Últimos artículos

¿Más datos?

La regulación financiera ha estado en el centro de atención recientemente a medida que continúa la incertidumbre, impulsada por Silicon Valley Bank (SVB) en los Estados Unidos y Credit Suisse en la UE.

Si bien la digitalización ha ofrecido oportunidades para eliminar errores y acelerar el intercambio de información financiera, un artículo reciente sobre el Foro Económico Mundial sostiene que no se ha utilizado en todo su potencial. Según Diana Paredes, los informes digitales podrían subrayar la próxima generación de soluciones de tecnología reg-tech para ayudar a reducir el riesgo de otra crisis bancaria con informes financieros mejores y más rápidos.

Ella argumenta que los datos podrían ser «extraídos» de las empresas bajo demanda, en lugar de empujados (por ejemplo, reportados regularmente de acuerdo con los plazos de presentación de informes de la industria). Esto podría acelerar el flujo de información financiera.

¿Nuestra opinión? La reciente agitación bancaria ha demostrado cuánto puede cambiar en unas pocas horas: la historia podría indicar que es probable que se produzca una mayor frecuencia e intensidad de la información financiera. Un sistema de «atracción» para los datos regulatorios financieros también podría desempeñar un papel en la reducción del riesgo al dar a los reguladores acceso directo a los datos bancarios. Por supuesto, sigue habiendo fuertes argumentos en torno al riesgo moral, la ciberseguridad y la reputación regulatoria que podrían contrarrestar este tipo de enfoques, pero la mejora continua y la experimentación continua son ciertamente necesarias. El uso de estándares para impulsar la calidad y permitir la innovación a escala es clave para todo esto.

¿Podría la tecnología de regulación, o ‘reg-tech’, evitar quiebras bancarias?

Este emprendedor piensa que sí

Foro Económico Mundial

  • La regulación y supervisión financiera está en el centro de atención a medida que se intensifican las turbulencias bancarias en los Estados Unidos y Europa.
  • Es probable que la regulación se endurezca a raíz de los acontecimientos recientes, pero a pesar de la digitalización, los informes financieros no han cambiado mucho en décadas.
  • La tecnología de regulación, o «reg-tech» en la industria, es una herramienta importante para eliminar el riesgo de error o mala gestión, al tiempo que acelera el intercambio de información financiera entre los bancos y sus supervisores.

Cada crisis financiera pone de relieve la regulación bancaria. Sucedió en 2008 y unos 15 años después, aquí estamos de nuevo.

Si bien esta caída en picado bancario es muy diferente a la de 2008 y hay razones para esperar que no caiga en el pánico del mercado, aún no ha terminado y existe la sensación de que algo ha salido mal y necesita ser arreglado. Lo que sucederá a continuación no está claro, pero el aumento de las tasas de interés y el miedo en sí mismos presentan una perspectiva muy frágil para los próximos días y semanas. Los reguladores ya han respondido endureciendo la supervisión.

La tecnología de regulación, o reg-tech como se la conoce en la industria, fue una innovación que surgió de la última crisis. Esta vez, podría surgir como la respuesta de la tecnología a una mejor información financiera y gestión de riesgos que tiene el potencial de evitar la próxima crisis.

Entonces, ¿cómo funciona reg-tech?

Una de las debilidades de un sistema regulatorio financiero tradicional, ya sea en los Estados Unidos o Europa, es que depende excesivamente del juicio y la competencia de los reguladores bancarios. A pesar de la digitalización, los informes financieros no han cambiado mucho en décadas. Se basa en un sistema en el que los bancos centrales monitorean y supervisan la industria financiera mundial en función de los informes que son expulsados por las empresas bancarias.

Por el contrario, reg-tech permite lo que se conoce en la industria como intercambio de información «pull» en lugar de «push». Por lo tanto, los datos se extraen de las empresas, eliminando por completo la necesidad de informes. Esto hace que el intercambio de información financiera sea más rápido, más ágil y menos dependiente de la supervisión o el error humano.

Por lo tanto, Reg-tech podría permitir a la industria financiera pasar a un sistema basado en la extracción más dirigido por los reguladores, donde la información se extrae en la fuente, se analiza y se modela en tiempo real con las tendencias futuras proyectadas continuamente, asegurando que la supervisión de la industria permanezca en el punto en todo momento.

La CEO de Fin-tech y cofundadora de Suade, Diana Paredes, dice que reg-tech ofrece un escenario «donde las noticias, los análisis y los cálculos son rápidos y prácticamente listos para usar».

Se considera que la última crisis bancaria se debió en parte a una ola de desregulación en los Estados Unidos, donde los bancos pequeños y medianos que operaban por debajo de un umbral quedaron sujetos a una supervisión más relajada.

«

Lo que ahora es probable que veamos es un aumento en los informes de liquidez, no solo en el número de informes, sino también en la frecuencia.

«

— CEO y Co-fundadora de Suade, Diana Paredes

Este retroceso, dice Paredes, fue un «grave error de cálculo».

«La suposición era que esos bancos solo necesitarían hacer informes mensuales, pero lo que vimos con SVB es lo rápido que pueden cambiar las cosas en 24 horas. Eso es lo que va a tener que resetear masivamente en la regulación estadounidense. Lo que ahora es probable que veamos es un aumento en los informes de liquidez, no solo en el número de informes sino también en la frecuencia».

El malestar en la banca estadounidense que se ha extendido a Suiza está marcado hoy por un acuerdo de rescate para Credit Suisse y nuevos temores por la salud de los bancos europeos. A pesar de las medidas más sólidas de Basilea III implementadas en Europa, hay indicios de contagio y nerviosismo financiero global.

Paredes dice que esto y la situación de Estados Unidos significa que estamos a punto de ver un cambio dramático en la actividad regulatoria.

En los últimos años se ha debatido sobre la cuestión de la «proporcionalidad», donde el peso de la regulación se mide de acuerdo con el tamaño del banco. El documento de consulta Strong and Simple 2020 del Banco de Inglaterra preguntó a la industria cómo querrían ser desregulados. Este ya no es un escenario probable.

«Así que va a plantear todo tipo de grandes preguntas en la pieza regulatoria. El Comité de Basilea tendrá que ver cómo deben volver a aplicarse algunas normas o cómo deben orientarse en torno a la frecuencia, en particular con respecto a la proporcionalidad y la desregulación. Y en las próximas semanas, a muchas organizaciones financieras se les pedirá información de la noche a la mañana».

Agrega que esto en sí mismo podría desencadenar un contagio a raíz de rumores y pérdida de confianza.

Aquí es donde la tecnología reg-tech podría desempeñar un papel, explica. «Los reguladores podrían tener acceso directo a los bancos y hacer gran parte de este análisis sin notificar a los mercados ni hacer ningún tipo de pánico a su alrededor. Sería un concepto muy interesante para la supervisión».

Los comisionados de la SEC apoyan unánimemente las presentaciones electrónicas

La Comisión de Bolsa y Valores (SEC) celebró una reunión abierta para discutir las enmiendas para exigir que los corredores de bolsa y otros solicitantes de registro presenten electrónicamente ciertos formularios que actualmente se permiten presentar en formato impreso. Todos los comisionados de la SEC apoyaron unánimemente la propuesta. Los comentarios deben presentarse 60 días después de su publicación en el Registro Federal o el 22 de mayo de 2023, lo que ocurra más tarde. En la propuesta se hace referencia a los requisitos específicos de las normas de datos.

Específicamente, la Comisión propone exigir que el informe requerido por la Regla 15fk-1 (c) (2) (ii) (A) de la Ley de Intercambio y partes del Formulario 1, el Formulario CA-1, el Formulario 17-H y el Formulario X-17A-5 Parte III y las presentaciones anuales relacionadas se proporcionen en el lenguaje de datos estructurados Inline eXtensible Business Reporting Language («Inline XBRL»). La Comisión también propone exigir que el Formulario X-17A-19, el aviso a la Comisión (y cualquier enmienda a los avisos) requerido por la Regla 15fi-3 (c) de la Ley de Intercambio, y partes del Formulario 1-N, Formulario 15A, Formulario 1, Formulario CA-1, Formulario 17-H y Formulario X-17A-5 Parte III y las presentaciones anuales relacionadas se proporcionen en legible por máquina, Lenguajes de datos basados en lenguaje de marcado extensible («XML») específicos de esos documentos («XML personalizados»). Como se ha señalado, estos documentos estructurados se archivarían o presentarían en EDGAR. 

Además, la Comisión propone exigir a las organizaciones subregionales de servicios públicos de normalización que publiquen electrónicamente la información requerida en virtud de la regla 19b-4, letra e), utilizando un lenguaje de datos personalizado basado en XML (también denominado «esquema») que la Comisión crearía y publicaría en su sitio web para su uso por las organizaciones subregionales. La Comisión también propone exigir a las organizaciones subregionales que publiquen una versión renderizada en formato digital portátil («PDF») del documento XML personalizado utilizando un procesador de PDF que la Comisión también crearía y publicaría en su sitio web para que las organizaciones regionales las utilizaran.

La Comisión está considerando una propuesta bajo la Ley de Bolsa para exigir a los corredores de bolsa y otros registrantes que presenten formularios electrónicamente. Me complace apoyar esta propuesta porque, de ser adoptada, promovería los esfuerzos de la Comisión para modernizar la presentación de solicitudes para una amplia gama de solicitantes de registro.

Vivimos en una era digital: los certificados en papel para los bonos del Tesoro de los Estados Unidos han sido cosa del pasado durante mucho tiempo. Nuestros mercados y modelos de negocio han sido transformados por el comercio electrónico, la nube, la inteligencia artificial y el análisis predictivo de datos. En 2023, uno podría pensar que todas las presentaciones a la Comisión ya podrían hacerse electrónicamente. Eso aún no es cierto.

La propuesta de hoy se basa en una larga serie de acciones de la Comisión. Fue en febrero de 1983, hace 40 años el mes pasado, que el presidente Shad formó el primer grupo de trabajo para explorar la viabilidad de un sistema de divulgación electrónica. En abril de 1993, la Comisión comenzó a exigir presentaciones electrónicas a través del sistema electrónico de recopilación, análisis y recuperación de datos, comúnmente conocido como EDGAR. En las décadas posteriores, hemos realizado muchos otros cambios para facilitar o requerir la presentación electrónica y el mantenimiento de registros. Sin embargo, no fue hasta 2015 que los corredores comenzaron a presentar electrónicamente sus auditorías anuales ante la Comisión.

Hoy en día, tenemos la importante oportunidad de exigir la presentación electrónica para casi todas las presentaciones en papel restantes requeridas bajo la Ley de Intercambio.

Tal como se propuso, las enmiendas requerirían que las entidades bajo la Ley de Intercambio presenten electrónicamente una serie de formularios anuales y trimestrales actualmente presentados en papel. Por ejemplo, los corredores y otros solicitantes tendrían que presentar electrónicamente sus presentaciones anuales de auditoría e informes de evaluación de riesgos. Al agilizar la presentación y el procesamiento de la Comisión, esto también nos ayudaría a analizar más rápidamente las presentaciones para garantizar el cumplimiento de las leyes del Congreso y nuestras reglas.

Creo que la propuesta, si se aprueba, ahorraría tiempo y recursos tanto a los solicitantes de registro como a la Comisión. Supervisamos a más de 3,500 corredores de bolsa, la gran mayoría de los cuales presentan informes anuales de auditoría. Si bien muchos contribuyentes presentan voluntariamente estas auditorías electrónicamente, casi la mitad las presentó en papel el año pasado. Estas presentaciones pueden durar hasta 100 páginas.

Si se adopta, la propuesta modernizaría la forma en que la Comisión procesa estas importantes presentaciones de corredores y otros solicitantes de registro.

Uso de IA en el análisis de datos financieros

El Consejo de Normas de Contabilidad Financiera de los Estados Unidos (FASB) y el Consejo de Normas de Contabilidad Gubernamental (GASB) están investigando las formas en que los inversores están utilizando la inteligencia artificial (IA) para consumir y analizar datos financieros.

Con la creciente popularidad de ChatGPT, AI está recibiendo mucho tiempo de emisión recientemente. Como tal, FASB y GASB ven que es importante monitorear y comprender continuamente cómo los inversores están utilizando la IA.

El presidente de FASB, Richard Jones, dijo que una parte clave del alcance de los inversores de la junta «es realmente comprender qué datos son los más importantes, cómo se procesan y cuándo influyen realmente en esas decisiones de asignación de capital».

¿Nuestra perspectiva sobre el creciente poder de la IA para el análisis financiero? Si bien algún día podría ser posible raspar perfectamente los datos no estructurados utilizando inteligencia artificial, la tecnología aún está muy lejos. Siempre será más eficiente informar primero los datos de manera precisa y efectiva en un formato legible por máquina, y hacer que los datos resultantes estén disponibles públicamente para muchos tipos diferentes de uso. La IA funciona mejor con datos estructurados. Eso significa tres cosas en particular.

En primer lugar, el uso de la IA para ayudar a las empresas a superar las decisiones de etiquetado más simples y liberar tiempo para decidir sobre aquellas que necesitan un juicio significativamente mayor es una tendencia que solo se acelerará. Aumentará la facilidad con la que se puede realizar el etiquetado y permitirá que se marquen más datos no estructurados de lo que antes podría haber sido posible o económico.

En segundo lugar, para los informes comerciales digitales, las taxonomías XBRL consistentes y de alta calidad son cada vez más importantes en la era de la IA. Ambos impulsan las herramientas que ayudan cada vez más a la administración a llegar a la conclusión correcta sobre las etiquetas que necesitan usar y proporcionan un marco comparable para el análisis avanzado, incluidos aquellos que dependen de la IA.

Las empresas deben apreciar que cada vez más, sus divulgaciones estructuradas están siendo consumidas por máquinas en nombre de reguladores, inversores y una amplia gama de otras partes interesadas. Con el nivel de innovación e inversión que ahora se destina al aprendizaje automático y las redes neuronales avanzadas, esto debería ser una señal para centrarse en la calidad y la utilidad de sus informes de datos estructurados.

Legisladores contables de EE.UU. estudian cómo los inversores utilizan la inteligencia artificial para consumir datos financieros

El FASB y el GASB están monitoreando activamente la evolución de los informes financieros electrónicos, incluida la forma en que los inversores usan la Inteligencia Artificial (IA) para consumir datos, dijeron los presidentes de las juntas de reglamentación contable el 28 de febrero de 2023.

El FASB está vigilando el uso de la IA, incluidos chatbots como ChatGPT, que estudian cómo los usuarios de los estados financieros consumen información de informes financieros en estos días, dijo el martes el presidente de FASB, Richard Jones, a los fideicomisarios de la Fundación de Contabilidad Financiera (FAF).

«No, no vamos a usarlo para escribir nuestros estándares, solo lo notaría», dijo. «Pero creo que es importante y eso es parte de nuestro alcance continuo con los inversores para comprender su capacidad para procesar datos, cómo están procesando los datos, cómo obtenemos la información de datos más importante en nuestras decisiones de asignación de capital de inversión».

Los comentarios de Jones fueron en respuesta a una pregunta planteada por la vicepresidenta del Consejo de Administración, Mary Barth, quien abordó el tema de la IA, señalando que «está recibiendo mucha prensa» y ha generado un gran revuelo entre los académicos.

Barth preguntó hasta qué punto el FASB piensa en cómo los inversores ingieren información de informes financieros en estos días con el uso de la tecnología. «Y si es así, ¿qué estás haciendo al respecto? ¿qué estás pensando al respecto?»

«Yo diría que es parte de un proceso continuo», dijo Jones. «Obviamente trabajamos con la SEC en cierto etiquetado XBRL de información que se usa ampliamente en el procesamiento de información, pero es algo que estamos mirando hacia el futuro y lo que sigue y cómo nuestros inversores están procesando esos datos», dijo.

Jones agregó que una parte clave del alcance de los inversores de la junta «es realmente comprender qué datos son los más importantes, cómo se procesan y cuándo influyen realmente en esas decisiones de asignación de capital».

El FASB desarrolla EE.UU. Principios de contabilidad generalmente aceptados conocidos como U.S. GAAP para empresas públicas y privadas, organizaciones sin fines de lucro y planes de beneficios para empleados. El GASB también desarrolla U.S. GAAP, pero para gobiernos estatales y locales. La FAF tiene la responsabilidad de supervisar ambas juntas.

Data Act es un gran problema para GASB

El presidente de GASB, Joel Black, quien también abordó el tema de los informes electrónicos, pero en relación con la aprobación de la Ley de Transparencia de Datos Financieros (FDTA) del gobierno federal, dijo que la Ley es un gran problema para la junta.

La FDTA le da a la SEC el requisito de implementar un estándar de datos para el entorno de valores municipales y cualquier informe presentado ante la Junta de Reglamentación de Valores Municipales (MSRB). Esto podría plantear desafíos para el GASB, ya que los informes electrónicos podrían resultar de la Ley.

Una preocupación que Black reiteró es que si otra entidad también establece estándares de datos para la información que necesitan los usuarios y el GASB no participó en ese proceso, entonces afectaría la misión de la junta, que es garantizar que los usuarios reciban la información financiera correcta de los informes gubernamentales.

«Es importante que participemos cualquiera que sea el proceso de determinar cuál es la información correcta, ese es el desarrollo de la taxonomía, eso es algo que la SEC posiblemente aparentemente va a hacer en lo que se refiere a la implementación de la Ley», dijo. «Ciertamente nos estamos comprometiendo con ellos, haciéndoles saber que creemos que estamos bien posicionados para ayudar con antes de los informes financieros anuales, tal esfuerzo de crear un estándar de datos y que estamos listos para desempeñar un papel constructivo en eso. Por lo tanto, continuamos acercándonos a ellos y comprometiéndonos con ellos y alentándolos a comprometerse con nosotros».

Cuando el fideicomisario de FAF, Manju Ganeriwala, le preguntó cómo planea el GASB abordar algunos de los desafíos que puede enfrentar como resultado de la Ley, Black dijo que la junta había estado monitoreando los informes financieros electrónicos desde hace algún tiempo.

«Creo que, si la Ley ocurrió o no, ha sido algo a lo que estamos dedicando más tiempo a monitorear la evolución en los informes financieros electrónicos, cómo está cambiando la tecnología, cómo los inversores y otros usuarios de la información financiera del gobierno están consumiendo esa información», dijo. «Así que eso ha sido de interés para nosotros. Creo que esta ley realmente acelera eso».

Proteger a los inversores de los ciberataques y mejorar la ciberseguridad en los mercados de capitales de EE. UU.

Los ataques cibernéticos y las violaciones de datos asociadas imponen costos financieros y emocionales significativos a las víctimas. Una vez que las identidades de las víctimas son robadas, o su información de identificación personal es revelada de manera inapropiada y/o vendida a los mejores postores criminales, el daño puede ser irreparable e irreversible.

Es por eso que debemos hacer todo lo que esté a nuestro alcance para mejorar las prácticas de ciberseguridad de los participantes del mercado y proteger la información personal confidencial de los inversores. Con ese espíritu, la Comisión está modificando las reglas existentes y proponiendo otras nuevas que fortalecerán la resiliencia del mercado financiero y aumentarán la confianza de los inversores.

Ante el rápido cambio tecnológico y el aumento de las amenazas de actores malignos tanto en el país como en el extranjero, las reformas de seguridad cibernética que se proponen hoy son necesarias y apropiadas. Son una parte importante de nuestros esfuerzos continuos para modernizar y actualizar nuestras reglas, así como para cumplir nuestra misión de la manera más eficaz posible en nombre de millones de personas que invierten en nuestros mercados de capital y son las principales víctimas de los ataques cibernéticos.

El año pasado, el Consejo de Estabilidad Financiera (FSB), un organismo internacional de bancos centrales y reguladores financieros que promueve la estabilidad financiera mundial, señaló en un informe clave que los incidentes cibernéticos están “creciendo rápidamente en frecuencia y sofisticación”, tienen lugar en el contexto de “creciente interconexión del sistema financiero” y crear un mayor riesgo de “efectos indirectos a través de fronteras y sectores”.

En 2021, la Oficina Federal de Investigaciones informó que la extorsión, el robo de identidad y las filtraciones de datos personales eran tres de los cinco principales delitos cibernéticos. Además de las pérdidas financieras por la apropiación indebida o el robo de fondos, los ciberdelincuentes pueden amenazar con revelar información personal sobre una persona que dañaría su reputación.

Los ciberataques y las filtraciones de datos pueden tener efectos devastadores en las empresas y sus clientes y socavar la confianza de los inversores y el mercado. En la última década, los ataques cibernéticos de todos los tamaños han resultado en el robo de cientos de millones de registros y daños a las víctimas por miles de millones.

Apenas la semana pasada, una violación de datos en un mercado de seguros de salud expuso potencialmente información de identificación personal de cientos de miembros del Congreso y del personal del Capitolio.

A través de las propuestas que se están considerando hoy, los participantes del mercado deberán adoptar e implementar políticas y procedimientos de seguridad cibernética efectivos, que incluyen:

  • divulgaciones a la Comisión y al público sobre incidentes significativos de ciberseguridad;
  • notificación a los clientes si su información personal confidencial se ve comprometida; y
  • prácticas de ciberseguridad más sólidas para ciertas infraestructuras de mercado importantes y participantes clave del mercado, incluida una supervisión mejorada de los proveedores de servicios en la nube.

Las entidades del mercado que fortalezcan sus prácticas de ciberseguridad estarían más seguras y podrían mitigar los riesgos para ellas mismas, sus clientes y nuestros mercados.

Reglamento SP

En la primera parte del paquete de ciberseguridad de hoy, la Comisión propone actualizaciones del Reglamento SP. Adoptada por primera vez en 2000, esta “regla de salvaguardia” requiere que los corredores, intermediarios, compañías de inversión y asesores de inversión registrados adopten políticas y procedimientos escritos con salvaguardas administrativas, técnicas y físicas para proteger los registros de los clientes y la información personal confidencial.

Desde la adopción de la regla de salvaguardias hace 22 años, los avances tecnológicos han revolucionado la gestión y el almacenamiento digital de la información personal identificable de los clientes por parte de las empresas. En relación con las realidades actuales del mercado, la Regulación SP está lamentablemente desactualizada, por lo que las actualizaciones y reformas para fortalecer las protecciones para el público inversionista están justificadas y se deben desde hace mucho tiempo.

La Comisión propone exigir políticas y procedimientos por escrito relacionados con el programa de respuesta a incidentes de una entidad, incluidos los procedimientos para notificar a las personas si su información confidencial se ve comprometida en una violación de datos.

Los consumidores en estados con protecciones más estrictas que las previstas en la norma federal mínima propuesta no se verán perjudicados por esta propuesta y seguirán beneficiándose de esas protecciones más estrictas.

La propuesta también requiere de manera afirmativa la notificación a las personas cuya información confidencial se haya visto comprometida. Esta es una divulgación importante que proporcionaría una notificación consistente a los consumidores, independientemente de su estado de residencia.

El requisito afirmativo de notificación ayuda a garantizar que los clientes reciban una notificación oportuna de las infracciones y tengan la oportunidad de protegerse.

En general, esta propuesta, elaborada por expertos por los servidores públicos comprometidos en las divisiones de Comercio y Mercados y Gestión de Inversiones de la Comisión, fortalece la seguridad cibernética en nuestros mercados de capital y aumenta la protección de los inversores.

Por estas razones, me complace apoyarlo.

Gestión de Riesgos de Ciberseguridad

Las políticas y los procedimientos sólidos de gestión del riesgo cibernético son esenciales para proteger a los inversores y a nuestros mercados de capitales de los ataques cibernéticos, que han aumentado en los últimos años. La propuesta de hoy sobre gestión de riesgos de ciberseguridad establece un marco práctico y eficaz para lograr estos objetivos.

La propuesta requeriría que varias entidades del mercado registradas en la Comisión, incluidos los corredores de bolsa, las agencias de compensación, las entidades de intercambio basadas en valores y las bolsas, adopten e implementen políticas y procedimientos que aborden los riesgos de seguridad cibernética. Esto incluiría requisitos de mantenimiento de registros para facilitar el examen del cumplimiento y la identificación de cualquier deficiencia.

La propuesta también requeriría la divulgación pública y la notificación a la Comisión de incidentes y riesgos significativos de ciberseguridad. Estas divulgaciones permitirían al público y a la Comisión monitorear de cerca las tendencias emergentes y los riesgos de seguridad cibernética y proporcionar a los inversores y otros participantes del mercado información relevante sobre ataques cibernéticos y violaciones de datos.

Las entidades del mercado, como instituciones financieras, a menudo son el objetivo de los malhechores que buscan obtener ganancias ilícitas o causar daño a nuestros mercados. Las amenazas a las que se enfrentan las entidades del mercado evolucionan constantemente y aumentan en sofisticación. Las entidades del mercado también enfrentan riesgos de seguridad cibernética interna por errores de empleados, proveedores de servicios o contrapartes.

La propuesta de hoy requeriría que estas entidades del mercado tomen medidas razonables para proteger sus sistemas de información de los riesgos de ciberseguridad. A la luz de los importantes beneficios para los inversores y la integridad del mercado, me complace apoyarlo.

Reglamento SCI

Las enmiendas propuestas hoy al Cumplimiento e integridad del sistema de regulación, o la Regulación SCI, garantizan que las entidades clave de infraestructura del mercado de valores tengan sistemas sólidos, resistentes y seguros. Estas actualizaciones respaldan nuestra misión de mantener mercados justos, ordenados y eficientes.

Las enmiendas extenderían la cobertura de la Regulación SCI a los repositorios de datos de intercambio basados ​​en valores registrados, los grandes corredores de bolsa y ciertas agencias de compensación exentas. Esta extensión garantizaría que las entidades que realizan funciones como la difusión de datos de mercado y las funciones de depósito central para swaps basados ​​en valores, sean tratadas de manera similar a las entidades que realizan esas funciones para otras clases de activos, como acciones.

Los grandes corredores de bolsa se incluyen en el alcance debido al importante papel que desempeñan en nuestros mercados de capital. Los corredores de bolsa minoristas y sus clientes dependen de la disponibilidad, integridad y flexibilidad de los sistemas de los corredores de bolsa más grandes para ejecutar, compensar y liquidar transacciones. Una falla catastrófica de los sistemas en un corredor de bolsa grande podría cortar efectivamente el acceso a los mercados a sus clientes, con un daño significativo y desproporcionado para los inversores minoristas.

La expansión del alcance de la Regulación SCI, junto con las actualizaciones que dan cuenta de los mayores riesgos de seguridad cibernética, el uso más amplio de proveedores de servicios en la nube y la creciente interconexión de los sistemas de mercado, reforzarán la capacidad de recuperación general de la infraestructura tecnológica de los mercados de valores de EE. UU.

Apoyo esta importante propuesta y las otras propuestas relacionadas con la seguridad cibernética discutidas hoy, y agradezco la opinión del público sobre sus posibles beneficios para los inversores minoristas y para nuestros mercados de capital.

La diversidad en la cima hace que los bancos sean mejores

La diversidad es una cuestión de buena gobernanza para los bancos y conduce a una mejor toma de decisiones. Por este motivo, Frank Elderson, miembro del Comité Ejecutivo del BCE y vicepresidente del Consejo de Supervisión del BCE, y Elizabeth McCaul, miembro del Consejo de Supervisión del BCE, animan a las entidades de crédito a mejorar la diversidad de sus consejos.

La banca sigue siendo un mundo de hombres. De los 361 nombramientos de consejeros delegados realizados entre 2020 y 2022 en las entidades significativas supervisadas directamente por el BCE, así como en sus filiales, más de 300 eran hombres, como ha observado el BCE. Además, en el mismo período, solo el 36% de los miembros de los consejos de administración recién nombrados en las IS eran mujeres. ¿Por qué es eso un problema? Por un lado, las juntas directivas diversas toman mejores decisiones comerciales. Y como supervisores, es nuestro trabajo verificar que los bancos tomen medidas para crear las mejores condiciones para tomar buenas decisiones.

Por lo tanto, hemos estado recopilando información sobre la gobernanza en las IS. Desafortunadamente, los datos revelan una imagen mixta. Por un lado, ha habido mejoras en las políticas de diversidad de los bancos, que incluyen educación, experiencia, procedencia geográfica y edad, además del género. El año pasado, nos dirigimos directamente a varios bancos sobre su falta de tales políticas, y es bueno ver que han actuado en consecuencia. Otros bancos que ya tenían políticas de diversidad han elevado sus objetivos. Por otro lado, cuando miramos los objetivos reales establecidos, solo podemos expresar nuestra decepción. En promedio, los bancos solo elevaron sus objetivos de diversidad para los órganos de dirección del 32 % en 2020 al 34 % a finales de 2022.

Además de que los objetivos reales son decepcionantes, ¿qué podemos decir sobre cómo los bancos los están cumpliendo? En general, alrededor de un tercio de las entidades significativas no han alcanzado sus propios objetivos y tienen previsto hacerlo en los próximos 3 años. Mientras que 28 de los bancos que supervisamos directamente aumentaron el número de mujeres en sus juntas directivas en 2022, 16 hicieron nombramientos que en realidad redujeron la diversidad de género. Además, la proporción de mujeres nombradas en los consejos de administración fue baja, en torno al 34%. Con estas cifras, dudamos que estos objetivos puedan alcanzarse pronto.

Esto simplemente no es lo suficientemente bueno. En aras de una buena gobernanza, los bancos tienen que impulsar una mejora más rápida. Es por eso que agregamos consideraciones de diversidad de género a nuestra Guía para evaluaciones de ajuste y adecuadas en 2021. La Guía establece los controles que realizamos para garantizar que los altos directivos recién contratados estén listos y calificados para dirigir un banco y ahora pide a los bancos que respeten sus objetivos de diversidad de género. También hicimos que la eficacia y la diversidad del órgano de gestión formaran parte de nuestras prioridades de supervisión para 2022-24 en un esfuerzo por aumentar la velocidad a la que se están realizando mejoras. Este compromiso se ha reafirmado ahora en nuestras prioridades para 2023-25, en particular en términos de hacer que los bancos estén en mejores condiciones para hacer frente a los crecientes desafíos a los que se enfrentan. Cuando identificamos deficiencias en las políticas de diversidad durante el proceso de idoneidad, enviamos cartas de recomendación a los bancos sobre cómo pueden abordar cualquier deficiencia identificada y cumplir con los objetivos establecidos. En 2021 y 2022, planteamos problemas de diversidad en 36 casos, la mayoría de los cuales abordamos haciendo recomendaciones. Además, supervisamos el rendimiento de los bancos en términos de diversidad de género durante el proceso de revisión y evaluación supervisora, en el que comprobamos la capacidad de los bancos para hacer frente a los riesgos potenciales. En general, seguimos viendo la diversidad como una prioridad cuando se trata de la gobernanza interna.

Veamos un ejemplo reciente de cómo utilizamos nuestras herramientas de supervisión para abordar las deficiencias de los bancos. En un caso, identificamos un banco cuya junta no funcionaba bien, en parte debido a la falta de diversidad de pensamiento y experiencias. Este hallazgo dio lugar a una inspección in situ del banco. Además, sugerimos que el banco realizara una revisión externa de su junta para compararla con las mejores prácticas de la industria. La revisión confirmó que había debilidades a nivel de la junta, en particular con los miembros que colectivamente no tenían las experiencias relevantes necesarias y una falta de independencia, lo que limitaba la capacidad de la junta para supervisar las actividades del banco. Luego exigimos al banco que revisara la composición de su junta directiva. Al final, el banco cambió la composición de su junta para aumentar la diversidad de las experiencias y antecedentes de sus miembros. Continuaremos evaluando casos como estos como parte de nuestra supervisión continua y el proceso de idoneidad en relación con futuros nombramientos de la junta.

Queremos ver juntas con equilibrio de género, no solo porque es justo, sino porque mejora la gobernanza. Una de las razones es que la gestión equilibrada de género fomenta una gama más amplia de puntos de vista, opiniones, experiencias, percepciones, valores y antecedentes. Esto es crucial para evitar el pensamiento grupal o las mentalidades de rebaño, y también puede ser beneficioso para la solidez del banco.

«Mujeres en los consejos de administración»

Luchar por el equilibrio de género no es solo una prioridad para el BCE. El cambio también está llegando a nivel europeo. A finales de 2022, los colegisladores adoptaron formalmente la Directiva sobre las mujeres en los consejos de administración. Esto estableció un objetivo claro: la junta corporativa de un banco que cotiza en bolsa solo puede considerarse equilibrada cuando cada género representa al menos el 40% de su composición. Si bien algunos países ya han establecido un objetivo y otros no, se espera que todos los Estados miembros de la UE incorporen esta directiva de la UE a la legislación nacional en los próximos dos años. Alrededor de 35 entidades significativas tendrán que cumplir el objetivo a más tardar en junio de 2026. Una vez que el objetivo se haya incorporado a la legislación nacional, esperamos que la evaluación comparativa y la presión de los pares se conviertan en herramientas aún más poderosas que ayuden a mejorar la gobernanza de los bancos.

Utilizaremos las herramientas de supervisión ya disponibles dentro de los límites de la legislación nacional para insistir en que los bancos mejoren y aborden cualquier deficiencia de gobernanza interna relacionada con la diversidad de género. También trabajaremos sin descanso para garantizar que los bancos establezcan objetivos de diversidad más creíbles y ambiciosos para sí mismos, y que luego los alcancen. Mejorar la diversidad redunda en beneficio de los bancos porque puede ayudar a mejorar la toma de decisiones. Más importante aún, hacerlo también redunda en el mejor interés del público en general porque garantiza una sólida gobernanza bancaria a través de una toma de decisiones sólida y más informada. Y eso significa bancos más seguros para todos en Europa.

Investigación del Reino Unido sobre los informes de los gobiernos locales

El Comité de Nivelación, Vivienda y Comunidades (LUHCC) del Reino Unido está iniciando una investigación sobre la información financiera y la auditoría en las autoridades locales tras los llamamientos para que los estados financieros de las autoridades locales sean más comprensibles.

La investigación explorará el propósito y los usos de la información financiera de las autoridades locales, y tratará de descubrir cómo las cuentas de las autoridades locales podrían satisfacer mejor las necesidades de los usuarios y ser más accesibles.

«La presentación de informes financieros efectivos a nivel del consejo local es importante no solo para ofrecer una buena relación calidad-precio para estos servicios, sino que también es clave para la rendición de cuentas democrática», dice el presidente de LUHCC, Clive Betts MP. «Como comité, estamos interesados en que nuestra investigación examine cómo se podrían mejorar los informes financieros de las autoridades locales para interactuar mejor con los contribuyentes y otras partes interesadas».

Con la FDTA centrando la atención en los informes financieros de los gobiernos locales en los Estados Unidos, parece oportuno que el gobierno del Reino Unido también esté explorando cómo las finanzas locales podrían ser más accesibles y útiles.

El Parlamento inicia una investigación sobre la información financiera de los gobiernos locales

Llamado a evidencia mientras el comité de la Cámara de los Comunes anuncia una investigación sobre informes financieros y auditorías del gobierno local, luego de la campaña de ICAEW.

El Comité de Nivelación, Vivienda y Comunidades (LUHCC) de la Cámara de los Comunes ha iniciado una investigación sobre la presentación de informes financieros y la auditoría en las autoridades locales, tras los llamamientos del ICAEW para que los estados financieros de las autoridades locales sean más comprensibles.

La investigación explorará el «propósito, comprensión e impacto» de las cuentas y auditorías de las autoridades locales, buscando respuestas a una serie de preguntas centradas en cuatro temas clave:

  • usuarios y usos de las cuentas y auditorías de las autoridades locales;
  • la comprensibilidad y accesibilidad de las cuentas y auditorías de las autoridades locales;
  • hacer que las cuentas de las autoridades locales satisfagan mejor las necesidades de los usuarios; y
  • abordar los resultados de las auditorías y compartir las mejores prácticas.

El anuncio sigue a los llamamientos de ICAEW para una investigación parlamentaria sobre el propósito de los informes de las autoridades locales. Su presentación de noviembre 2021 a la investigación del Comité de Cuentas Públicas sobre el sistema financiero del gobierno local señaló el impacto positivo que el informe del Comité de Administración Pública y Asuntos Constitucionales de 2016 tuvo en las cuentas del gobierno central. Declaró que una investigación similar para el gobierno local podría ayudar a CIPFA/LASAAC a racionalizar esas cuentas.

«La presentación de informes financieros efectivos a nivel del consejo local es importante no solo para ofrecer una buena relación calidad-precio para estos servicios, sino que también es clave para la rendición de cuentas democrática», dice el presidente de LUHCC, Clive Betts MP. «Como comité, estamos interesados en que nuestra investigación examine cómo se podrían mejorar los informes financieros de las autoridades locales para interactuar mejor con los contribuyentes y otras partes interesadas».

Oliver Simms, Gerente de Auditoría y Aseguramiento del Sector Público de ICAEW, comenta: «Nos complace que la LUHCC haya escuchado nuestras llamadas y haya lanzado esta investigación. Esperamos que tenga un impacto positivo en la accesibilidad y comprensión de los informes financieros de los gobiernos locales, de la misma manera que la investigación de PACAC de 2016, Contabilidad para la democracia, tuvo en los informes financieros del gobierno central.

«Si los estados financieros de las autoridades locales se hubieran utilizado y examinado mejor, algunos fracasos financieros recientes podrían haberse evitado y los residentes habrían sido conscientes de los riesgos que su consejo estaba tomando, por lo que esta es una investigación importante para el sector».

La fecha límite para la presentación de pruebas es el 17 de abril de 2023. El ICAEW responderá a la consulta y está interesado en escuchar las opiniones de los miembros y otras partes interesadas. Una reunión virtual para informar nuestra respuesta tendrá lugar a las 10 am del martes 21 de marzo de 2023.

El BCE y las AES piden que se mejore la divulgación de información ASG a los activos titulizados

Esta semana, las Autoridades Europeas de Supervisión (AES), junto con el Banco Central Europeo (BCE), publicaron una declaración en la que alentaban las normas de divulgación de los datos relacionados con el clima sobre activos titulizados.

El BCE y la ESAS argumentan que hay una falta de datos relacionados con el clima sobre los activos subyacentes a los productos de financiación estructurada, lo que supone un obstáculo para la evaluación adecuada de los riesgos relacionados con el clima y la inversión efectiva en productos respetuosos con el clima.

Para abordar esto, las AES están trabajando para establecer estándares de divulgación de información para activos titulizados que incluirán información relacionada con el clima y revisar la regulación para promover requisitos sólidos de divulgación de información para los productos financieros. Si bien la divulgación de información es voluntaria en la actualidad, las AES piden a los originadores que recopilen los datos que los inversores necesitan a través de las plantillas de divulgación de titulización existentes. El objetivo es que los repositorios de titulizaciones ofrezcan un acceso sin fisuras a los datos relacionados con el clima para apoyar la transparencia y la claridad para los inversores.

¿Y para el futuro? Potencialmente, los nuevos requisitos de divulgación relacionados con el cambio climático para instrumentos de financiación similares podrían proporcionar datos coherentes, comparables y armonizados, idealmente, ¡en formato digital!

Declaración conjunta AES-BCE sobre la divulgación de información sobre el cambio climático en relación con los productos de financiación estructurada

Las Autoridades Europeas de Supervisión1 (AES) y el BCE se han comprometido a contribuir a la transición hacia una economía más sostenible en el marco de sus respectivos mandatos. Dado que la inversión en productos financieros que cumplen estrictas normas ambientales, sociales y de gobernanza (ASG) es cada vez más importante en la Unión Europea (UE), también se ha convertido en una prioridad para los productos de financiación estructurada divulgar información relacionada con el clima sobre los activos subyacentes. La AEVM, con la contribución de la ABE, la AESPJ y el BCE, está trabajando para mejorar las normas de divulgación de información sobre los activos titulizados mediante la inclusión de información nueva, proporcionada y específica relacionada con el cambio climático. Las AES y el BCE también piden a los emisores, patrocinadores y originadores de dichos activos a escala de la UE que recopilen de forma proactiva información exhaustiva y de alta calidad sobre los riesgos relacionados con el clima durante el proceso de originación. Esta petición de mejora de la divulgación se refiere a todos los instrumentos de financiación que están respaldados por el mismo tipo de activos subyacentes.

Se necesitan datos mejorados relacionados con el clima para los activos titulizados

Las transacciones de titulización a menudo están respaldadas por activos que podrían estar directamente expuestos a riesgos físicos o relacionados con el clima de transición, como hipotecas inmobiliarias o préstamos para automóviles. Dado que el valor de estos activos subyacentes podría verse afectado por acontecimientos relacionados con el clima, las AES y el BCE comparten la opinión de que la información sobre las métricas relacionadas con el clima existente debe mejorar, y que son necesarios parámetros adicionales. Los datos adicionales relacionados con el clima permitirán a los inversores identificar mejor los riesgos relacionados con el cambio climático, evitando al mismo tiempo una dependencia excesiva de las estimaciones de fuentes externas.

La falta de datos relacionados con el clima sobre los activos subyacentes a los productos de financiación estructurada no solo plantea un problema para evaluar y abordar adecuadamente los riesgos relacionados con el clima, sino que también impide la clasificación de productos y servicios como sostenibles en virtud del Reglamento de taxonomía de la UE y el Reglamento de divulgación de información sobre finanzas sostenibles (SFDR).

Las AES y el BCE se han comprometido a apoyar una divulgación de información mejor y específica para los productos de financiación estructurada

Las AES se han comprometido a promover la transparencia y unos requisitos sólidos de divulgación de información para las entidades financieras y los productos financieros. Las AES han estado desarrollando asesoramiento y normas técnicas de regulación en virtud del Reglamento sobre taxonomía de la UE2 y el Reglamento sobre divulgación de información sobre finanzas sostenibles 3. También están revisando actualmente el Reglamento Delegado del SFDR para mejorar la divulgación de información ESG por parte de los participantes en los mercados financieros, incluso para exigir divulgaciones adicionales sobre los objetivos de descarbonización. Las finanzas sostenibles son una prioridad clave de las AES, y profundizar aún más en la integración de los factores ESG en sus actividades será un foco de su acción en los próximos meses y años.

La mejora de los requisitos de divulgación de información relacionados con el clima para los activos titulizados también es esencial para el BCE. Los bonos de titulización constituyen una de las clases de activos más importantes movilizadas por las entidades de contrapartida como garantía en las operaciones de crédito del Eurosistema. Además, el Eurosistema, con su programa de compras de bonos de titulización de activos (ABSPP), también se ha convertido en uno de los mayores inversores en dichos activos en la zona del euro. En julio de 2022, el BCE anunció que estaba tomando nuevas medidas para incluir consideraciones relativas al cambio climático en sus programas de compra y en el marco de garantías4 con el objetivo de tener más en cuenta el riesgo financiero relacionado con el clima en la aplicación de la política monetaria y, en el marco de su mandato, apoyar la transición ecológica de la economía en consonancia con los objetivos de neutralidad climática de la UE. En este contexto, el BCE se ha comprometido a actuar como catalizador, colaborando estrechamente con las autoridades pertinentes de la UE para apoyar una divulgación mejor y armonizada de los datos relacionados con el clima para los activos movilizados como garantía.

Datos proporcionados, normalizados y fácilmente accesibles

Ya se están realizando esfuerzos sustanciales para mejorar la transparencia relacionada con la sostenibilidad en las titulizaciones. Las AES han estado desarrollando plantillas para la divulgación voluntaria de información relacionada con la sostenibilidad para titulizaciones «simples, transparentes y normalizadas) (STS)5. En marzo de 2022, la ABE también proporcionó orientaciones sobre cómo podrían aplicarse las normas ASG en el contexto de la titulización6.

La AEVM está llevando a cabo una revisión de los modelos de divulgación de información sobre titulizaciones a nivel de préstamo. Esta revisión no solo tiene como objetivo simplificar las plantillas de informes siempre que sea posible, sino que también está considerando la oportunidad de introducir métricas nuevas, proporcionadas y específicas relacionadas con el cambio climático que serán útiles para los inversores y supervisores. Las nuevas métricas deberán satisfacer las necesidades de los inversores, teniendo en cuenta las prácticas de mercado existentes y las normas de información derivadas de la legislación pertinente de la UE (el Reglamento sobre taxonomía de la UE, el SFDR y las próximas normas de bonos verdes de la UE7). Esto requiere el compromiso tanto con los originadores como con los inversores, así como con los organismos reguladores pertinentes, para lograr un enfoque eficaz y proporcionado.

Si bien aún no se han establecido requisitos de divulgación obligatoria, el BCE y las AES piden a los originadores que ya recopilen, en el momento de la originación del préstamo, los datos que los inversores necesitan para evaluar los riesgos relacionados con el clima de los activos subyacentes. En el caso de la titulización, las originadoras y los patrocinadores deben rellenar los campos voluntarios relacionados con el clima en los modelos de divulgación de titulización existentes. El acceso fácil y sin fisuras a los datos relacionados con el clima debe estar disponible a través de los registros de titulizaciones registrados para mejorar aún más la transparencia y la claridad para los inversores. Esto evitaría la fragmentación de la información en diferentes puntos de acceso y daría lugar a menores costes y riesgos para los originadores, inversores y supervisores.

Fomentar la igualdad de condiciones mediante la promoción de requisitos coherentes y armonizados para instrumentos similares

Por último, la introducción de nuevos requisitos de divulgación de información relacionados con el cambio climático para las titulizaciones puede ser también pertinente para instrumentos de financiación similares respaldados por el mismo tipo de activos subyacentes, como los bonos garantizados.8 Son necesarios requisitos coherentes y armonizados para estos instrumentos a fin de evaluar y abordar adecuadamente los riesgos relacionados con el clima, lo que garantizaría unas condiciones de competencia equitativas en todas las clases de activos similares, fomentaría la comparabilidad para los inversores y facilitaría la igualdad de trato por parte de los supervisores de la UE. Las AES y el BCE se han comprometido a apoyar la comparabilidad de los futuros requisitos de divulgación de información en el marco de sus respectivos mandatos.

1. La Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ), creada por el Reglamento (UE) n.º 1094/2010, la Autoridad Europea de Valores y Mercados (AEVM), creada por el Reglamento (UE) n.º 1095/2010, y la Autoridad Bancaria Europea (ABE), creada por el Reglamento (UE) n.º 1093/2010.

2. Las tres AES proporcionaron asesoramiento separado, pero coordinado, en respuesta a la Convocatoria de asesoramiento de la Comisión Europea sobre el artículo 8 del Reglamento sobre taxonomía (para más información, véanse las respuestas de la ABE, la AESPJ y la AEVM a la Convocatoria de asesoramiento de la Comisión).

3. Véase «Joint RTS on ESG disclosure standards for financial market participants», AES, 2 de mayo de 2022 (enlace).

4. Véase «El BCE adopta nuevas medidas para incorporar el cambio climático en sus operaciones de política monetaria», comunicado de prensa, BCE, 4 de julio de 2022.

5. Véase STS securitisations-related sustainability disclosures, documento de consulta conjunta, AES, 2 de mayo de 2022.

6. Véase «Developing a Framework for Sustainable Securitisation», ABE, 2 de marzo de 2022 (enlace)

7. El «SFDR» exige que los participantes en los mercados financieros revelen en qué medida sus productos financieros con características u objetivos sostenibles invierten en activos sostenibles y ambientales. Aunque las titulizaciones no son «productos financieros» cubiertos por el SFDR, están indirectamente sujetas al SFDR a través de los requisitos de divulgación a nivel de entidad (los indicadores PAI cubren todas las decisiones de inversión, incluidas las inversiones en titulizaciones) y cuando las inversiones de productos financieros en posiciones de titulización dan lugar a inversiones en actividades económicas armonizadas con la taxonomía [véase el artículo 17, apartado 1, letra f), del Reglamento Delegado de la CDSS]; es probable que el Reglamento Europeo sobre Bonos Verdes (EU GBS) exija que cualquier bono verde, incluidas las operaciones de titulización, financie actividades económicas sostenibles desde el punto de vista ambiental que se alineen con la taxonomía de la UE.

8. Los bonos garantizados no son «productos financieros» en virtud del artículo 2, apartado 12, del SFDR y, por lo tanto, no están sujetos a las normas de divulgación de información sobre productos financieros establecidas en los artículos 6 a 11 del SFDR (2019/2088) ni en las plantillas de los anexos II a V del Reglamento Delegado del SFDR. Sin embargo, se capturan como «inversiones» en virtud de la divulgación del principal impacto adverso (PAI) del artículo 4 a nivel de entidad, al igual que las titulizaciones. La divulgación de información ASG relacionada con los bonos garantizados, en su caso, también está regulada por el artículo 14 de la Directiva sobre bonos garantizados (2019/2162), que se aplica de forma agregada

Declaración sobre el Reglamento SP: Privacidad de la información financiera del consumidor y protección de la información del cliente

La Comisión explica habitualmente la necesidad de nuevos mandatos de divulgación insistiendo en que los inversores realmente quieren la información. En este caso, estoy de acuerdo. Los inversores quieren saber si su información personal se ha visto comprometida y quieren que esté protegida, por lo que apoyo esta propuesta. Sin embargo, mi apoyo está lejos de ser sin reservas, y mi voluntad de votar por una regla final dependerá en gran medida de nuestra respuesta a los problemas identificados por los comentaristas.

Antes de abordar esta regla específicamente, permítanme hacer un comentario que se aplica a todas las reglas que tenemos ante nosotros hoy. La expansión propuesta de la Regulación SP es una de las tres propuestas de seguridad cibernética y protección de sistemas que estamos considerando hoy. La regulación SP se superpone y se cruza con cada una de las demás, así como con otras regulaciones existentes y propuestas, p.., la regla de seguridad cibernética para asesores de inversiones, compañías de inversión y compañías de desarrollo comercial, y la regla de subcontratación de asesores de inversiones recientemente propuesta. El comunicado no intenta ocultar estos hechos, y en realidad entra en detalles considerables sobre los despidos, pero luego simplemente los declara apropiados dados los diferentes propósitos, que son «en gran parte consistentes» y probablemente no «irrazonablemente costosos». Es cierto que sería difícil racionalizar estos requisitos superpuestos. Parafraseando a John Kennedy al abordar otro desafío difícil, la Comisión debería optar por armonizar y sintetizar estas reglas no porque sea fácil, sino porque es difícil, porque el objetivo servirá para organizar y medir lo mejor de nuestras energías y habilidades, porque el desafío es uno que estamos dispuestos a aceptar,

Asumiendo que esas palabras inspiradoras no convencieron a mis colegas de posponer esta reglamentación hasta que emprendamos un proyecto de armonización, permítanme resaltar algunas otras preocupaciones específicas de la regla:

  • Si bien apoyo la notificación al cliente, la regla debe incluir una excepción de aplicación de la ley que permita a las instituciones cubiertas retrasar la alerta a los clientes sobre una incursión no autorizada cuando existe una necesidad válida de aplicación de la ley o de seguridad nacional para hacerlo. Estamos haciendo la pequeña concesión de permitir que el fiscal general obtenga una demora de hasta 30 días, si puede citar por escrito un riesgo sustancial para la seguridad nacional.
  • Muchos estados tienen disposiciones de notificación al cliente, algunas de las cuales entran en conflicto con las nuestras. ¿Qué se supone que debe hacer una empresa que se encuentra atrapada entre reglas de notificación estatales y federales en competencia? En lugar de adelantarnos o ceder ante la ley estatal, bailamos alrededor del problema que estamos creando y no proporcionamos una estrategia viable para que las empresas manejen el conflicto.
  • Las empresas que experimenten un ciber incidente harán malabarismos con múltiples requisitos de notificación, incluida la posibilidad de informar a más de un lugar en la Comisión. Podríamos pensar en grande y crear un formulario dinámico que permita que la información adecuada llegue a las partes correctas de la Comisión sin requerir múltiples presentaciones para el mismo evento desencadenante.
  • El alcance de la regla es más amplio de lo que podría parecer a primera vista. Aquí hay varios ejemplos:
    • Por ejemplo, la amplitud de la información que se considera “información del cliente” incluye “toda la información del consumidor que una institución cubierta mantiene o posee de otro modo para fines comerciales. . . independientemente de si dicha información se refiere a personas con quienes la institución cubierta tiene una relación de cliente, o se refiere a los clientes de otras instituciones financieras”. Todo el mundo es cliente suyo a efectos de la regla porque todo el mundo es cliente de alguna empresa.
    • El requisito de notificación se aplicaría a la «información confidencial del cliente», que abarcaría «cualquier componente de la información del cliente solo o junto con cualquier otra información, cuyo compromiso podría crear un riesgo razonablemente probable de daño o inconveniente sustancial para una persona identificada con la información.» Los límites de este término no están claros.
    • Las enmiendas extenderían la regla de salvaguardias a todos los agentes de transferencia, independientemente de si están registrados con nosotros, lo que requiere una comprensión limitada del término «cliente».
  • Si bien notificar a los clientes sobre el acceso no autorizado a su información es algo bueno, la propuesta puede resultar demasiado buena. Las instituciones cubiertas estarían obligadas a notificar a las personas “cuya información confidencial del cliente fue, o es razonablemente probable que haya sido, accedida o utilizada sin autorización”. Si bien las instituciones cubiertas podrían renunciar a la notificación si determinan después de una investigación que la información confidencial del cliente «no ha sido, y no es razonablemente probable que se use, de una manera que resulte en un daño o inconveniente sustancial», la mayoría de las empresas errarán por el lado de la precaución y simplemente enviarán el aviso cada vez. Rechazamos explícitamente el camino elegido por las agencias bancarias federales que buscaron “dar a las instituciones mayor discrecionalidad para determinar si enviar avisos, evitar alarmar a los clientes con demasiados avisos y no exigir a las instituciones que prueben una negativa”.
  • Las empresas tendrían que celebrar contratos por escrito con los proveedores de servicios para obligarlos a tomar “medidas apropiadas. . . diseñado para proteger contra el acceso no autorizado o el uso de la información del cliente”. La ​​propuesta define «proveedor de servicios» de manera amplia, para incluir «cualquier persona o entidad que sea un tercero y reciba, mantenga, procese o de otra manera tenga acceso permitido a la información del cliente a través de su prestación de servicios directamente a una institución cubierta». Como reconoce el comunicado, este posible universo de proveedores de servicios podría incluir «proveedores de correo electrónico, sistemas de gestión de relaciones con los clientes, aplicaciones en la nube y otros proveedores de tecnología». ¿Cuánto costará renegociar todos esos contratos? ¿Será posible hacerlo? ¿Qué sucede con una institución cubierta cuyo proveedor de servicios elige no participar?
  • La necesidad de reescribir muchos contratos me lleva a la última preocupación que plantearé. El plazo de cumplimiento propuesto es de un año. No puedo entender cómo esto es razonable, dado el trabajo que tendrán que hacer las empresas para cumplir con los requisitos de la regla, mucho menos, si esta regla se adopta con las otras dos reglas que estamos considerando hoy, los requisitos de cualquier regla superpuesta.

A pesar de mis reservas, mi respeto por el trabajo que se ha realizado en esta propuesta es considerable. Aprecio especialmente el tiempo que los equipos trabajadores de IM y DERA encontraron para responder a mis muchas preguntas y discutir mis inquietudes. Gracias también a Trading and Markets, que también fue responsable del resto de la agenda.

Un problema compartido es un problema reducido a la mitad – Los beneficios de compartir riesgos privados y públicos

¿Cuál es la mejor manera de absorber los shocks económicos? Algunos enfoques favorecen la distribución privada del riesgo, otros, la distribución pública del riesgo. En esta entrada del blog del BCE argumentamos que una combinación de ambos ofrece la mejor protección para los ciudadanos europeos contra los malos resultados económicos.

Europa está haciendo frente a dos crisis económicas sin precedentes, causadas por la pandemia mundial y la guerra en Ucrania. Aunque estas perturbaciones han afectado a todos los Estados miembros, sus efectos sobre los ingresos, el empleo y otras variables económicas han variado ampliamente en la zona del euro. Esto plantea un reto importante para la política monetaria única del BCE y hace que el reparto de riesgos sea una herramienta necesaria para aumentar la resiliencia y preservar la convergencia dentro de la Unión Económica y Monetaria (UEM).

El enfoque de esta publicación de blog está en la interacción óptima entre el riesgo compartido privado y público. Hasta ahora, el debate económico se ha centrado en «la distribución pública o privada del riesgo». El riesgo compartido privado se refiere principalmente a la provisión de riesgo compartido a través del sector bancario y los mercados de capitales, entre otros. En cambio, el reparto público del riesgo se refiere generalmente a la provisión de riesgo compartido a través de herramientas fiscales comunes, potencialmente también a través de bienes públicos proporcionados a nivel europeo. Sostenemos que hay buenos argumentos y pruebas de que los dos, públicos y privados, deben complementarse entre sí, especialmente en tiempos de crisis.

La distribución del riesgo es importante, ya que los shocks no son simétricos

Las perturbaciones externas comunes, como la pandemia de coronavirus (COVID-19), provocan impactos asimétricos en todos los Estados miembros debido a las diferentes estructuras económicas, financieras e institucionales de estos Estados. Los países europeos también se han visto afectados de manera diferente por las conmociones causadas por la guerra en Ucrania. La implementación de sanciones impuestas a Rusia y diferentes dependencias de diversas fuentes de energía son importantes para su exposición a la perturbación, lo que da lugar a impactos asimétricos en todos los Estados miembros. La estrecha semejanza entre la variación del Producto Interno Bruto (PIB), el ingreso y la dispersión del consumo sugiere una distribución limitada (o nula) del riesgo.

Las asimetrías resultantes de estos choques plantean un dilema. ¿Deberían utilizarse recursos públicos a escala europea para hacerles frente, o deberían dejarse en manos de los mecanismos del mercado? ¿Debería promoverse el reparto de riesgos público o privado, o ambos, y en qué medida, para suavizar el consumo y reducir la divergencia económica entre los Estados miembros después de cada shock?

La zona del euro tiene una distribución de riesgos más baja en promedio que, para compararla con otra unión monetaria continental de tamaño similar, Estados Unidos. El Tribunal observó un aumento del riesgo compartido dentro de la zona del euro en el período inmediatamente posterior a la crisis financiera mundial. Esto pone de relieve el papel de los instrumentos de asistencia financiera de la zona del euro en la absorción de perturbaciones, teniendo en cuenta también que el reparto del riesgo se deterioró después de 2015.

Hemos invertido la escala para mostrar el aumento de la distribución del riesgo en el eje y: por lo tanto, la distribución perfecta del riesgo se indica aquí con 1 y la no distribución del riesgo por 0 en una escala de 0 a 1; O bien, cuanto mayor sea el grado de correlación entre los residuos, menor será la distribución del riesgo en el eje Y. Las líneas horizontales amarillas muestran el promedio simple durante el período 2000-18. Datos de los 19 países de la zona del euro y los 50 estados de Estados Unidos, Washington D.C. y Puerto Rico.

Riesgo compartido privado y público: ¿amigos o enemigos?

En teoría, la distribución de riesgos públicos y privados puede actuar como sustitutos o complementos. Más concretamente, el desarrollo del riesgo compartido privado a través de una integración más profunda de los mercados financieros (también a través de la unión bancaria y la unión de los mercados de capitales en la zona del euro) puede complementar o sustituir una capacidad presupuestaria central que actúe como mecanismo de protección.[8] Una visión teórica es que, en presencia de mercados eficientes, la distribución privada del riesgo actúa como el principal amortiguador de la economía, con poco o ningún papel para la distribución pública del riesgo. Este punto de vista sólo exige el establecimiento de una unión más profunda del mercado financiero.

Una opinión alternativa es que la distribución pública del riesgo es un elemento esencial en las defensas amortiguadoras de una economía, tanto por sí sola como como complemento de la función de la distribución privada del riesgo. Desde este punto de vista, una capacidad fiscal central es un elemento esencial que complementa la unión de los mercados financieros.

Nuestra principal conclusión es que, especialmente en tiempos de conmociones o crisis económicas extraordinariamente profundas, la distribución privada del riesgo no puede prescindir de una distribución pública adecuada del riesgo. En otras palabras, las dos formas de compartir el riesgo son (altamente) complementarias en tiempos de crisis.

Para analizar cómo podrían interactuar los dos canales de distribución del riesgo, desarrollamos un modelo de unión monetaria compuesto por dos países, y analizamos el efecto de tener una capacidad fiscal central capaz de proporcionar transferencias dependientes del shock a países individuales. El efecto de la capacidad fiscal central que acabamos de analizar también se ilustra en el gráfico 3, que muestra el efecto de un shock negativo en los ingresos del país de origen. Las líneas magenta muestran lo que sucede si hay una capacidad fiscal central, las líneas azules si no lo está.

En primer lugar, tenga en cuenta que después de un shock negativo específico del país en los ingresos, la relación de intercambio del país mejora, es decir, el país puede comprar más importaciones por cada unidad de sus exportaciones que antes. Eso sucede independientemente de la presencia de la capacidad fiscal central y compensa parte del efecto del shock al proporcionar ya una distribución significativa del riesgo.

La capacidad fiscal central, en cambio, marca la diferencia al reducir la necesidad de que los agentes de un país tomen prestados fondos privados del otro país cuando se enfrentan a un shock negativo. En otras palabras, una capacidad central conduce a una menor acumulación de deuda privada, lo que conduce a un mejor resultado de distribución del riesgo. Por lo tanto, la distribución pública del riesgo actúa como un sustituto de la distribución privada del riesgo.

La capacidad fiscal central también marca la diferencia al reducir las fricciones financieras asociadas con la deuda privada externa. Cuando la deuda es mayor, el país prestatario tiende a pagar una tasa de interés más alta (diferencial) sobre el dinero prestado. La reducción de la acumulación de deuda a través de la presencia de la capacidad fiscal central disminuye el costo del endeudamiento privado. Esto, a su vez, conduce a mejores resultados de distribución de riesgos. Por lo tanto, la distribución pública del riesgo mejora la eficacia de la distribución privada del riesgo al disminuir el impacto de las fricciones financieras, sirviendo, así como un papel complementario.

En nuestra simulación, la distribución pública del riesgo actúa principalmente como un sustituto de la distribución privada del riesgo, pero también desempeña un papel complementario. La complementariedad aumenta cuando simulamos un escenario en el que un gran shock provoca un aumento significativo de los diferenciales de la deuda pública similar al escenario de «parada repentina» durante la crisis de la deuda soberana de la zona del euro. Esto demuestra que contar con una distribución pública de los riesgos puede hacer que la distribución privada de riesgos funcione mejor y sea más eficaz.

Respuestas impulsivas a una reducción del 10% en la producción doméstica. Las líneas continuas azules se refieren a la calibración con una tasa de interés elástica de la deuda y las líneas punteadas magenta a una calibración con riesgo público compartido desde una capacidad fiscal central. La brecha de distribución del riesgo es la diferencia entre la relación entre la utilidad marginal del consumo nacional y extranjera y el tipo de cambio real; un valor positivo indica que el consumo del hogar es ineficientemente bajo en comparación con el consumo extranjero.

Implicaciones políticas

En el pasado, las propuestas para mejorar la capacidad de los Estados miembros de la UEM para hacer frente a las perturbaciones adversas describían principalmente los canales privados de riesgo compartido como una alternativa a los públicos. Nuestros resultados muestran claramente el potencial de los dos enfoques de riesgo compartido para complementarse entre sí. La investigación adicional podría ayudar a identificar la forma más eficiente para una capacidad presupuestaria, ya que tendría que ser proporcional a las perturbaciones externas que afectan actualmente a todos los países de la zona del euro.

La respuesta de la UE a la crisis de la COVID-19 —basándose en las lecciones extraídas de la crisis financiera mundial y de la crisis de la deuda soberana— ha demostrado que es posible y deseable aumentar la distribución pública del riesgo a escala europea. El establecimiento de herramientas fiscales innovadoras y adecuadas a nivel europeo, como las iniciativas Next Generation EU o Support to Mitigation Unemployment Risks in an Emergency (SURE), presenta valiosos estudios de casos para evaluar en detalle la interacción entre la distribución de riesgos pública y privada y ayudar a las autoridades de la UE a diseñar mejor los marcos de distribución de riesgos.

Los rápidos y los muertos: construyendo resiliencia cibernética en el sector financiero

Observaciones introductorias de Fabio Panetta, miembro del Comité Ejecutivo del BCE, en la reunión del Consejo de Ciber resiliencia del euro para las infraestructuras financieras paneuropeas

La proliferación de actores de amenazas cibernéticas combinada con un aumento en el trabajo remoto y una mayor interconexión digital está aumentando el riesgo, la frecuencia y la gravedad de los ataques cibernéticos. Cada vez más, los ciberdelincuentes están lanzando ataques de ransomware y exigiendo el pago en criptomonedas. Los ataques cibernéticos relacionados con los desarrollos geopolíticos, la agresión de Rusia contra Ucrania en particular, también se han convertido en una característica más común del panorama de amenazas cibernéticas.

El Consejo Europeo de Ciber resiliencia para las infraestructuras financieras paneuropeas (ECRB) ha desempeñado un papel clave en la protección de la seguridad e integridad del sistema financiero frente a estas amenazas. Los últimos tres años han demostrado que podemos trabajar en condiciones adversas hacia un objetivo común. Nuestras infraestructuras financieras han demostrado su resistencia a las amenazas cibernéticas. Pero esto no significa que podamos volvernos complacientes o menos vigilantes frente a las amenazas cibernéticas. Simplemente no podemos permitirnos quedarnos atrás: la ciberseguridad debe ser la columna vertebral de las finanzas digitales.

Hoy haré balance del trabajo del ECRB. Luego discutiré las amenazas cibernéticas actuales y los riesgos emergentes antes de esbozar las implicaciones para nuestro trabajo en el futuro.

La contribución del Consejo Europeo de Ciber resiliencia

El ECRB reúne a partes interesadas privadas y públicas de infraestructuras financieras paneuropeas, proveedores de servicios críticos, bancos centrales y otras autoridades. Esto ofrece un prisma único a través del cual el ECRB puede identificar y corregir cualquier debilidad que los ciberataques podrían explotar para propagarse, lo que a su vez causaría ondas sistémicas en todo el ecosistema financiero europeo.

Permítanme dar tres ejemplos de por qué el ECRB es un foro tan útil para la cooperación.

En primer lugar, en el ámbito del intercambio de información, la Iniciativa de Intercambio de Información e Inteligencia Cibernética del ECRB (CIISI-UE) Permite a los miembros intercambiar información sobre amenazas cibernéticas y mitigación en un entorno grupal seguro y confiable.

En segundo lugar, el ECRB ha establecido un protocolo de coordinación de crisis que facilita la cooperación y la coordinación, permitiendo a los miembros intercambiar y responder a las principales amenazas e incidentes cibernéticos.

En tercer lugar, en el ámbito de la formación y la sensibilización, la ECRB lleva a cabo evaluaciones conjuntas y sesiones de formación para aumentar el conocimiento y la comprensión comunes. Un pilar clave de la estrategia cibernética del BCE para las infraestructuras financieras es el marco TIBER-UE para las pruebas de penetración basadas en amenazas, también conocido como red teaming. En junio de 2022, el ECRB organizó una mesa redonda dedicada a TIBER-EU en la que los miembros compartieron su experiencia en este tipo de ejercicios.

En vista de su papel sistémico en el sistema financiero, seguiremos centrándonos en las infraestructuras financieras paneuropeas. No obstante, las infraestructuras financieras son cada vez más interdependientes a través de vínculos horizontales y verticales y participantes comunes. También dependen de la tecnología de la información y la comunicación y de proveedores de servicios externos. Como resultado, estas infraestructuras están expuestas a riesgos y vulnerabilidades comunes a través de los cuales los ciberataques podrían propagarse rápidamente si no se gestionan rigurosamente. El ECRB nos permite unir fuerzas para abordar estos riesgos a nivel sectorial.

Adaptación a un panorama de amenazas cibernéticas en constante cambio

Permítanme ahora pasar al panorama de las amenazas cibernéticas.

Las amenazas son cada vez más complejas. Los ataques recientes requieren una vigilancia constante a nivel operativo y la reevaluación continua de los marcos regulatorios y de supervisión para ver si es necesario actualizarlos. Cambios significativos pero impredecibles pueden ocurrir en cualquier momento. Por lo tanto, debemos estar preparados para comprenderlos y adaptarnos rápidamente para mitigar la susceptibilidad del ecosistema financiero a los ciberataques.

El ECRB ha identificado los ataques a la cadena de suministro y el ransomware como amenazas clave en el entorno actual, y la inteligencia artificial (IA) como una amenaza emergente. También hemos sido testigos de cómo los acontecimientos geopolíticos, más recientemente la agresión de Rusia contra Ucrania, han armado el ciberespacio. Los ejemplos más destacados son los ataques distribuidos de denegación de servicio (DDoS) contra entidades gubernamentales y financieras.

Permítanme discutir las principales amenazas actuales y emergentes con más detalle.

Ataques a la cadena de suministro

La dependencia del ecosistema financiero de productos y servicios de terceros es un riesgo clave, especialmente cuando las entidades financieras les subcontratan funciones críticas. Un ataque a estos terceros o a sus productos y servicios puede perturbar y dañar las infraestructuras financieras que dependen de ellos, con efectos indirectos a entidades interconectadas.

Cuando dichos productos y servicios de terceros se utilizan ampliamente en el ecosistema financiero, un ciberataque puede tener efectos generalizados, posiblemente sistémicos, al tener un impacto en múltiples entidades financieras a la vez. Es por eso que los actores de amenazas cibernéticas se dirigen a estos terceros. Al hacerlo, pueden comprometer a numerosas entidades financieras simultáneamente.

El reciente ataque cibernético al proveedor externo ION Cleared Derivatives muestra cómo un ataque a un proveedor de software puede caer en cascada sobre sus clientes. En este caso específico, las interrupciones en la negociación y compensación de derivados financieros siguieron siendo limitadas, pero no podemos ignorar escenarios en los que los ataques podrían haberse propagado rápidamente, perturbando el sistema financiero.

Este caso señaló la necesidad de que las entidades financieras revisen sus proveedores externos, los proveedores de estos terceros, sus niveles de resiliencia cibernética y el impacto sistémico que puede derivarse de un ataque cibernético a cualquiera de estos proveedores. En particular, es vital evaluar las dependencias de servicios críticos de productos y servicios de terceros que podrían interrumpirse o incluso terminarse como resultado de un ataque cibernético. Es necesario adoptar medidas de mitigación.

En este contexto, el G7 actualizó recientemente sus Elementos Fundamentales para la Gestión de Riesgos Cibernéticos de Terceros en el Sector Financiero. Además, el ECRB estableció un grupo de trabajo en 2022 para apoyar la gestión de riesgos cibernéticos de terceros.

Debemos tener una mentalidad de resiliencia cibernética en todo momento. La pregunta que debemos hacernos no es si ocurrirá un ataque cibernético, sino si estamos listos para responder cuando ocurra. Durante el año pasado, el ECRB ha trabajado en un modelo conceptual de cómo el ecosistema de infraestructura financiera podría manejar tal crisis si ocurriera. También ha desarrollado protocolos y redes destinados a apoyar una respuesta colectiva, coherente e integral a una crisis cibernética por parte de las partes interesadas.

Ransomware

La proliferación del ransomware es uno de los retos más importantes a los que se enfrentan actualmente las entidades financieras. Los ataques de ransomware no solo pueden provocar pérdidas financieras, sino que también pueden interrumpir gravemente las operaciones. Incluso después de pagar un rescate, no hay garantía de que la clave de descifrado realmente funcione o que los datos robados no se divulguen públicamente o se utilicen indebidamente para extorsionar a los clientes de las víctimas, por ejemplo.

Los ataques de ransomware son cada vez más sofisticados y dañinos, lo que a su vez puede permitir a los actores de amenazas de ransomware obtener aún más recursos. 2022 fue uno de los años más activos para la actividad de ransomware. Sin embargo, también fue el primer año que la mayoría de las víctimas de ataques de ransomware decidieron no pagar, lo que indica que el enfoque hacia los ataques de ransomware está cambiando.

Las autoridades de todo el mundo están intensificando sus esfuerzos para contrarrestar el ransomware. Por ejemplo, el G7 emitió los Principios fundamentales sobre la resiliencia del ransomware en octubre de 2022.

Tenemos que abordar los ataques de ransomware desde varios ángulos.

En primer lugar, todas las empresas deben estar preparadas para repeler los ataques de ransomware, ya sea mediante el uso de prácticas adecuadas de higiene cibernética o asegurando que los datos se respalden regularmente y se mantengan actualizados y a prueba de manipulaciones.

En segundo lugar, los organismos encargados de hacer cumplir la ley deben realizar análisis forenses, localizar a los atacantes y unir fuerzas para procesarlos.

En tercer lugar, los criptoactivos, especialmente los criptoactivos sin respaldo, que se utilizan para realizar pagos de ransomware debido al anonimato y las posibilidades de lavado de dinero que ofrecen. – necesitan ser estrictamente regulados. Del mismo modo, las transferencias de criptoactivos deben ser rastreables.

La propuesta de Reglamento de la UE para los mercados de criptoactivos (MiCA) y la revisión del Reglamento sobre la información que acompaña a las transferencias de fondos, que amplía la «regla de viaje» Para los criptoactivos, son pasos importantes. Sin embargo, para ser eficaz y evitar el arbitraje regulatorio, la regulación debe intensificarse a nivel mundial. Por lo tanto, la implementación de la guía del Grupo de Acción Financiera Internacional (GAFI) para los criptoactivos y su aplicación a nivel internacional son cruciales.

Además, todas las empresas deben tener el más alto nivel de controles cibernéticos para evitar que los ataques tengan éxito y para detectar y recuperarse de los ataques de ransomware. Además, las compañías de seguros pueden prestar su apoyo obteniendo garantías de sus clientes de que tienen planes de resiliencia cibernética de alto nivel antes de proporcionar pólizas de seguro de riesgo cibernético, asegurando así que estas mismas políticas no reduzcan los incentivos de las empresas para prepararse para los ataques cibernéticos.

Inteligencia Artificial (IA)

Aunque no nos demos cuenta, el uso de la inteligencia artificial (IA) ya está muy extendido. Usamos IA todos los días, incluso en nuestros teléfonos, en nuestros hogares y en el lugar de trabajo. Y las empresas lo utilizan para aprovechar el big data.

La IA puede ayudar a fortalecer la ciberseguridad, por ejemplo, mejorando la detección de ciberataques altamente sofisticados a través de su capacidad para identificar el comportamiento anormal del sistema en comparación con una línea de base establecida. Este es el tipo de potencial que necesitamos aprovechar.

Pero la IA también puede multiplicar los riesgos cibernéticos, por ejemplo, ayudando a las personas malintencionadas, incluso a aquellas que tienen habilidades técnicas limitadas o nulas, a redactar correos electrónicos de phishing muy convincentes o identificar temas que lograrán el máximo compromiso de los destinatarios. Para empeorar las cosas, la IA puede incluso crear y corregir código que se puede utilizar para explotar y comprometer el punto final. Esto abre nuevas posibilidades para que las personas malintencionadas utilicen la IA para lanzar ciberataques. Aunque las empresas de desarrollo de IA intentan instalar salvaguardas para evitar su uso poco ético, pueden ser eludidas.

Los riesgos de la IA deben entenderse claramente y abordarse a través de la regulación y la supervisión. Mediante el intercambio de información entre sus miembros y la organización de mesas redondas y formación, la ECRB se encuentra en una posición sólida para crear conciencia sobre los riesgos en una etapa temprana y acumular conocimiento de este tipo de amenazas. Por su parte, la Comisión Europea ha propuesto un Reglamento sobre inteligencia artificial que tiene como objetivo abordar algunos de los riesgos clave asociados con la IA.

Conclusión

Como nos dimos cuenta hace algunos años, las amenazas cibernéticas están aquí para quedarse. Existen muchos actores de amenazas altamente adaptables que intentarán explotar sistemáticamente cualquier debilidad o vulnerabilidad con fines ilegales. Las amenazas existentes son cada vez más peligrosas y nuevas amenazas están en el horizonte. Por lo tanto, debemos adaptar nuestros marcos operativos y de ciber resiliencia constantemente a nivel individual y colectivo a través de una estricta regulación, aplicación y enjuiciamiento. La futura cooperación entre instituciones públicas y privadas también será crucial. El ECRB puede hacer una contribución decisiva a este esfuerzo en relación con el sistema financiero.