A Intercontinental Exchange (ICE) pagará uma multa de US$ 10 milhões por não informar às autoridades sobre um ataque cibernético, de acordo com um comunicado da Comissão de Valores Mobiliário dos Estados Unidos (SEC).
A violação, descoberta em abril de 2021, envolveu um código malicioso inserido em um dispositivo de rede virtual privada (VPN) para acessar a rede corporativa da ICE. A SEC afirma que a ICE identificou rapidamente a ameaça, mas não notificou imediatamente os responsáveis legais e de conformidade em suas subsidiárias, incluindo a Bolsa de Valores de Nova York, por vários dias.
A Regulação de Conformidade e Integridade dos Sistemas (Regulation SCI) da agência exige que as empresas informem imediatamente à SEC sobre qualquer incidente significativo de segurança cibernética. O Diretor de Fiscalização da SEC, Gurbir Grewal, disse:
"Quando se trata de segurança cibernética, especialmente eventos em intermediários de mercado críticos, cada segundo conta e quatro dias podem ser uma eternidade."
A ICE está por trás da maior rede de bolsas e câmaras de compensação do mundo. Suas subsidiárias incluem bolsas como a Bolsa de Valores de Nova York (NYSE), ICE Futures U.S. e Europa, junto com câmaras de compensação e provedores de dados.
A ação de fiscalização da SEC afetou várias subsidiárias da ICE, incluindo Archipelago Trading Services Inc, New York Stock Exchange LLC, NYSE American LLC, NYSE Arca Inc, ICE Clear Credit LLC, ICE Clear Europe Ltd, NYSE Chicago Inc e NYSE National Inc. Além disso, a Corporação de Automação da Indústria de Valores Mobiliários concordou com uma ordem de cessar e desistir além da penalidade monetária.
Em resposta às multas, os Comissários da SEC Hester Peirce e Mark Uyeda divulgaram uma declaração chamando a multa de "reação exagerada" a um "incidente mínimo".
"Esta penalidade desproporcionalmente por não relatar em tempo hábil um incidente que as subsidiárias da ICE SCI determinaram como de minimis sugere para nós que a Comissão está mais preocupada em gerar grandes penalidades do que em garantir que importantes entidades de mercado resolvam vulnerabilidades tecnológicas."
Segundo Peirce e Uyeda, a multa contribui para a percepção de que o "regime de penalidades da Comissão é mais uma ferramenta para gerar números para estatísticas de fim de ano e menos um meio de alcançar resultados que aumentem a integridade do mercado." Os comissários criticaram a abordagem da SEC em relação às empresas de criptomoedas no passado.