La información siempre ha sido un elemento esencial para operar en los mercados financieros internacionales. Tener conocimiento de circunstancias que pueden afectar al valor de una determinada sociedad marca la diferencia a la hora de obtener resultados en operaciones financieras, lo cual ha convertido al establecimiento de condiciones de transparencia en una de las máximas prioridades de las autoridades financieras. En este sentido, dada la plena informatización de los procesos financieros (y, por tanto, el crecimiento de la dependencia de los sistemas informáticos en la operativa financiera), las autoridades llevan tiempo adoptando medidas a fin de asegurar el establecimiento de unos estándares reforzados de ciberseguridad en sus respectivos mercados.
Cabe destacar particularmente los esfuerzos realizados en este ámbito por la Securities and Exchange Commission (SEC) estadounidense, autoridad que ha decidido considerar esta cuestión como una de sus prioridades. Así, en febrero de 2018 publicó un documento en el que se contenían las directrices a seguir respecto a la notificación de incidentes de seguridad por parte de sociedades cotizadas. En dicho documento, la SEC estableció una serie de principios de obligatorio cumplimiento en caso de producirse este tipo de situaciones, destacando en particular los siguientes:
Este desarrollo de criterios regulatorios se ha visto a su vez acompañado por acciones ejecutivas. En efecto, La primera sanción que la SEC aplicó como consecuencia del incumplimiento -en opinión de dicha agencia- de unos estándares mínimos de ciberseguridad se produjo el pasado 24 de abril, multando con 35 millones de dólares a Altaba, Inc , sociedad operadora del portal Yahoo!, por no haber comunicado en tiempo y forma apropiados un ciberataque ocurrido en diciembre de 2014. En dicho ataque se vieron afectados las cuentas de millones de usuarios, entendiendo la SEC que al no comunicar dicha circunstancia la operadora del portal había ocultado un hecho tremendamente significativo a sus inversores, generándoles un potencial daño.
De acuerdo con la resolución hecho pública, la SEC concluyó que en diciembre de 2014 el equipo de ciberseguridad de Yahoo había tenido constancia del acceso y robo por parte de hackers rusos de datos personales de al menos 108 millones de usuarios, que contenían información muy sensible, como nombres de usuario y contraseñas, fechas de nacimiento y números de teléfono. Pese a haber notificado el ciberataque a la alta dirección de la compañía días después de descubrirlo, Yahoo ocultó la apropiación masiva de datos durante casi dos años, pese que sus informes trimestrales y anuales anunciaran la adaptación de la compañía a los riesgos potenciales que pudieran afectar a los datos personales de sus usuarios. Yahoo finalmente reveló en septiembre de 2016 el robo de datos ocurrido en 2014, y elevó la cifra de afectados a 500 millones de usuarios.
La Comisión refleja en la resolución sus críticas a la alta dirección de la compañía por haber obviado negligentemente el alcance y la gravedad de las consecuencias legales y del impacto en el negocio, pero principalmente por el incumplimiento en las obligaciones de comunicación del ciberataque en los informes anuales y documentos emitidos por la compañía, provocando que los inversores no dispusieran de la información necesaria y legalmente exigible para emprender acciones de mercado libres e informadas. Por otra parte, la sanción también recoge, por una parte, el incumplimiento de la obligación de Yahoo de comunicar el incidente a sus auditores y asesores externos, así como la inexistencia de procedimientos eficaces para gestionar los informes del equipo de ciberseguridad de la compañía y su consiguiente reflejo en los registros y documentos públicos de la compañía.
Por último, la sanción también hace referencia a la omisión sustancial del ciberataque durante las negociaciones conducidas en julio de 2016 para la compraventa del negocio operativo de Yahoo a la compañía Verizon, lo que provocó tras la publicación del incidente una renegociación y ajuste del precio de adquisición por valor de 350 millones de dólares, equivalente a un descuento del 7,25% sobre los 4.480 millones de dólares pactados inicialmente.
A esta primera sanción le ha seguido un creciente seguimiento de la autoridad financiera estadounidense del cumplimiento de los deberes de ciberseguridad de las compañías bajo su supervisión. El último ejemplo en este sentido lo encontramos en la multa que ha impuesto a Ameriprise Financial Services Inc., una firma de inversión, por no haber contado con los medios técnicos necesarios para impedir un fraude a sus clientes por parte de algunos trabajadores de la propia firma de inversión. En opinión de la SEC, Ameriprise no habría tomado las medidas técnicas necesarias para que sus sistemas informáticos detectaran y reportaran el desvío de fondos que se había producido, permitiéndose con ello la realización de transferencias fraudulentas a lo largo de varios años. Esta interpretación refleja claramente la importancia que le da la SEC a la introducción de medidas de seguridad en los sistemas informáticos de sociedades cotizadas u operadores financieros a fin no tan sólo de evitar la pérdida de información sino la detección de actuaciones irregulares.
Es probable que en el futuro próximo nos encontremos con desarrollos normativos parecidos al adoptado por la SEC en este ámbito, dado que cada vez serán más frecuentes casos parecidos a los descritos anteriormente.
Albert Agustinoy y Pedro Miguel Santos
