Cinco grandes grupos da indústria bancária formalmente solicitaram à Securities and Exchange Commission (SEC) para revogar sua regra de divulgação de incidentes de cibersegurança, argumentando que a regulação prejudica os esforços de segurança nacional e cria mais problemas do que resolve. A American Bankers Association liderou a coalizão em uma carta de 22 de maio que desafia a base dos requisitos de divulgação pública para incidentes cibernéticos.
O que saber:
- Cinco grupos bancários argumentam que a regra de divulgação de cibersegurança da SEC conflita com relatórios confidenciais destinados a proteger infraestruturas críticas
- A regra exige divulgação pública rápida de incidentes como violações de dados, mas os bancos afirmam que isso auxilia criminosos de ransomware e prejudica os esforços de resposta
- A coalizão bancária quer que o Item 1.05 seja rescindido dos requisitos de relatório do Formulário 8-K que notificam investidores sobre incidentes de cibersegurança
Coalizão da Indústria Alvo Mecanismo de Divulgação Central
A coalizão inclui a Securities Industry and Financial Markets Association, Bank Policy Institute, Independent Community Bankers of America e Institute of International Bankers. Esses grupos representam milhares de instituições financeiras nos Estados Unidos. Sua petição tem como alvo específico o "Item 1.05" dentro dos requisitos de relatório do Formulário 8-K da SEC.
O Formulário 8-K serve como o principal veículo para notificar publicamente investidores sobre eventos significativos que afetam empresas públicas.
A provisão de cibersegurança exige que as empresas divulguem incidentes que possam impactar materialmente suas operações ou condição financeira. Os grupos bancários alegam que esse mecanismo causa mais danos do que transparência.
A regra de Gestão de Risco de Cibersegurança da SEC entrou em vigor após publicação em julho de 2023. As empresas agora devem divulgar rapidamente incidentes de cibersegurança, incluindo violações de dados e comprometimento de sistemas. A regulação visa fornecer informações oportunas aos investidores sobre riscos cibernéticos que possam afetar seus investimentos.
Bancos Citam Preocupações Operacionais e de Segurança
Representantes bancários argumentam que os requisitos de divulgação entram em conflito direto com sistemas de relatórios confidenciais existentes, projetados para proteger infraestruturas críticas. Alegam que divulgações públicas prematuras interferem nos procedimentos de resposta a incidentes e investigações policiais. Os mecanismos complexos de atraso incorporados na regra criam confusão entre obrigações de divulgação obrigatórias e voluntárias.
Criminosos de ransomware têm utilizado requisitos de divulgação pública como uma ferramenta de extorsão, segundo a coalizão bancária. Grupos criminosos agora ameaçam acionar prazos de divulgação obrigatória para pressionar as vítimas a pagar resgates mais rapidamente. Esse desenvolvimento alterou fundamentalmente a dinâmica da resposta a incidentes de cibersegurança.
Os grupos também levantam preocupações sobre implicações de seguro e responsabilidade civil.
Divulgações prematuras complicam reivindicações de seguro e aumentam a exposição legal para empresas afetadas. Comunicações internas tornam-se mais cautelosas quando os funcionários sabem que suas discussões de resposta a incidentes podem se tornar registro público.
A confusão de mercado representa outra preocupação significativa para a indústria bancária. A regra cria incerteza sobre quais incidentes exigem divulgação imediata versus aqueles que podem ser tratados por meio de frameworks existentes de informações materiais. Essa confusão afeta tanto as empresas que tentam cumprir quanto os investidores que tentam interpretar as divulgações.
Empresas de Cripto Enfrentam Pressões Semelhantes de Divulgação
Empresas de criptomoeda de capital aberto têm experimentado o impacto prático desses requisitos de divulgação. O Coinbase divulgou no início deste mês que hackers subornaram funcionários de suporte para acessar dados de usuários, levando a pelo menos sete processos contra a empresa. A exchange rejeitou uma demanda de resgate de $20 milhões, mas estima que o incidente pode custar até $400 milhões em danos.
O caso do Coinbase ilustra como os requisitos de divulgação podem amplificar o impacto financeiro de incidentes de cibersegurança. A exposição legal se multiplica quando as empresas devem informar imediatamente o público sobre violações que poderiam ser resolvidas de forma mais discreta.
Essa dinâmica afeta particularmente empresas de tecnologia e serviços financeiros que lidam com dados sensíveis de clientes.
Se a SEC atender ao pedido da indústria bancária, empresas como o Coinbase podem ganhar mais flexibilidade no cronograma de suas divulgações de cibersegurança. Os cronogramas rígidos da regra atual frequentemente forçam as empresas a divulgar incidentes antes de compreenderem totalmente seu escopo ou impacto.
Framework Alternativo Proposto pela Coalizão Bancária
Os grupos bancários argumentam que frameworks de divulgação existentes já protegem os interesses dos investidores sem os requisitos específicos de cibersegurança. Regras pré-existentes para a divulgação de informações materiais continuariam a cobrir incidentes cibernéticos significativos que realmente afetam o desempenho ou a condição financeira da empresa.
Eles acreditam que essa abordagem serviria melhor tanto aos interesses dos investidores quanto aos interesses de segurança nacional.
A petição inclui exemplos documentados de conflitos regulatórios e confusão de participantes desde a implementação da regra. Grupos bancários compilaram incidentes específicos demonstrando como os requisitos de divulgação interferiram em investigações policiais e esforços de resposta a incidentes.
Instituições financeiras também apontam para suas obrigações regulatórias existentes sob outras agências federais. Bancos já relatam incidentes de cibersegurança a reguladores financeiros por meio de canais confidenciais projetados para proteger informações de infraestrutura sensíveis enquanto garantem a supervisão adequada.
Considerações Finais
O desafio da indústria bancária às regras de divulgação de cibersegurança da SEC reflete tensões mais amplas entre transparência e segurança na regulação de serviços financeiros. Sua petição argumenta que a divulgação pública obrigatória cria mais riscos do que benefícios, particularmente quando criminosos exploram os requisitos para fins de extorsão.