A Securities and Exchange Commission (SEC, Comissão de Valores Mobiliários dos Estados Unidos) anunciou nesta quarta-feira, 22, que multou em US$ 10 milhões a operadora de bolsas Intercontinental Exchange (ICE). A alegação de que a ICE fez com que suas nove subsidiárias – incluindo a principal Bolsa de Nova York (NYSE) – deixassem de informar apropriadamente à SEC sobre uma invasão cibernética ocorrida em abril de 2021.
Segundo investigação da SEC, a ICE foi informada por terceiros sobre uma possível intrusão no seus sistema, provocada por uma vulnerabilidade até então desconhecida na sua VPN. A empresa confirmou que um agente havia usado a VPN para acessar remotamente sua rede corporativa. No entanto, esperou vários dias para notificar o compliance das subsidiárias sobre o problema, ainda de acordo com a SEC.
Na análise da autoridade reguladora, a "falha" da ICE fez com que as subsidiárias não avaliassem corretamente a invasão e deixassem de cumprir com a obrigação de contactar imediatamente a SEC.
A agência informou que a ICE e suas subsidiárias consentiram com a entrada da ordem da SEC, concluindo que as subsidiárias violaram disposições regulatórias e que a ICE causou essas violações. As empresas concordaram em pagar a multa.
As noves subsidiárias são: Archipelago Trading Services; New York Stock Exchange; NYSE American; NYSE Arca; ICE Clear Credit; ICE Clear Europe; NYSE Chicago; NYSE National; e a Securities Industry Automation Corporation.