ICE é multada em US$ 10 milhões por falha em notificar ataque cibernético

SEC disse que empresa identificou ameaça, mas não comunicou incidente aos responsáveis legais

A Intercontinental Exchange (ICE), que opera a Bolsa de Valores de Nova York (NYSE), foi multada em US$ 10 milhões por falhar em notificar as autoridades sobre um ataque cibernético que atingiu sua rede em 2021.  

A sanção foi imposta pela Comissão de Valores Mobiliários dos Estados Unidos (SEC) em comunicado divulgado nesta quarta-feira (22). A violação de segurança, descoberta em abril de 2021, envolveu um código malicioso inserido em um dispositivo de rede virtual privada (VPN) que disponibilizou acesso à rede corporativa da ICE.  

Segundo a SEC, a empresa identificou a ameaça, mas não comunicou o incidente aos responsáveis legais e de conformidade em suas subsidiárias, incluindo a NYSE, por vários dias. 

A Regulação de Conformidade e Integridade dos Sistemas (Regulation SCI) da SEC exige que as empresas informem imediatamente a agência sobre qualquer incidente significativo de segurança cibernética. 

O Diretor de Fiscalização da SEC, Gurbir Grewal, ressaltou a importância da notificação imediata em casos como esse: "Quando se trata de segurança cibernética, especialmente eventos em intermediários de mercado críticos, cada segundo conta e quatro dias podem ser uma eternidade." 

A ação de fiscalização afetou várias subsidiárias da ICE,  omo a Archipelago Trading Services Inc, NYSE American LLC, NYSE Arca Inc, ICE Clear Credit LLC, ICE Clear Europe Ltd, NYSE Chicago Inc e NYSE National Inc. Além da multa, a Corporação de Automação da Indústria de Valores Mobiliários concordou em firmar um acordo de cessar e desistir.