Cinque importanti gruppi dell'industria bancaria hanno formalmente richiesto alla Securities and Exchange Commission (SEC) di abrogare la norma di divulgazione degli incidenti di cybersecurity, sostenendo che la regolamentazione compromette gli sforzi di sicurezza nazionale e crea più problemi di quanti ne risolva. L'American Bankers Association ha guidato la coalizione in una lettera del 22 maggio che contesta le fondamenta dei requisiti di divulgazione pubblica per incidenti cibernetici.
Cosa Sapere:
- Cinque gruppi bancari sostengono che la norma di divulgazione della cybersecurity della SEC confligge con i rapporti confidenziali destinati a proteggere le infrastrutture critiche
- La norma richiede la rapida divulgazione pubblica di incidenti come le violazioni dei dati, ma le banche affermano che ciò aiuta i criminali del ransomware e danneggia gli sforzi di risposta
- La coalizione bancaria vuole che l'Elemento 1.05 sia rimosso dai requisiti di segnalazione del Modulo 8-K che avvisa gli investitori di incidenti di cybersecurity
La Coalizione del Settore prende di mira il meccanismo di divulgazione primario
La coalizione include la Securities Industry and Financial Markets Association, il Bank Policy Institute, l'Independent Community Bankers of America e l'Institute of International Bankers. Questi gruppi rappresentano migliaia di istituzioni finanziarie negli Stati Uniti. La loro richiesta prende di mira specificamente "l'Elemento 1.05" all'interno dei requisiti di segnalazione del Modulo 8-K della SEC.
Il Modulo 8-K serve come il veicolo principale per avvisare pubblicamente gli investitori di eventi significativi che influenzano le società pubbliche.
La disposizione sulla cybersecurity richiede alle aziende di divulgare incidenti che potrebbero influenzare materialmente le loro operazioni o la condizione finanziaria. I gruppi bancari sostengono che questo meccanismo crea più danni che trasparenza.
La norma sulla gestione dei rischi di cybersecurity della SEC è entrata in vigore dopo la pubblicazione nel luglio 2023. Le aziende devono ora divulgare rapidamente gli incidenti di cybersecurity, incluse le violazioni dei dati e i compromessi dei sistemi. La regolamentazione mira a fornire agli investitori informazioni tempestive sui rischi cibernetici che potrebbero influenzare i loro investimenti.
Le Banche evidenziano preoccupazioni operative e di sicurezza
I rappresentanti delle banche sostengono che i requisiti di divulgazione confliggono direttamente con i sistemi di rapporto confidenziali esistenti progettati per proteggere le infrastrutture critiche. Sostengono che divulgazioni pubbliche premature interferiscono con le procedure di risposta agli incidenti e con le indagini delle forze dell'ordine. I meccanismi di ritardo complessi integrati nella norma creano confusione tra gli obblighi di divulgazione obbligatoria e volontaria.
Secondo la coalizione bancaria, i criminali del ransomware hanno armato i requisiti di divulgazione pubblica come uno strumento di estorsione. I gruppi criminali ora minacciano di innescare le tempistiche di divulgazione obbligatoria per costringere le vittime a pagare i riscatti più rapidamente. Questo sviluppo ha alterato fondamentalmente le dinamiche della risposta agli incidenti di cybersecurity.
I gruppi sollevano anche preoccupazioni riguardo alle implicazioni assicurative e di responsabilità.
Le divulgazioni premature complicano le richieste di risarcimento e aumentano l'esposizione legale per le aziende colpite. Le comunicazioni interne diventano più caute quando i dipendenti sanno che le loro discussioni sulla risposta agli incidenti potrebbero diventare un resoconto pubblico.
La confusione del mercato rappresenta un'altra significativa preoccupazione per l'industria bancaria. La norma crea incertezza su quali incidenti richiedano una divulgazione immediata rispetto a quelli che possono essere gestiti attraverso i quadri informativi materiali esistenti. Questa confusione colpisce sia le aziende che cercano di conformarsi che gli investitori che cercano di interpretare le divulgazioni.
Le aziende di Cripto affrontano pressioni simili di divulgazione
Le aziende di criptovalute quotate in borsa hanno sperimentato l'impatto pratico di questi requisiti di divulgazione. Coinbase ha divulgato all'inizio di questo mese che gli hacker hanno corrotto il personale di supporto per accedere ai dati degli utenti, portando ad almeno sette cause legali contro la società. Lo scambio ha rifiutato una richiesta di riscatto da $20 milioni ma stima che l'incidente potrebbe costare fino a $400 milioni in danni.
Il caso Coinbase illustra come i requisiti di divulgazione possano amplificare l'impatto finanziario degli incidenti di cybersecurity. L'esposizione legale si moltiplica quando le aziende devono informare immediatamente il pubblico su violazioni che altrimenti potrebbero essere risolte più silenziosamente.
Questa dinamica colpisce particolarmente le aziende tecnologiche e dei servizi finanziari che gestiscono dati sensibili dei clienti.
Se la SEC dovesse accogliere la richiesta dell'industria bancaria, aziende come Coinbase potrebbero ottenere maggiore flessibilità nel tempismo delle loro divulgazioni di cybersecurity. Le tempistiche rigide della norma attuale costringono spesso le aziende a divulgare gli incidenti prima di comprendere pienamente la portata o l'impatto.
Quadro alternativo proposto dalla coalizione bancaria
I gruppi bancari sostengono che i quadri di divulgazione esistenti proteggono già gli interessi degli investitori senza i requisiti specifici per la cybersecurity. Le norme preesistenti per la segnalazione delle informazioni materiali continuerebbero a coprire gli incidenti cibernetici significativi che incidono realmente sulle prestazioni o sulla condizione finanziaria dell'azienda.
Credono che questo approccio servirebbe meglio sia gli interessi degli investitori che quelli della sicurezza nazionale.
La petizione include esempi documentati di conflitti normativi e confusione dei partecipanti dal momento dell'implementazione della norma. I gruppi bancari hanno compilato incidenti specifici che dimostrano come i requisiti di divulgazione abbiano interferito con le indagini delle forze dell'ordine e gli sforzi di risposta agli incidenti.
Le istituzioni finanziarie inoltre indicano i loro obblighi normativi esistenti sotto altri enti federali. Le banche segnalano già incidenti di cybersecurity ai regolatori finanziari attraverso canali confidenziali progettati per proteggere le informazioni sensibili delle infrastrutture garantendo al contempo una supervisione adeguata.
Considerazioni finali
La sfida dell'industria bancaria alle norme di divulgazione di cybersecurity della SEC riflette tensioni più ampie tra trasparenza e sicurezza nella regolamentazione dei servizi finanziari. La loro petizione sostiene che la divulgazione pubblica obbligatoria crea più rischi che benefici, in particolare quando i criminali sfruttano i requisiti a fini estorsivi.