Le 20 septembre 2022, la Securities and Exchange Commission des États-Unis a annoncé que Morgan Stanley Smith Barney avait accepté de payer une amende de 35 millions de dollars pour le prétendu manquement de l’entreprise à protéger de manière adéquate les informations personnelles d’environ 15 millions de clients. Morgan Stanley a réglé les réclamations de la SEC sans accepter ni nier les conclusions de l’agence.
La SEC a allégué qu’entre 2015 et 2017, Morgan Stanley n’avait pas correctement éliminé les appareils contenant des informations personnelles sur les clients. Selon la SEC, Morgan Stanley s’est débarrassé de milliers de disques durs et de serveurs via une entreprise de déménagement et de stockage sans expérience préalable dans la destruction de données. L’entreprise de déménagement a ensuite vendu à un tiers des appareils matériels Morgan Stanley déclassés contenant des informations personnelles non cryptées sur les clients, dont la majorité n’a pas pu être récupérée.
En outre, la SEC a allégué que Morgan Stanley n’avait pas pris en compte 42 serveurs que l’entreprise avait remplacés lors d’un programme de mise à niveau du matériel de bureau. Les serveurs, qui contenaient des informations sensibles sur les clients, avaient été équipés d’un logiciel de cryptage, mais l’entreprise aurait échoué à activer le logiciel.