SEBI propone una profonda revisione delle norme su tecnologia e sicurezza informatica per le borse valori
La Securities and Exchange Board of India (SEBI) ha presentato una proposta strategica per rinnovare il quadro tecnologico e di cybersicurezza che regola le istituzioni di infrastruttura di mercato (MII) dell'India. Questa revisione completa mira a snellire le normative complesse, eliminare le regole ridondanti e rafforzare la resilienza digitale di borse valori, società di compensazione e depositi centralizzati.
Consolidamento delle normative per una maggiore chiarezza
Un pilastro centrale della proposta della SEBI è la semplificazione dell'attuale panorama normativo. L'ente regolatore intende accorpare varie circolari e circolari quadro sparse in un unico quadro consolidato. Questa nuova struttura regolerà aree critiche come gli audit annuali dei sistemi, la cybersicurezza, la pianificazione della continuità operativa, il disaster recovery e la pianificazione della capacità.
Allineando le norme preesistenti all'attuale Cyber Security and Cyber Resilience Framework (CSCRF), la SEBI mira a rimuovere le disposizioni obsolete che attualmente si sovrappongono. I requisiti specifici riguardanti i piani di gestione delle crisi informatiche, la crittografia dei dati, le valutazioni di vulnerabilità e i centri di operazioni di sicurezza (SOC) saranno consolidati per garantire l'assenza di duplicazioni normative.
Maggiore flessibilità nel co-location e nell'algorithmic trading
In un passo significativo per migliorare la "facilità di fare impresa" (ease of doing business), la SEBI punta a riformare le strutture di co-location delle borse. Attualmente, alcuni mandati potrebbero limitare la scelta dei fornitori di servizi; tuttavia, la nuova proposta suggerisce di consentire ai fornitori di offrire servizi hardware o software in modo indipendente, invece di imporre soluzioni end-to-end. Si prevede che questo cambiamento offrirà ai membri operanti maggiore flessibilità, una scelta più ampia e, in ultima analisi, costi operativi inferiori.
Inoltre, l'ente regolatore mira a razionalizzare le regole relative all'algorithmic trading. La proposta suggerisce di riunire sotto un'unica sezione le diverse regole riguardanti l'etichettatura degli algoritmi (algorithm tagging), il testing del software e le penali per il rapporto ordini/eseguiti (order-to-trade ratio), fornendo linee guida più chiare per i partecipanti al mercato che utilizzano sistemi di trading automatizzati.
Rafforzamento della pianificazione della capacità e dell'uniformità
Per proteggere il mercato da glitch tecnici e picchi di volume, la SEBI ha proposto protocolli armonizzati di pianificazione della capacità per tutte le MII. Secondo le linee guida riviste:
- Borse e società di compensazione: devono intraprendere azioni immediate se l'utilizzo di qualsiasi componente IT supera il 75% della sua capacità installata.
- Depositi centralizzati: devono intervenire se l'utilizzo rimane al di sopra della soglia del 75% per 15 giorni consecutivi su base mobile.
Inoltre, l'ente regolatore intende colmare il divario tra i diversi segmenti di mercato fondendo le disposizioni tecnologiche per le borse di derivati sulle commodity con quelle per le borse azionarie. Ciò creerà un ambiente normativo uniforme in tutto il mercato dei titoli.
Punti chiave
- Semplificazione normativa: la SEBI mira a fondere molteplici circolari in un unico quadro per eliminare le sovrapposizioni e ridurre la complessità per le MII.
- Flessibilità operativa: le modifiche proposte ai servizi di co-location consentiranno l'utilizzo di fornitori hardware e software separati, riducendo i costi per i membri operanti.
- Monitoraggio robusto della capacità: le nuove soglie impongono un'azione immediata quando l'utilizzo dei componenti IT supera la soglia del 75%, per garantire la stabilità del mercato.
