Cinco importantes grupos de la industria bancaria han solicitado formalmente a la Comisión de Bolsa y Valores (SEC) que derogue su norma de divulgación de incidentes de ciberseguridad, argumentando que la regulación socava los esfuerzos de seguridad nacional y crea más problemas que los que resuelve. La Asociación Americana de Banqueros lideró la coalición en una carta del 22 de mayo que desafía la base de los requisitos de divulgación pública de incidentes cibernéticos.
Qué Saber:
- Cinco grupos bancarios argumentan que la norma de divulgación de ciberseguridad de la SEC entra en conflicto con informes confidenciales destinados a proteger la infraestructura crítica.
- La regla requiere divulgación pública rápida de incidentes como violaciones de datos, pero los bancos dicen que esto ayuda a los criminales de ransomware y perjudica los esfuerzos de respuesta.
- La coalición bancaria quiere que el Item 1.05 sea eliminado de los requisitos de reporte del Formulario 8-K que notifican a los inversores sobre incidentes de ciberseguridad.
La Coalición de la Industria Apunta al Mecanismo de Divulgación Central
La coalición incluye la Asociación de la Industria de Valores y Mercados Financieros, el Instituto de Políticas Bancarias, la Asociación Independiente de Banqueros Comunitarios de Estados Unidos y el Instituto de Banqueros Internacionales. Estos grupos representan a miles de instituciones financieras en todo Estados Unidos. Su petición apunta específicamente el "Item 1.05" dentro de los requisitos de reporte del Formulario 8-K de la SEC.
El Formulario 8-K sirve como el vehículo principal para notificar públicamente a los inversores sobre eventos significativos que afectan a las empresas públicas.
La disposición de ciberseguridad requiere que las empresas divulguen incidentes que podrían impactar materialmente sus operaciones o condiciones financieras. Los grupos bancarios sostienen que este mecanismo crea más daño que transparencia.
La regla de Gestión de Riesgos de Ciberseguridad de la SEC entró en vigor tras su publicación en julio de 2023. Las empresas deben divulgar rápidamente incidentes de ciberseguridad, incluidas violaciones de datos y compromisos de sistemas. La regulación tenía como objetivo proporcionar a los inversores información oportuna sobre los riesgos cibernéticos que podrían afectar sus inversiones.
Los Bancos Citan Preocupaciones Operativas y de Seguridad
Los representantes bancarios argumentan que los requisitos de divulgación entran en conflicto directamente con los sistemas de informes confidenciales existentes diseñados para proteger la infraestructura crítica. Afirman que las divulgaciones públicas prematuras interfieren con los procedimientos de respuesta a incidentes y las investigaciones de las fuerzas del orden. Los complejos mecanismos de demora incorporados en la regla crean confusión entre las obligaciones de divulgación obligatorias y voluntarias.
Según la coalición bancaria, los criminales de ransomware han armamentado los requisitos de divulgación pública como una herramienta de extorsión. Los grupos criminales ahora amenazan con desencadenar plazos de divulgación obligatoria para presionar a las víctimas a pagar rescates más rápidamente. Este desarrollo ha alterado fundamentalmente la dinámica de la respuesta a incidentes de ciberseguridad.
Los grupos también plantean preocupaciones sobre implicaciones de seguros y responsabilidad.
Las divulgaciones prematuras complican las reclamaciones de seguros y aumentan la exposición legal para las empresas afectadas. Las comunicaciones internas se vuelven más cautelosas cuando los empleados saben que sus discusiones sobre respuesta a incidentes podrían convertirse en registros públicos.
La confusión del mercado representa otra preocupación significativa para la industria bancaria. La regla crea incertidumbre sobre qué incidentes requieren divulgación inmediata frente a aquellos que pueden manejarse a través de marcos de información material existentes. Esta confusión afecta tanto a las empresas que intentan cumplir como a los inversores que intentan interpretar las divulgaciones.
Las Compañías de Criptomonedas Enfrentan Presiones de Divulgación Similares
Las compañías de criptomonedas que cotizan en bolsa han experimentado el impacto práctico de estos requisitos de divulgación. Coinbase reveló a principios de este mes que piratas informáticos sobornaron al personal de soporte para acceder a datos de usuarios, lo que llevó a al menos siete demandas contra la empresa. El intercambio rechazó una demanda de rescate de $20 millones, pero estima que el incidente podría costar hasta $400 millones en daños.
El caso de Coinbase ilustra cómo los requisitos de divulgación pueden amplificar el impacto financiero de los incidentes de ciberseguridad. La exposición legal se multiplica cuando las empresas deben informar inmediatamente al público sobre violaciones que de otro modo podrían resolverse de manera más discreta.
Esta dinámica afecta particularmente a las empresas de tecnología y servicios financieros que manejan datos sensibles de clientes.
Si la SEC concede la petición de la industria bancaria, empresas como Coinbase podrían ganar más flexibilidad en el tiempo de sus divulgaciones de ciberseguridad. Los estrictos plazos de la norma actual a menudo obligan a las empresas a divulgar incidentes antes de comprender completamente su alcance o impacto.
Marco Alternativo Propuesto por la Coalición Bancaria
Los grupos bancarios argumentan que los marcos de divulgación existentes ya protegen los intereses de los inversores sin los requisitos específicos de ciberseguridad. Las reglas preexistentes para informar información material continuarían cubriendo incidentes cibernéticos significativos que realmente afecten el desempeño o la condición financiera de la empresa.
Creen que este enfoque serviría mejor tanto a los inversores como a los intereses de seguridad nacional.
La petición incluye ejemplos documentados de conflictos regulatorios y confusión de los participantes desde la implementación de la regla. Los grupos bancarios han compilado incidentes específicos que demuestran cómo los requisitos de divulgación interfirieron con las investigaciones policiales y los esfuerzos de respuesta a incidentes.
Las instituciones financieras también señalan sus obligaciones regulatorias existentes bajo otras agencias federales. Los bancos ya informan incidentes de ciberseguridad a los reguladores financieros a través de canales confidenciales diseñados para proteger la información sensible de infraestructura mientras se garantiza la supervisión adecuada.
Pensamientos Finales
El desafío de la industria bancaria a las reglas de divulgación de ciberseguridad de la SEC refleja tensiones más amplias entre transparencia y seguridad en la regulación de servicios financieros. Su petición argumenta que la divulgación pública obligatoria crea más riesgos que beneficios, particularmente cuando los criminales explotan los requisitos con fines de extorsión.