propuesta de hoy solicitaría comentarios sobre la posible extensión de Reg SCI a esas entidades. Si bien la negociación manual sigue siendo más frecuente en los mercados de renta fija en comparación con los mercados de acciones casi totalmente electrónicos, la tecnología para negociar deuda corporativa y valores municipales ha evolucionado a un ritmo rápido. Hay muchos datos que indican que las distinciones establecidas por la Comisión en el comunicado de adopción original pueden no ser válidas hoy. Espero escuchar comentarios sobre esta pregunta.
Gracias nuevamente al personal de la División de Comercio y Mercados, la División de Análisis Económico y de Riesgos y la Oficina del Abogado General por su arduo trabajo en este comunicado, y gracias a todo el personal del edificio que trabajó en este paquete de reglas y enmiendas a las reglas. Me complace apoyar estas propuestas y espero revisar los comentarios.