La segnalazione del Consolidated Audit Trail (CAT) ai sensi della norma 613 della Securities and Exchange Commission (SEC) è in vigore da un periodo considerevole. Per questo motivo, la maggior parte delle entità ha un reporting CAT in corso con un agente di reporting che invia tutto in tempo, con tassi di errore entro la soglia. Sulla carta, tutto è a posto e queste organizzazioni si sentono completamente coperte. Questo è il problema.
Ecco la domanda che nessuno ha posto durante la vostra ultima verifica di conformità: se domani la SEC ricostruisse un evento di mercato a partire dalle vostre comunicazioni CAT, potresti dimostrare - non affermare, non dimostrare il processo - dimostrare che i dati non sono mai stati modificati dopo l'invio?
Se non si può rispondere con un artefatto verificabile, si ha una lacuna. E nell'attuale contesto di applicazione, le lacune nell'integrità dei dati di registrazione non rimangono teoriche a lungo.
Questo articolo spiega che cos'è questa lacuna, perché si trova in un punto cieco che la maggior parte delle aziende non sa di avere, quanto è già costata alle aziende che l'hanno scoperta nel modo più difficile e come si presenta in pratica la possibilità di colmarla.
Cosa richiede la Regola 613 e cosa presuppone in silenzio
Regola SEC 613 mandati una registrazione accurata e temporale degli ordini a partire dal ricevimento o dall'origine, documentare l'intero ciclo di vita attraverso l'instradamento, la modifica, la cancellazione e l'esecuzione.
Ogni evento da segnalare deve essere collegato, datato con precisione al millisecondo e rintracciabile per tutto il suo ciclo di vita. Autorità di regolamentazione del settore finanziario (FINRA) Le norme di attuazione riguardano i rapporti con il CAT, la sincronizzazione dell'orologio, i timestamp, la connettività, la tenuta dei registri e i requisiti di tempestività, accuratezza e completezza dei dati.
Ciò che la norma non affronta - da nessuna parte - è il modo in cui un'azienda dimostra che un record presentato non è mai stato alterato dopo il fatto. La norma impone di fornire i dati. Non impone il meccanismo che garantisce che i dati inviati siano quelli ancora esistenti. Questa ipotesi è lasciata implicita. Le ipotesi implicite sono il punto di partenza dell'esposizione all'applicazione.
Un disco alterato equivale a una catena rotta
Traccia di controllo consolidata Il reporting non è solo un'attività di reportistica, ma è una con una capacità di sorveglianza trasversale al mercato, costruita sulla base di un'analisi dei dati.. La FINRA utilizza il Consolidated Audit Trail per ricostruire l'intero ciclo di vita di ogni ordine di titoli NMS (National Market System) e di azioni OTC (Over-the-Counter) in tutte le sedi in cui è transitato, dal momento in cui l'ordine di un cliente è arrivato alla scrivania di un broker-dealer a ogni decisione di instradamento, ogni riempimento parziale, ogni modifica e ogni allocazione post-negoziazione.
Questa ricostruzione dipende interamente da un collegamento stabile e ininterrotto. Un timestamp spostato di una frazione di secondo. Un ID ordine corretto in sordina. Un record di sequenza aggiornato senza una corrispondente voce di audit. Ognuno di questi eventi interrompe la catena di miliardi di eventi potenzialmente correlati.
FINRA si aspetta che le aziende controllino quotidianamente il portale CAT Reporter per individuare gli errori di integrità prima che diventino obblighi di correzione. Tale verifica rileva gli errori di presentazione. Non dimostra che un file accettato non sia mai stato modificato dopo l'accettazione. Si tratta di due problemi diversi, e i risultati della normativa indicano che molte aziende non li affrontano completamente.
Cosa non può dimostrare il registro di audit
I controlli di accesso indicano chi può aver toccato un file. I registri di controllo dicono quali azioni sono state registrate. Nessuno dei due fornisce una risposta verificabile in modo indipendente. alla domanda: Questo file specifico è stato modificato tra l'invio e adesso?
Un registro interno può essere modificato. Una correzione ben intenzionata applicata alla versione sbagliata del record lascia una traccia del processo ma nessuna prova crittografica dello stato precedente del file. In un contesto di applicazione, la differenza tra "i nostri registri non mostrano modifiche non autorizzate" e "possiamo dimostrare che questo file è identico a quello presentato" non è semantica. È la differenza tra asserzione e prova, e le autorità di regolamentazione lo sanno.
Le autorità di regolamentazione considerano le violazioni dei registri come se rendesse più difficile il loro lavoro di sorveglianza e protezione del mercato.e prendono molto sul serio queste questioni.
Quanto costa effettivamente la non conformità
In anno fiscale 2024, la SEC ha presentato casi di tenuta dei registri che hanno comportato più di $600 milioni di sanzioni civili contro più di 70 imprese. Dal dicembre 2021, l'iniziativa ha portato a denunciare più di 100 imprese e oltre $2 miliardi di euro di sanzioni.
A sanzione multimilionaria è stato imposto ad un'azienda per non riuscendo a segnalare tempestivamente e accuratamente decine di miliardi di eventi relativi agli ordini all'archivio centrale del Consolidated Audit Trail.
In un'azione separata, l'errore di codifica di un broker-dealer ha causato la marcatura errata di milioni di ordini per un periodo di cinque anni. L'azienda ha accettato di pagare una $7 milioni di penalità e rimediare all'errore di codifica.
Lo schema è coerente: il La SEC non distingue tra falsificazione intenzionale e carenza sistemica di qualità dei dati nel calcolare l'esposizione alla sanzione. E quando la bonifica segue l'applicazione della legge anziché precederla, i costi si moltiplicano. Un'impresa che si è autodenunciata volontariamente per sospette violazioni ha pagato $2,5 milioni di euro. - sostanzialmente inferiore a quello richiesto dagli altri studi per lo stesso caso.
L'autodichiarazione aiuta. L'integrità dimostrabile aiuta di più.
La risposta crittografica
Tecnologie Blockchain generare un'impronta digitale hash per un set di dati. Se un singolo valore cambia, il digest cambia completamente, rendendo immediatamente rilevabili anche piccole alterazioni di un bit.
NIST identifica questa proprietà come deterministica, unidirezionale e resistente alle collisioni: ciò significa che lo stesso file produce sempre la stessa impronta digitale e che due file diversi non possono produrre lo stesso risultato.
Qui è dove Truth Enforcer opera. Al momento dell'invio del CAT, genera un hash crittografico del file e lo inserisce in una blockchain pubblica. Il contenuto del file non lascia mai l'organizzazione: solo l'impronta digitale viene registrata sulla catena. Da quel momento in poi, qualsiasi versione del file può essere verificata in modo indipendente rispetto all'hash ancorato. Modificato o non modificato. La risposta è matematica, non procedurale.
Il modello è creare, sigillare, verificare. Non impedisce la modifica. It garantisce che qualsiasi modifica non possa passare inosservata - convertendo l'attestazione di un processo in una posizione che regge al controllo normativo. Nei settori regolamentati, dove le verifiche fanno parte dell'attività commerciale, la tecnologia del libro mastro distribuito aggiunge fiducia mantenendo record protetti dall'integrità, rendendo più semplice la verifica del processo.
La domanda da porsi nel prossimo esame di conformità
La regola 613 non usa mai le parole "integrità del file". Non ne ha bisogno. Ogni requisito che impone dipende da una condizione non dichiarata: che i record presentati siano dimostrabilmente quelli ancora esistenti.
Il sito Piano CAT NMS richiede che i dati siano conservati in un formato elettronico direttamente accessibile per almeno cinque anni. Si tratta di cinque anni di potenziale esposizione alla domanda se i dati esistenti oggi corrispondano a quelli originariamente presentati. - e cinque anni durante i quali si compone l'eventuale gap di dimostrabilità.
La maggior parte delle aziende oggi non è in grado di rispondere alla domanda principale. Possono descrivere il loro processo. Possono produrre i loro registri. Ciò che non possono produrre è una prova matematicamente verificabile che un determinato file sia identico a quello presentato in una data specifica.
La domanda di audit da portare alla prossima verifica di conformità: Se la SEC chiedesse di verificare che i nostri file di presentazione CAT non sono stati modificati dopo la trasmissione, cosa gli consegneremmo - e reggerebbe all'esame?
Se la risposta è una descrizione del processo piuttosto che una prova crittografica, Truth Enforcer è costruito proprio per questo problema..
.
Contattateci a: https://www.connecting-software.com/truth-enforcer-sign-up/
O
Provatelo GRATUITAMENTE:
Verificatore di verità per i creatori di PI: https://truth-verifier.com/landing
Verificatore di verità per giornalisti: https://truthverifier.news/landing
Da Francisco Rodrigues, Responsabile di prodotto
"Scrivo di come le integrazioni software possano adattarsi agli ambienti aziendali e rispondere alle esigenze specifiche del settore. Voglio mostrare alle aziende la strada per snellire i processi, eliminare i colli di bottiglia e garantire la conformità, mettendo a disposizione dei team e dei dirigenti C-suite gli strumenti giusti".
Letture correlate
Integrità dei dati DORA: Cosa richiede in realtà lo “standard più elevato
Il problema delle modifiche: SEC Rule 613 - Conformità CAT con dati che possono essere provati come mai toccati
Riforma del diritto testamentario del Regno Unito 2025: Prepararsi alla verifica digitale indipendente prima che arrivi la legge