«La UE es, con mucho, la más avanzada, y Singapur y el sudeste asiático son lo contrario: por ahora, adopta un enfoque ligero, lo cual es bastante sensato ya que las cargas que la velocidad del desarrollo y las tecnologías de IA impone a los legisladores para mantenerse al día con ellas son onerosas y costosas», dice Frank Meehan, presidente de Improvability AI. que ofrece servicios de automatización de informes de sostenibilidad.
En vigor desde el 1 de agosto, la Ley de Inteligencia Artificial de la UE es ampliamente percibida como la forma de regulación más avanzada, aunque prescriptiva, en el espacio, lo que genera críticas, especialmente de sus pares estadounidenses.
«Si bien las regulaciones de la UE muestran una comprensión admirable de las tecnologías y sus implicaciones, particularmente en áreas como la defensa, también son prematuras y podrían sofocar la innovación», argumenta Meehan.
Sus pensamientos también se hicieron eco en PRI in Person, con Cameron Schuler, director de comercialización del Instituto Vector para la Inteligencia Artificial, argumentando que el Reglamento General de Protección de Datos de la UE ya iba demasiado lejos. «La pieza importante para esto es la interoperabilidad, asegurándose de que se está enfocando en las cosas que las organizaciones pueden hacer en todo el mundo», agregó.
En Asia, varios países, entre ellos Vietnam, Tailandia, Taiwán, Corea del Sur, Singapur, Malasia, Japón, Indonesia e India, han publicado proyectos de ley o tienen la intención de hacerlo. Se espera que Hong Kong publique su primera declaración de política sobre el uso de la IA a finales de mes.
China es el único país asiático que ha introducido formalmente legislación sobre IA, con un primer conjunto de leyes publicado en 2022-23, y otros proyectos de reglamentos sobre IA generativa publicados a principios de este año.
«En Asia no se han aprobado muchas leyes reales, mucho de lo que estamos viendo todavía se encuentra en la etapa de orientación», dice Marian Waldmann Agarwal, socia del bufete de abogados Morrison Foerster. «Lo que estamos viendo en todos los ámbitos son preocupaciones similares en torno a la promoción de los principios subyacentes a la tecnología, que básicamente se remontan al uso responsable, la transparencia y la inclusión».
En Australia, el Departamento de Industria, Ciencia y Recursos cerró recientemente una consulta sobre las barreras de protección obligatorias para la IA, subrayando que las consultas anteriores han demostrado que el sistema regulatorio actual del país no es adecuado para responder a los riesgos que plantea la tecnología.
«Es un verdadero desafío para nosotros en el panorama australiano, ya que aún no tenemos ninguna regulación en torno a esto», dijo Cairns de Alphinity en PRI in Person. «[Para las empresas], hay mucha preocupación en torno a moverse demasiado rápido cuando no se ha establecido una regulación. Si el entorno regulatorio va a ser muy estricto como lo que estamos viendo en la UE, es posible que tengan que rehacer las cosas más adelante. Pero también existe el riesgo de ser demasiado lento y quedarse atrás».
En Estados Unidos, la ausencia de una legislación federal general significa que los estados individuales han tomado la iniciativa.
«El entorno regulatorio en Estados Unidos es relativamente débil e incipiente», dice Narine. «Hay un campo creciente a nivel estatal con algunos proyectos de ley que han estado circulando, y se están llevando a cabo más conversaciones a nivel federal sobre lo que se necesita».
Pero como siempre ocurre con la regulación estadounidense, esos proyectos de ley se enfrentan a un fuerte cabildeo corporativo, explica Narine.
Etiqueta: Ciberseguridad
Aumentar la resiliencia en materia de ciberseguridad con los nuevos productos DORA
El 17 de julio, las Autoridades Europeas de Supervisión (ABE, EIOPA y ESMA) publicaron un segundo lote de productos de políticas en virtud de la Ley de Resiliencia Operativa Digital (DORA). Este paquete integral incluye cuatro borradores finales de normas técnicas regulatorias (RTS), un conjunto de normas técnicas de implementación (ITS) y dos directrices, todos diseñados para reforzar la resiliencia operativa digital del sector financiero de la UE.
Las nuevas regulaciones se centran en mejorar el marco de presentación de informes sobre incidentes relacionados con las TIC, introducir requisitos de pruebas de penetración basadas en amenazas y delinear el diseño del marco de supervisión.
Las iniciativas de la ESA se alinean con esfuerzos más amplios para aumentar la resiliencia en materia de ciberseguridad, especialmente a la luz de incidentes recientes como el error de software CrowdStrike Falcon, que causó importantes interrupciones en las TI a nivel mundial. Este incidente subraya la necesidad crítica de contar con una resiliencia cibernética sólida y capacidades de respuesta ante incidentes. A medida que las empresas dependen cada vez más de sistemas de TI complejos, la importancia de mantener la continuidad operativa y salvaguardar los datos se vuelve primordial.
El episodio de CrowdStrike sirve como un duro recordatorio de que incluso los fallos menores de software pueden tener consecuencias de gran alcance. Por lo tanto, la implementación de los requisitos de DORA es oportuna, con el objetivo de garantizar la prestación continua e ininterrumpida de servicios financieros en toda la UE. El marco regulatorio mejorado enfatiza las medidas proactivas, como las pruebas periódicas y la mejora de los informes de incidentes, para mitigar los riesgos cibernéticos de manera efectiva.
Las ESA ya han adoptado las directrices, mientras que el proyecto final de normas técnicas se ha presentado a la Comisión Europea para su revisión. Estas medidas contribuirán significativamente a la resiliencia y la seguridad del sector financiero, haciendo frente a las ciberamenazas actuales y emergentes.
Inteligencia artificial generativa y ciberseguridad en la banca central
Los ataques cibernéticos son cada vez más frecuentes y evolucionan en complejidad y sofisticación. Al mismo tiempo, hay cambios significativos en la tecnología generados por los rápidos desarrollos en los sistemas de IA de generación.
Al realizar una encuesta personalizada a los líderes de ciberseguridad de los bancos centrales en el foro GCRG administrado por la CRCC en enero de 2024, investigamos el estado de la adopción de las herramientas de IA gen, identificamos los beneficios y riesgos percibidos asociados con su uso para la ciberseguridad y destacamos los desafíos percibidos y las perspectivas futuras desde el punto de vista de los bancos centrales. Si bien la regulación de la IA aún no está completamente desarrollada (Aldasoro et al (2024b)), existe un fuerte consenso sobre la adopción de reglas comunes para el uso de la IA para la ciberseguridad, y un reconocimiento de que se necesitan nuevas formas de cooperación a nivel de los bancos centrales. Dichos esfuerzos de colaboración deben abordar el establecimiento de nuevos estándares de protección de datos para garantizar la implementación responsable de la IA genérica y, lo que es más importante, abordar el problema de la «brecha de habilidades» entre el personal humano.
El BPI apoya los esfuerzos de seguridad cibernética de los bancos centrales y la cooperación global a través de la CRCC. Establecido en 2019, el CRCC desempeña un papel fundamental en la futura integración de la IA de generación para la seguridad cibernética. Un enfoque estructurado para el intercambio de conocimientos, la colaboración y la formación de capital humano es de primera importancia para hacer frente a los desafíos futuros. Uno de los proyectos clave es el foro GCRG, que incluye a los CISO de los bancos centrales miembros del BPI, que representan el liderazgo en seguridad cibernética en la comunidad mundial de bancos centrales. Este grupo es fundamental para abordar los desafíos que presenta la adopción de tecnologías de IA. Otras iniciativas de CRCC incluyen una plataforma global de colaboración de resiliencia cibernética con más de 300 profesionales activos de seguridad cibernética de la comunidad de bancos centrales. Esta plataforma y esta comunidad están preparadas para convertirse en un foro central de colaboración e intercambio de conocimientos sobre el tema de los desafíos y la adopción de la IA.
El CRCC también lidera el proyecto de Evaluaciones de Resiliencia Cibernética. Su objetivo es proporcionar a los bancos centrales un marco común para evaluar su postura de ciber resiliencia y mejorar sus prácticas de ciber resiliencia en la prestación de servicios empresariales críticos. La CRCC ha realizado evaluaciones de resiliencia cibernética en varios bancos centrales miembros del BPI y ha proporcionado un punto de referencia mundial para la comunidad de bancos centrales. Los bancos centrales ahora pueden comparar su postura de resiliencia cibernética con el índice de referencia y tomar decisiones de inversión informadas con respecto a la seguridad cibernética. Además, el CRCC también lleva a cabo varios eventos comunitarios, como seminarios anuales de seguridad cibernética y ejercicios de alcance cibernético. Estos eventos ayudan a mantener a la comunidad mundial de ciberseguridad de los bancos centrales comprometida con los problemas y amenazas emergentes de ciberseguridad (como la adopción de la IA), garantizando así la preparación operativa.
La cooperación y el intercambio de información son fundamentales para reducir colectivamente el riesgo cibernético y prevenir y contener los incidentes cibernéticos graves. La importancia de la cooperación aumentará aún más con la adopción y el desarrollo de sistemas de IA de alta generación.
Divulgación de ciberseguridad
A medida que las reglas finales comiencen a entrar en vigor, reconocemos que las empresas públicas trabajarán para garantizar su cumplimiento. Esto podría implicar fomentar conversaciones entre los directores de seguridad de la información, otros expertos y tecnólogos en ciberseguridad de una empresa, el comité de divulgación de la empresa y los responsables de asesorarlos sobre el cumplimiento de la ley de valores. A medida que surgen preguntas interpretativas, quisiera hacer hincapié en la política de puertas abiertas de larga data de la División. Venga a hablar con el personal sobre sus preguntas. Reconocemos que la divulgación pertenece a las empresas públicas y que las empresas públicas y sus asesores están en la primera línea de la divulgación e información a los inversores.
El personal de la Comisión también está ocupado trabajando. Estamos trabajando no solo para responder preguntas y explicar la regla, sino también para preparar a los abogados y contadores de nuestro Programa de Revisión de Divulgaciones para revisar las divulgaciones. Para nuestro Programa de Revisión de Divulgación, el primer año de una regla es muy importante. Pero quiero asegurarles a las empresas y a sus representantes que nuestra División no busca hacer comentarios de «trampa» o penalizar las faltas en los pies. En la medida en que sea apropiado, podemos emitir comentarios prospectivos a empresas o CDI adicionales. Este es un mensaje similar al que yo y otros miembros de la División hemos dado con respecto a otras normas de divulgación que han entrado en vigor recientemente, como las normas de remuneración frente a desempeño. [17] Reconozco el valor de crear incentivos para los esfuerzos de buena fe para cumplir con las nuevas reglas, y espero que este mensaje y el historial de nuestra División con respecto a esas otras reglas brinden tranquilidad a las empresas y sus asesores, particularmente en el primer año de vigencia de esta regla.
Al recomendar nuevos requisitos de divulgación a la Comisión, nuestro objetivo como personal no es simplemente tener otra regla en los libros, simplemente agregar a la «lista de verificación» de cumplimiento de una empresa o inducir divulgaciones repetitivas. Más bien, esperamos obtener divulgaciones personalizadas que proporcionen información consistente, comparable y útil para la toma de decisiones a los inversionistas, en este caso sobre riesgos que realmente no existían (o al menos no existían en la forma actual y en la medida actual) cuando comencé a ejercer como abogado hace varias décadas. Incluso cuando un riesgo es emergente o está evolucionando, las normas de divulgación pueden proporcionar los mismos beneficios en términos de protección de los inversores y formación de capital que tienen para los riesgos a los que se han enfrentado las empresas públicas durante décadas.
La regla final de la SEC introduce informes digitales de ciberseguridad
La Comisión de Bolsa y Valores de EE. UU. (SEC) ha publicado su norma final sobre gestión de riesgos, estrategia, gobernanza y divulgación de incidentes de ciberseguridad por parte de empresas públicas. Esto requerirá que las empresas realicen divulgaciones anuales sobre gestión, estrategia y gobernanza de riesgos de ciberseguridad, así como divulgaciones adicionales después de cualquier incidente importante de ciberseguridad, utilizando Inline XBRL.
Al introducir datos estructurados y estandarizados, la SEC busca «hacer que las divulgaciones sean más accesibles para los inversores y otros participantes del mercado y facilitar un análisis más eficiente». Los comentaristas de la propuesta acogieron con agrado el potencial de extracción y análisis automatizados. Para facilitar la implementación y aliviar cualquier carga adicional de presentación de informes, la SEC ha incorporado fechas de cumplimiento escalonadas para los informes Inline XBRL, cada una de las cuales se aplica un año después del mandato de divulgación inicial.
Esta regla ha resultado controvertida, y algunos cuestionan la idoneidad de una mayor transparencia en un ámbito con posibles sensibilidades comerciales, así como las presiones de tiempo en torno a la divulgación de incidentes. Nuestra opinión, sin embargo, es que aquí, como suele ocurrir, la luz del sol es el mejor desinfectante. Éstas son áreas de riesgo cada vez más importantes donde las partes interesadas requieren información de alta calidad.
«Ya sea que una empresa pierda una fábrica en un incendio, o millones de archivos en un incidente de ciberseguridad, puede ser importante para los inversores», dijo el presidente de la SEC, Gary Gensler. “Actualmente, muchas empresas públicas ofrecen información sobre ciberseguridad a los inversores. Sin embargo, creo que tanto las empresas como los inversores se beneficiarían si esta divulgación se hiciera de una manera más coherente, comparable y útil para tomar decisiones. Al ayudar a garantizar que las empresas divulguen información importante sobre ciberseguridad, las normas actuales beneficiarán a los inversores, las empresas y los mercados que los conectan”.
La ciberseguridad de los bancos – Una segunda generación de enfoques regulatorios
Las reglamentaciones bancarias relativas a la ciberseguridad y la ciberresiliencia han madurado y ya están bien establecidas en varias jurisdicciones. Las regulaciones relacionadas con la seguridad cibernética y la resiliencia cibernética cubiertas en Crisanto y Prenio (2017) eran bastante nuevas. Estas regulaciones existían solo en unas pocas jurisdicciones, principalmente en AES, y se centraban en establecer un enfoque y controles de gestión de riesgos cibernéticos. Seis años después, muchas jurisdicciones, incluidas las EMED, ya cuentan con regulaciones relacionadas con el ciberespacio. Muchas de estas regulaciones más recientes (o regulaciones cibernéticas de segunda generación) se centran en mejorar las capacidades de resiliencia cibernética y proporcionar a las instituciones y autoridades financieras herramientas para gestionar adecuadamente los riesgos cibernéticos. No obstante, un número importante de EMED todavía no tienen regulaciones relevantes.
Los reguladores están agregando requisitos o expectativas específicas en algunas áreas o agregando nuevos elementos en sus regulaciones cibernéticas. Ahora existen requisitos regulatorios más específicos sobre respuesta y recuperación de incidentes cibernéticos, así como sobre gestión y supervisión de terceros, informes de incidentes y marcos de prueba. Algunas jurisdicciones también han introducido requisitos o expectativas para la fuerza laboral de seguridad cibernética y las métricas de resiliencia cibernética. Sin embargo, la estrategia de seguridad cibernética, los informes de incidentes cibernéticos, el intercambio de inteligencia de amenazas, las dependencias de terceros y las pruebas de resiliencia cibernética siguen siendo el enfoque principal de estas regulaciones.
Las regulaciones cibernéticas en las EMED tienden a ser más prescriptivas. Este es especialmente el caso cuando se trata de la estrategia de seguridad cibernética, los acuerdos de gobernanza, incluidos los roles y responsabilidades, y la naturaleza y frecuencia de las pruebas de resiliencia cibernética. Los reguladores bancarios en las EMED tal vez vean la necesidad de fortalecer la cultura de resiliencia cibernética en todo el sector financiero y/o de ser más claros y específicos en sus expectativas dadas las limitaciones de recursos y el suministro limitado de habilidades y experiencia en sus jurisdicciones. De esta manera, los consejos de administración, la alta dirección y el personal de los bancos tienen una orientación concreta a seguir para mejorar la seguridad cibernética de sus instituciones.
Es necesario protegerse contra un enfoque basado en el cumplimiento para abordar la ciberseguridad. Demasiada prescriptividad puede resultar en un enfoque de casilla de verificación para la seguridad cibernética. La implementación de regulaciones cibernéticas tampoco debe verse como un ejercicio de casilla de verificación. Debe complementarse con recursos de supervisión adecuados para garantizar una aplicación y un cumplimiento efectivos. Por lo tanto, hay margen para que las organizaciones internacionales y las autoridades financieras en Aes apoyen los esfuerzos de desarrollo de capacidades de supervisión en las EMED, en particular en el ámbito de la ciberseguridad. Después de todo, las amenazas cibernéticas no conocen fronteras.
El trabajo internacional (por ejemplo, de los organismos de seguridad y del G7) ha facilitado un nivel útil de convergencia de la ciber resiliencia en el sector financiero, pero es necesario seguir trabajando. Ninguna empresa o regulador puede abordar con éxito el riesgo cibernético por sí solo. Además, la naturaleza transfronteriza del riesgo cibernético requiere un grado razonable de alineación en las expectativas regulatorias nacionales. El trabajo del G7 CEG y los SSB sobre ciberresiliencia ha hecho que las expectativas de regulación y supervisión financiera sean más consistentes en diferentes jurisdicciones y, por lo tanto, es un paso en la dirección correcta. En particular, la propuesta del FSB para una mayor convergencia en la notificación de incidentes cibernéticos es un desarrollo importante, ya que trata de conciliar los diferentes requisitos jurisdiccionales que solo cargan a las instituciones supervisadas en lugar de ayudar a abordar estos incidentes. En el futuro, podría haber margen para alinear las formas en que las autoridades evalúan la resiliencia cibernética de las instituciones supervisadas. Esto podría, por ejemplo, incluir alinear la evaluación de la adecuación de la gobernanza de seguridad cibernética, la fuerza laboral y las métricas de resiliencia cibernética de una empresa. Además, dadas las posibles implicaciones transfronterizas para el sistema financiero de un incidente cibernético en un proveedor externo crítico, particularmente un proveedor de nube, podría haber margen para considerar un marco de supervisión internacional para dichos proveedores.
El imperativo de la innovación – modernizar la banca tradicional
La innovación plantea desafíos dentro del sistema bancario regulado, que pueden amplificarse para los bancos comunitarios. Además de presentar nuevas oportunidades, la innovación puede introducir nuevos riesgos y crear nuevas vulnerabilidades. Los bancos, y en realidad, cualquier empresa hoy en día que adopte nuevas tecnologías deben estar preparados para realizar las mejoras correspondientes para gestionar estos riesgos y vulnerabilidades, incluidas las mejoras en la gestión de riesgos, la ciberseguridad y el cumplimiento del consumidor. Los reguladores deben continuar promoviendo esfuerzos que sean consistentes con prácticas bancarias seguras y sólidas y en cumplimiento con las leyes aplicables, incluidas las leyes de protección al consumidor. Como estoy seguro de que aprecian, esta no siempre es una tarea fácil, y la respuesta regulatoria a la innovación debe reflejar los cambios en la forma en que los bancos participan en este proceso.
Es absolutamente crítico que la innovación no distraiga a los bancos y reguladores de los riesgos tradicionales que son omnipresentes en el negocio de la banca, particularmente el crédito, la liquidez, la concentración y el riesgo de tasa de interés. Estos riesgos más tradicionales están presentes en todos los modelos de negocio bancarios, pero pueden ser especialmente agudos para los bancos que participan en actividades novedosas o están expuestos a nuevos mercados. incluidos los criptoactivos. Cualquiera que sea la causa, muchos riesgos tradicionales pueden mitigarse con prácticas adecuadas de gestión de riesgos y planificación de la liquidez, y una supervisión eficaz, y sin sofocar la capacidad de los bancos para innovar.
Comunicado sobre Modificaciones al Reglamento SP, Gestión de Riesgos de Ciberseguridad y Modificaciones al Reglamento SCI
Las tres propuestas que estamos considerando hoy abordan el papel de la tecnología de la información en los mercados de valores. [1] La tecnología ya no es solo fundamental para el funcionamiento de los mercados: son los mercados, y su gestión es vital para la protección de los inversores y las operaciones de mercado justas, ordenadas y eficientes.
Si bien las tres propuestas que estamos considerando hoy están relacionadas, cada una tiene un alcance y propósito únicos: las enmiendas al Reglamento SP abordan la privacidad de los datos y la protección de la información del cliente, la propuesta de Gestión de riesgos de seguridad cibernética se centra en proteger a las entidades del mercado de las amenazas cibernéticas y las enmiendas a La regulación SCI se relaciona con la fortaleza y resiliencia de la infraestructura clave del mercado. En algunos casos, estos diferentes objetivos pueden lograrse por medios similares, por ejemplo, al exigir a las entidades que establezcan políticas y procedimientos para abordar los riesgos de seguridad cibernética. Y puede ser que las entidades del mercado puedan apalancar las mismas acciones para cumplir con más de una regla. Cada uno de los comunicados solicita comentarios sobre si la duplicación creará algún desafío de implementación práctica, y animo a los comentaristas a que nos digan si creen que ese es el caso. Sin embargo, cada una de estas propuestas aborda un aspecto diferente y crítico del papel de la tecnología en los mercados.
Continúan los preparativos para DORA
Esta semana, las Autoridades Europeas de Supervisión (ESA) celebraron un debate técnico sobre la próxima Ley de resiliencia operativa digital (DORA). DORA tiene como objetivo armonizar los requisitos de resiliencia operativa digital en toda la UE y entrará en vigor el 16 de enero de 2023, aplicable a partir del 17 de enero de 2025.
DORA tiene como objetivo aumentar la resiliencia del sector financiero con la nueva regulación que requiere que las empresas tengan una seguridad cibernética fuerte. Los mandatos de política discutidos esta semana incluyen la gestión de riesgos de TIC, la notificación de incidentes, el registro de información y los criterios de criticidad.
DORA es una pieza importante de la legislación que tendrá un impacto en las partes interesadas en múltiples sectores que suministran servicios financieros a los actores. Se espera que una consulta abierta contribuya al desarrollo de los mandatos de políticas (el RTS aún no se ha publicado). Observe este espacio para ver los desarrollos.
Perspectivas de los Grupos de Coordinación Cibernética 2021
Desde que se lanzó el programa CCG en 2017, los CCG han reunido a líderes de seguridad cibernética y riesgo tecnológico de la industria en foros compartidos y los han conectado con múltiples autoridades responsables de la resiliencia cibernética en todo el sector financiero, para discutir temas clave en un entorno seguro.
A las firmas miembro se unieron representantes de las autoridades financieras del Reino Unido y las agencias gubernamentales del Reino Unido (las autoridades), incluidas el Tesoro, la FCA, el Banco de Inglaterra, el Centro Nacional de Seguridad Cibernética (NCSC) y la Agencia Nacional del Crimen (NCA).
Los foros de CCG se celebran trimestralmente con el objetivo de ayudar a las empresas a compartir conocimientos, desafíos y buenas prácticas para proteger al sector financiero de las amenazas cibernéticas. También promueven el compromiso entre el sector financiero y las autoridades.
En 2021, celebramos 30 foros y reunimos a 152 empresas en 7 CCG, y cada CCG representa un subsector específico. Estos subsectores fueron Seguros, Gestión de Inversiones, Gestión de Fondos, Banca Minorista y Empresas de Pagos, Inversiones y Préstamos Minoristas, Brokers/Principales Empresas de Negociación y Comercio/Sociedades de Administración de Índices de Referencia.
La FCA también apoya el foro Trade Association Cyber Information Group (TACIG) que reúne a los principales organismos de la Asociación Comercial del Sector Financiero, para maximizar el intercambio de información relevante para el sector financiero.