La cyber resilienza delle società quotate, secondo la Consob e le sue omologhe, deve entrare nella rendicontazione periodica obbligatoria per il mercato. Le Authority globali per la regolamentazione dei mercati finanziari stanno infatti valutando se declinare la disciplina di trasparenza anche alla materia della cyber security.
“Lo scorso 27 febbraio”, commenta Claudio Telmon, Senior Partner – Information & Cyber Security at P4I – Partners4Innovation , “la Consob ha emesso un comunicato stampa relativo alla possibilità, discussa insieme a Sec ed Esma, che le società quotate, in Europa e negli Stati Uniti, debbano comprendere nella propria reportistica periodica informazioni relative alla propria resilienza agli attacchi hacker”.
Ecco l’opinione degli esperti e quale potrebbe essere l’impatto in ambito UE.
Indice degli argomenti
Cyber resilienza: la Consob vuole più trasparenza
L’Autorità statunitense per la regolamentazione dei mercati finanziari sta studiando l’obbligo di comunicazione sui cyber attacchi.
Le società quotate in Borsa devono iniziare a prepararsi ad introdurre le informazioni sulla cybersecurity nei report periodici, in maniera non più discrezionale.
La rendicontazione periodica obbligatoria per il mercato deve riportare quanto sia cyber resiliente un’azienda, in era di cyber attacchi crescenti. Infatti è nell’interesse degli investitori conoscere lo stato di salute dell’azienda in cui investono i propri capitali.
Un’impresa non deve solo rendere noto al mercato la trimestrale dei bilanci, ma anche far sapere se è robusta o vulnerabile rispetto al rischio di cyber attacchi. Lo ha dichiarato Luna Bloom della Sec (Securities and Exchange Commission), la Consob americana, al convegno “Cybersecurity, market disclosure & industry”, tenutosi il 27 e 28 febbraio scorsi all’Università Cattolica del Sacro Cuore con l’autorità di regolamentazione e di vigilanza sui mercati finanziari.
In quell’occasione ha anche espresso l’esigenza di norme rigide e la presenza di competenze nei CdA delle quotate. La trasparenza in materia di cybersecurity non è facoltativa: deve diventare un obbligo, secondo Luna Bloom.
In realtà “l’attenzione da parte della finanza e degli investitori alla gestione della sicurezza delle aziende non è in sé una novità”, sottolinea Telmon.
La cyber security è sempre più rilevante
“Già da tempo, le verifiche su questi aspetti sono ad esempio parte sempre più comune della due diligence nelle operazioni di M&A . Nel 2018, Gartner rilevava la rilevanza della cyber security nelle due diligence, e l’American Bar Association già nel 2017 metteva in evidenza la rilevanza dello stesso tema”, mette in evidenza Telmon: “L’attenzione di Sec, Esma e Consob dà però a questo tipo di analisi una rilevanza diversa”. Ecco quale.
Attacchi hacker: buone pratiche minime
Le cyber minacce sono in crescita e accelerano per effetto della digitalizzazione dell’economia e della finanza, ma anche per fattori geopolitici. Incidenti e attacchi di tipo ransomware hanno forti impatti sull’operatività, sulla reputation e sugli aspetti legali sulle società quotate.
“Da una parte, l’attenzione verso la cyber resilienza da parte di Sec, Esma e Consob conferma come questi rischi siano diventati per gli investitori abbastanza rilevanti da poter essere inclusi nella rendicontazione periodica obbligatoria resa al mercato”, mette in guardia Telmon.
“Dall’altra, mette le aziende quotate, anche quando non abbiano azioni di M&A in corso, nelle condizioni di dover avere coscienza dei rischi in essere, ad un livello al quale non sempre l’attenzione alla cyber security va oltre le dichiarazioni di buone intenzioni, ma soprattutto le obbliga ad una trasparenza molto maggiore, dato che fornire informazioni non corrette al mercato avrebbe conseguenze in termini di sanzioni e di immagine particolarmente gravi. Si tratta di un’operazione di trasparenza che si andrebbe a sommare alle altre già previste da diverse normative, che però sono focalizzate generalmente su una reportistica a specifiche autorità di controllo, e solo occasionalmente si arrivano a dare informazioni al pubblico”, spiega Telmon.
“In questo caso invece”, prosegue Claudio Telmon, “le informazioni disponibili, e quindi una maggiore facilità in termini di benchmark e di definizione di fatto di ‘buone pratiche minime’ a cui le aziende, anche non quotate, avrebbero sempre più difficoltà a sottrarsi”.
L’impatto sistemico del rischio cyber, secondo Paolo Ciocca, Commissario Consob, infatti è evidente: “La questione non è se dare l’informazione, ma quando darla, come darla e cosa dire al mercato. Questo pone un onere a carico dei CdA”.
Divulgare informazioni sulla cyber security deve avvenire in maniera “coerente, comparabile e orientata alle decisioni”, secondo Elena Beccalli, preside della Facoltà di Scienze bancarie, finanziarie e assicurative della Cattolica. L’obiettivo è mettere gli investitori “in una posizione migliore per comprendere rischi e incidenti”. Secondo Alexander Harris dell’Esma, serve la cooperazione tra regolatori e gli altri attori del mercato.
Cosa cambierebbe in ambito UE
Per i mercati finanziari dell’Unione Europea significherebbe cambiare prospettiva in maniera radicale.
I cyber attacchi oggi sono soggetti alla disciplina di trasparenza degli eventi price sensitive: devono essere pubblici solo se e in caso di emergenza. La società, inoltre, decide se l’episodio sia o meno di interesse per il mercato e in quali tempi vada eventualmente reso noto.
Se la UE recepisse le proposte della Sec, l’informativa sulla cyber security passerebbe dall’essere volontaria a obbligatoria. Dovrebbe essere sottoposta a una disciplina di trasparenza secondo parametri predefiniti e validi per tutti.
Nel complesso”, conclude Telmon, sarebbe “un’azione che gioverebbe sicuramente a quel miglioramento del livello generale di sicurezza di cui c’è ancora grande bisogno. Questi anni sono e saranno determinanti per far diventare la cyber security, grazie anche alla spinta normativa, un tema realmente parte della normale gestione dei rischi delle aziende”.
