Catonarie | 01 marzo 2023, 19:15

Quotate verso l'obbligo di relazione sulla cybersecurity

Quotate verso l'obbligo di relazione sulla cybersecurity

“Le società quotate in Borsa dovrebbero prepararsi a includere le informazioni sulla cybersecurity nella rendicontazione periodica obbligatoria resa al mercato, perché gli investitori hanno interesse a sapere quanto l'impresa in cui investono i propri soldi sia robusta o vulnerabile rispetto al rischio di attacchi hacker”.

È questa la posizione espressa da Luna Bloom della Sec (Securities and Exchange Commission), l'autorità di regolamentazione e di vigilanza sui mercati finanziari degli Stati Uniti, nel suo intervento al convegno "Cybersecurity, market disclosure & industry" all'Università Cattolica del Sacro Cuore di Milano.

I rischi cyber sono in crescita e hanno subito un'accelerazione a seguito della digitalizzazione dell'economia e della finanza, con forti impatti operativi, legali e reputazionali sulle società quotate, ha spiegato Bloom, secondo la quale è cruciale dotarsi di regole stringenti e di competenze nei cda delle quotate, per le quali la trasparenza in materia di cybersecurity deve essere obbligatoria e non discrezionale.

“Il rischio cyber ha un potenziale impatto sistemico - ha osservato Paolo Ciocca, commissario Consob - La questione non è se dare l'informazione, ma quando darla, come darla e cosa dire al mercato. Questo pone un onere a carico dei cda”.

Ed Elena Beccalli, preside della Facoltà di Scienze bancarie, finanziarie e assicurative della Cattolica, ha aggiunto: “Una divulgazione di informazioni sulla cybersecurity, coerente, comparabile e orientata alle decisioni, metterebbe gli investitori in una posizione migliore per comprendere rischi e incidenti”.

Per i mercati finanziari dell'Unione Europea sarebbe un radicale cambiamento di prospettiva. A oggi, infatti, gli attacchi hacker sono soggetti alla disciplina di trasparenza degli eventi price sensitive. Questo significa che devono essere resi noti solo se e quando si verifica l'emergenza. È la stessa società, inoltre, a valutare se l'episodio sia oppure no di interesse per il mercato e in quali tempi eventualmente comunicare.

Se le proposte della Sec fossero recepite anche in ambito Ue, l'informativa sulla cybersecurity diventerebbe non più volontaria ma obbligatoria e sarebbe sottoposta a una disciplina di trasparenza secondo criteri predefiniti e validi per tutti.