“Le società quotate in Borsa dovrebbero prepararsi a includere le informazioni sulla cybersecurity nella rendicontazione periodica obbligatoria resa al mercato, perché gli investitori hanno interesse a sapere quanto l'impresa in cui investono i propri soldi sia robusta o vulnerabile rispetto al rischio di attacchi hacker”.
È questa la posizione espressa da Luna Bloom della Sec (Securities and Exchange Commission), l'autorità di regolamentazione e di vigilanza sui mercati finanziari degli Stati Uniti, nel suo intervento al convegno "Cybersecurity, market disclosure & industry" all'Università Cattolica del Sacro Cuore di Milano.
I rischi cyber sono in crescita e hanno subito un'accelerazione a seguito della digitalizzazione dell'economia e della finanza, con forti impatti operativi, legali e reputazionali sulle società quotate, ha spiegato Bloom, secondo la quale è cruciale dotarsi di regole stringenti e di competenze nei cda delle quotate, per le quali la trasparenza in materia di cybersecurity deve essere obbligatoria e non discrezionale.
“Il rischio cyber ha un potenziale impatto sistemico - ha osservato Paolo Ciocca, commissario Consob - La questione non è se dare l'informazione, ma quando darla, come darla e cosa dire al mercato. Questo pone un onere a carico dei cda”.
Ed Elena Beccalli, preside della Facoltà di Scienze bancarie, finanziarie e assicurative della Cattolica, ha aggiunto: “Una divulgazione di informazioni sulla cybersecurity, coerente, comparabile e orientata alle decisioni, metterebbe gli investitori in una posizione migliore per comprendere rischi e incidenti”.
Per i mercati finanziari dell'Unione Europea sarebbe un radicale cambiamento di prospettiva. A oggi, infatti, gli attacchi hacker sono soggetti alla disciplina di trasparenza degli eventi price sensitive. Questo significa che devono essere resi noti solo se e quando si verifica l'emergenza. È la stessa società, inoltre, a valutare se l'episodio sia oppure no di interesse per il mercato e in quali tempi eventualmente comunicare.
Se le proposte della Sec fossero recepite anche in ambito Ue, l'informativa sulla cybersecurity diventerebbe non più volontaria ma obbligatoria e sarebbe sottoposta a una disciplina di trasparenza secondo criteri predefiniti e validi per tutti.