🟨"Banche USA chiedono alla SEC di annullare la divulgazione di incidenti di cybersecurity"
Giorno: 2025-05-26 | Ora: 05:56 Gruppi di advocacy del settore bancario americano, guidati dall'American Bankers Association, hanno chiesto alla SEC di annullare i requisiti di divulgazione pubblica sugli incidenti di cybersecurity. Sostengono che tali regole ostacolano la risposta agli incidenti e creano confusione. Propongono di mantenere un framework di divulgazione preesistente per proteggere gli investitori. Un esempio recente include Coinbase, che ha subito conseguenze legali dopo aver divulgato un attacco informatico.
Gruppi di advocacy dell'industria bancaria e finanziaria americana hanno richiesto alla Securities and Exchange Commission (SEC) di annullare i requisiti di divulgazione pubblica degli incidenti di cybersecurity. Cinque associazioni bancarie statunitensi, guidate dall'American Bankers Association, hanno scritto al regolatore il 22 maggio, sostenendo che la divulgazione di tali incidenti "è in conflitto diretto con i requisiti di reporting riservato destinati a proteggere le infrastrutture critiche e avvisare potenziali vittime".
Il gruppo, che include anche la Securities Industry and Financial Markets Association, il Bank Policy Institute, l'Independent Community Bankers of America e l'Institute of International Bankers, ha affermato che la regola compromette gli sforzi normativi per migliorare la cybersecurity nazionale. La regola sulla gestione del rischio di cybersecurity della SEC, pubblicata a luglio 2023, richiede alle aziende di divulgare rapidamente incidenti di cybersecurity, come violazioni di dati o attacchi informatici. Tuttavia, i gruppi bancari sostengono che questa regola fosse già difettosa all'inizio e ha dimostrato di essere problematica nella pratica fin dalla sua entrata in vigore.
Le associazioni hanno evidenziato che il "meccanismo complesso e ristretto di ritardo nella divulgazione" interferisce con la risposta agli incidenti e le forze dell'ordine, creando "confusione di mercato" tra divulgazioni obbligatorie e volontarie. Inoltre, la divulgazione pubblica è stata "arma di estorsione da parte di criminali del ransomware per scopi malevoli", e le divulgazioni premature aggravano questioni di assicurazione e responsabilità per le aziende, rischiando di compromettere comunicazioni interne e condivisione di informazioni di routine.
I gruppi chiedono specificamente che l'Elemento 1.05 venga annullato dalle regole della SEC per la segnalazione tramite il modulo 8-K e dai requisiti di segnalazione paralleli applicabili al modulo 6-K. Il modulo 8-K viene utilizzato per notificare pubblicamente gli investitori di eventi specifici, inclusi gli incidenti di cybersecurity, che possono essere importanti per gli azionisti o per la SEC.
Le associazioni sostengono che, senza l'Elemento 1.05, gli interessi degli investitori sarebbero comunque protetti e credono che sarebbero meglio serviti attraverso il framework di divulgazione preesistente per la segnalazione di informazioni materiali, che può includere incidenti di cybersecurity significativi.
La richiesta includeva esempi di confusione da parte dei partecipanti, specifici incidenti di attacchi ransomware e conflitti normativi documentati. La richiesta ha anche un impatto sulle aziende di cripto pubblicamente quotate, come Coinbase, che ha rivelato all'inizio di questo mese che i criminali informatici avevano corrotto il suo personale di supporto per rivelare i dati degli utenti. Questa divulgazione ha portato l'azienda a subire almeno sette cause legali. Coinbase ha affermato di aver rifiutato una richiesta di riscatto di 20 milioni di dollari dopo che il personale aveva divulgato i dati degli utenti in un attacco di phishing, che potrebbe costare fino a 400 milioni di dollari in danni.
Se la SEC dovesse annullare il requisito, ciò potrebbe dare ad aziende come Coinbase più tempo per divulgare al pubblico gli incidenti di cybersecurity.
