Sortiments de Bones Festes!En aquesta primera edició de Les Lectures de la Temporada, revisem els desenvolupaments claus de 2025 en ciberseguretat i intel·ligència artificial (IA), que van continuar sent les principals prioritats de la SEC malgrat un canvi de lideratge i estratègies canviants. Notablement, un antic cas d’aplicació de la normativa de ciberseguretat sobre SolarWinds va acabar de manera inesperada. Demandes contra SolarWinds Voluntàriament Desestimades Al novembre, la SEC va desistir voluntàriament i amb perjudici de l’acció d’aplicació de la llei contra SolarWinds i el seu director de seguretat de la informació (CISO). La SEC havia presentat una demanda a l’octubre de 2023, acusant-los de shipar als inversors mitjançant la no divulgació de vulnerabilitats de ciberseguretat conegudes explotades en un atac cibernètic rus. La SEC argumentava que aquestes deficiències en controls de ciberseguretat infringien els controls estadístics interns segons les lleis de valors mobiliaris. No obstant això, al juliol de 2024, un jutge federal va desestimar la majoria de reclamacions de la SEC, dictaminant que els controls estadístics s’apliquen als controls financers, no als controls operacionals de ciberseguretat. Només una reclamació relacionada amb una “Declaració de Seguretat” enganyosa al lloc web de SolarWinds es va permetre continuar. Després d’un canvi de líders a la SEC sota una nova administració, les parts van acordar arribar a un acord i posteriorment van comunicar conjuntament la decisió de desestimar el cas al novembre sense penals, restriccions o bloquejos per a directius, marcant una clara victòria per a SolarWinds i el seu CISO, que ho va qualificar com una “vindicación”. Reglamentació i Activitat d’Aplicació en Ciberseguretat Tot i retirar algunes propostes de reglaments de ciberseguretat i desestimar la demanda contra SolarWinds, la SEC ha mantingut el seu enfocament en la vigilància de ciberseguretat. Al febrer de 2025, va crear l’Unitat de Tecnologies Cibernètiques i Emergents (CETU), en substitució de l’Unitat de Criptoactius i Ciber. CETU està formada per especialistes en frau i advocats de diverses oficines de la SEC amb la missió de combatre la conducta delictiva cibernètica i protegir els inversors minoristes de fraus amb noves tecnologies. Aquesta nova unitat s-aixeca com a símbol del manteniment de l’enfocament en ciberseguretat, mentre que desacobla la regulació de les criptomonedes, prioritzant el frau que afecta els inversors minoristes. Aplicació i Reglamentació de la IA Tot i que la SEC aprofundeix en la regulació de la ciberseguretat, algunes seccions defensen una millor divulgació de la IA. Al juny de 2025, el Comitè d’Assessoria d’Inversions de la SEC va recomanar l’emissió de guies per estandarditzar com les empreses públiques han de divulgar l’ús de la IA.

Proposen que les empreses hagin de: 1) definir la IA, 2) divulgar la supervisió del consell en la implementació de la IA i 3) explicar l’impacte de la IA en les operacions de negoci i temes als consumidors. No obstant això, encara no està clar si l’actual lideratge de la SEC implementarà normes o guies específiques sobre la divulgació de la IA, donada la seva tendència a reduir la normativa. Falses Promeses de la IA (“AI Washing”) Aquesta recomanació respon en part a la preocupació per l’“AI washing”, on les empreses exageren o malinterpreten les seves capacitats en IA. Al 2025, la Divisió d’Aplicació de la SEC va continuar en llançar esforços contra aquest tipus de conducta. Per exemple, a gener, la SEC va resoldre amb Presto Automation per afirmar falsament que el seu producte d’IA, Presto Voice, eliminava la necessitat de persones per prendre comandes per carrer de creuer, quan la majoria de comandes encara requerien intervenció humana. Al abril, la SEC va presentar una denúncia civil contra Albert Saniger, exdirector general de la startup Nate Inc. , per haver recaptat més de 42 milions de dòlars afirmant falsament que l’aplicació de compra mòbil de l’empresa utilitzava IA per completar compres, quan la majoria de les comandes es processaven manualment. La SEC va imputar infraccions en lleis de valors, incloent delictes antifrau, encara que encara no s’ha notificat a Saniger, que resideix a Espanya. Aquests casos evidencien la importància que les empreses assegurin la precisió i documentació a l’hora de comunicar la seu utilització de la IA. La CETU ha declarat explícitament que atacarà aquesta falsa promoció en el futur. La Ciberseguretat i la IA Continuaran Sent Prioritats de la SEC en les Inspeccions A més de les sancions, la ciberseguretat i la IA són també focus en les inspeccions de la SEC. Al novembre de 2025, la Divisió d’Inspeccions va publicar les seves prioritats per a l’any fiscal 2026, que inclouen assessors d’inversió, societats d’inversió i corredors-dealers. La divisió va reafirmar la ciberseguretat com a “prioritat constant” per les inspeccions, a causa dels riscos operatius derivats dels atacs cibernètics. A més, un altre focus important serà la formació de les empreses i els controls sobre la seguretat per detectar i mitigar els riscos emergents relacionats amb la IA. En resum, la SEC el 2025 va experimentar canvis estratègics impulsats pel canvi de lideratge, però va mantenir un fort compromís amb l’adreça dels desafiaments de la ciberseguretat i la IA a través de la sanció, noves unitats especialitzades i prioritats d’inspecció, tot amb una certa prudència en les accions regulatoreres en aquestes àrees en constant evolució.