scenari

Cybersecurity e trasparenza, la proposta della Securities and Exchange Commission

La proposta della SEC per migliorare e standardizzare le informazioni sulla gestione del rischio di cybersecurity e sulla segnalazione degli incidenti potrebbe essere uno spunto interessante anche per il legislatore Ue. Di cosa si tratta e come si colloca nell’attuale scenario caratterizzato dalla crescita delle minacce

Pubblicato il 14 Mar 2023

Anna Cataleta

Senior Partner di P4I e Senior Advisor presso l’Osservatorio Cybersecurity & Data Protection (MIP)

Gabriele Faggioli

CEO Gruppo Digital360, presidente Clusit, Responsabile Scientifico Osservatorio Cybersecurity and Data Protection Politecnico di Milano

shutterstock_2183452323.jpg

La Securities and Exchange Commission (di seguito “SEC”)[1] , ossia l’autorità di regolamentazione e di vigilanza sui mercati finanziari degli Stati Uniti, ha avanzato una proposta “on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public.

Companies”.https://www.agendadigitale.eu/sicurezza/la-cyber-security-che-verra-levoluzione-normativa-in-italia-e-ue/

La proposta, seppur riguardi modifiche alla sola normativa statunitense, “parte certamente da presupposti comuni all’Europa: i mercati sono integrati, le infrastrutture sono spesso in comune e i servizi critici sono forniti dagli stessi provider (es. cloud). Stiamo assistendo a un crescente affidamento della finanza sull’elemento tecnologico, quasi a un ribaltamento degli equilibri (si pensi alla finanza decentralizzata, alla DLT, etc.) con netta prevalenza degli operatori tecnologici su quelli finanziari”, come evidenziato dal Commissario della Consob Paolo Ciocca[2].

Sarà pertanto interessante osservare, in caso di approvazione della stessa, se e come le modifiche alla normativa statunitense potranno essere uno spunto idoneo ad influenzare le scelte future del legislatore europeo.

La proposta della SEC

La proposta della SEC va contestualizzata in un momento storico in cui gli attacchi cyber sono un argomento più che mai attuale ed in cui il fenomeno è in crescita a livello globale[3].

La SEC ha infatti rilevato che le società quotate, di ogni dimensione e che operano nei diversi settori, sono soggette a incidenti di sicurezza informatica che possono derivare sia da atti dolosi che da comportamenti involontari degli attori coinvolti. Nella sua proposta, la SEC evidenzia come questi eventi possano portare ad un aumento dei costi in generale e ad ulteriori conseguenze avverse[4], tra cui, ad esempio, i costi derivanti dall’interruzione dell’attività e il ritardo nel lancio di prodotti o i guadagni persi a causa del furto di informazioni relative al know-how e dall’uso non autorizzato di dette informazioni. I costi degli attacchi possono così impattare negativamente sul valore delle azioni e, di conseguenza, sul valore del portafoglio degli azionisti.

Per questi motivi, la SEC afferma di credere fermamente che gli investitori trarrebbero beneficio da una maggiore trasparenza, caratterizzata da una divulgazione tempestiva e coerente sugli incidenti di sicurezza “rilevanti”, nonché dalla possibilità di comparare le informazioni fornite dalle società quotate in merito alla gestione dei rischi cyber, alla sicurezza informatica e alla governance[5]. Secondo la proposta della SEC, le informazioni sono rilevanti (“materials”) se esiste una sostanziale probabilità che un azionista ragionevole le consideri importanti nel prendere una decisione relativa ad un investimento. L’accesso alle informazioni, infatti, permetterebbe agli investitori di scegliere con maggior consapevolezza le società in cui investire.

Le pratiche di trasparenza attuali

Il tema della trasparenza non è nuovo. Infatti, già nel 2018, la SEC ha rilasciato una guida interpretativa in cui ha evidenziato il costo degli incidenti di sicurezza e la conseguente necessità di avvisare in modo tempestivo gli investitori in caso di eventi rilevanti.

Nella proposta attuale, la SEC ha evidenziato che la maggior parte dei soggetti che segnalano incidenti di sicurezza rilevanti lo fa in un modulo 8-K (informativa ad evento), in un comunicato stampa o in un rapporto periodico. La SEC, tuttavia, dichiara di non essere in grado di stabilire il numero di incidenti di sicurezza rilevanti che non sono stati comunicati in modo tempestivo o che non sono stati rivelati del tutto. Inoltre, è stato evidenziato che la natura della comunicazione degli incidenti di sicurezza informatica non segue uno standard prestabilito. Infatti, le società offrono diversi livelli di specificità nella descrizione dell’evento per quanto riguarda la causa, la portata, l’impatto e la rilevanza (ad esempio, in alcuni casi viene fornita un’analisi della rilevanza, sono divulgati i costi stimati di un incidente, è discusso il coinvolgimento di professionisti della sicurezza informatica e sono spiegate le misure correttive adottate; in altri casi, invece, vengono forniti molti meno dettagli).

In ogni caso, la SEC ha ritenuto che le informazioni relative agli incidenti di sicurezza che ad oggi vengono comunicate, in diversi casi contengono dettagli insufficienti, incoerenti e non sono tempestive.

Le modifiche inserite nella proposta

La proposta contiene regole per migliorare e standardizzare le informazioni relative alla gestione del rischio di cybersecurity e alla segnalazione degli incidenti da parte delle società quotate soggette agli obblighi del “Securities Exchange Act del 1934”.

Più nello specifico, la proposta prevede numerose modifiche normative[6], tra cui, ad esempio:

  • la modifica del modulo 8-K, che dispone di comunicare le informazioni su un incidente di sicurezza entro quattro giorni lavorativi da quando la società riconosce di aver subito un incidente rilevante;
  • la modifica dei moduli 10-Q e 10-K che richiede alle società di aggiornare le informazioni relative agli incidenti di sicurezza informatica già comunicati. La proposta stabilisce, inoltre, di modificare i moduli citati affinché le società informino gli investitori nel caso in cui una serie di incidenti individualmente non rilevanti, e precedentemente non divulgati, sia da considerare rilevante se considerata nel complesso;
  • la modifica del modulo 10-K che dispone la comunicazione relativa a:
    • le policies e le procedure per l’identificazione e la gestione dei rischi di sicurezza informatica;
    • la governance della sicurezza informatica, compreso il ruolo di supervisione del consiglio di amministrazione in merito ai rischi per la sicurezza;
    • il ruolo del consiglio di amministrazione e la relativa competenza nella valutazione e gestione dei rischi legati alla sicurezza informatica e nell’attuazione delle relative policies, procedure e strategie;
  • la modifica dell’articolo 407 del regolamento S-K che dispone di fornire informazioni rispetto all’esperienza e alle competenze in materia di sicurezza informatica dei membri del consiglio di amministrazione;
  • la richiesta affinché le informazioni siano fornite in Inline XBRL.44

Aspetti positivi e negativi della proposta e possibili risvolti

Le modifiche proposte dalla SEC potrebbero portare diversi benefici per gli investitori, tra cui:

  • una riduzione del mispricing dei titoli sul mercato e una facilitazione del processo decisionale;
  • una riduzione dei costi di ricerca e dei costi di elaborazione delle informazioni.

Oltre agli investitori, potrebbero trarre vantaggio da una maggior trasparenza anche altri soggetti del mercato che forniscono servizi agli investitori; tra questi potrebbero rientrare, ad esempio, gli analisti finanziari, i consulenti per gli investimenti e i gestori di portafogli[7].

La proposta, tuttavia, evidenzia anche dei possibili aspetti negativi; ad esempio:

  • la comunicazione di informazioni relative agli incidenti di cybersecurity, alla gestione degli stessi, alla governance e alle strategie della società, potenzialmente potrebbe aumentare la vulnerabilità della società stessa. Infatti, fornire delle indicazioni dettagliate potrebbe offrire una road map per eventuali attacchi futuri;
  • le società con misure di gestione deli rischi di sicurezza meno robuste potrebbero ricevere una valutazione più sfavorevole;
  • le società dovrebbero affrontare sia dei costi iniziali per conformarsi alle nuove regole di trasparenza, sia dei costi ricorrenti nel tempo;
  • nel caso in cui la descrizione dell’incidente di sicurezza sia di scarsa qualità e poco precisa, potrebbe esserci una reazione eccessiva da parte degli investitori.

Conclusioni

Nonostante i citati possibili effetti negativi, la SEC ritiene che i benefici derivanti dall’accoglimento della proposta siano prevalenti. Infatti, il risultato sarebbe quello di una riduzione dell’asimmetria informativa e del mispricing nel mercato, con un miglioramento della liquidità e dell’efficienza del mercato stesso.

La proposta di una maggior trasparenza nei confronti degli investitori, tenuto conto anche i possibili effetti negativi, in generale potrebbe avere un impatto positivo sul mercato e potrebbe essere uno spunto interessante anche per il legislatore europeo.

Note

  1. U.S. Securities and Exchange Commission, “Proposes Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies”, p. 5
  2. Intervento del Commissario Consob Paolo Ciocca, Workshop Università Cattolica del Sacro Cuore e Consob “Cyber Security, Market Disclosure & Industry”, 27 febbraio 2023
  3. Cfr. Clusit – Rapporto 2022 sulla Sicurezza ICT in Italia, Analisi dei cyber attacchi a livello globale più significativi del periodo 2018-2021 e del primo semestre 2022, p. 11
  4. U.S. Securities and Exchange Commission, “Proposes Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies”, pp.9-10
  5. Ibidem, p. 12
  6. U.S. Securities and Exchange Commission, “Proposes Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies”, pp. 20-21
  7. Ibidem, p. 63

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • Canale whistleblowing, quale scegliere in azienda: tutte le caratteristiche

    19 Feb 2024

    di Lorenzo Giannini

    Condividi

  • l'esperienza

    Smartphone: la scuola ha il dovere di educare i ragazzi a un uso “critico”

    24 Apr 2024

    di Pietro Alviti

    Condividi

Prossimo

Canale whistleblowing, quale scegliere in azienda: tutte le caratteristiche

Articolo 1 di 3