Le società quotate in Borsa dovrebbero includere informazioni sulla cybersecurity nella loro rendicontazione periodica obbligatoria per dare agli investitori una migliore comprensione della loro capacità di resistere agli attacchi informatici. Questa è la posizione espressa da Luna Bloom, rappresentante della Securities and Exchange Commission (SEC), durante il convegno “Cybersecurity, market disclosure & industry” presso l’Università Cattolica del Sacro Cuore.
La digitalizzazione dell’economia e della finanza ha portato ad un aumento dei rischi cyber, con conseguenti impatti operativi, legali e reputazionali per le società quotate. È quindi essenziale che le società quotate si dotino di regole stringenti e di competenze nei loro consigli di amministrazione per la gestione della cybersecurity, come sottolineato da Bloom. La trasparenza in materia di cybersecurity deve diventare obbligatoria e non discrezionale, in modo che gli investitori possano prendere decisioni informate.
Paolo Ciocca, Commissario Consob, ha sottolineato che il rischio relativo alla cybersecurity delle società quotate ha un potenziale impatto sistemico, e che la questione non è se fornire informazioni, ma quando farlo, come farlo e cosa comunicare al mercato. Questo pone un onere sui consigli di amministrazione delle società quotate.
La divulgazione di informazioni sulla cybersecurity, coerente, comparabile e orientata alle decisioni, metterebbe gli investitori in una posizione migliore per comprendere i rischi e gli incidenti, ha affermato Elena Beccalli, preside della Facoltà di Scienze bancarie, finanziarie e assicurative della Cattolica.
Alexander Harris dell’ESMA ha sottolineato che la pandemia, la guerra in Ucraina e il frequente ricorso a fornitori esternalizzati hanno aumentato la minaccia di rischi sistemici, e che è necessaria la collaborazione tra regolatori e gli altri attori del mercato.
Se le proposte della SEC fossero adottate anche in Europa, ci sarebbe un radicale cambiamento di prospettiva. Attualmente, gli attacchi informatici sono soggetti alla disciplina di trasparenza degli eventi price sensitive, il che significa che devono essere resi noti solo in caso di emergenza. Inoltre, è la stessa società a valutare se l’episodio è di interesse per il mercato e quando comunicarlo.
L’introduzione dell’obbligo di rendere pubbliche le informazioni sulla cybersecurity rappresenterebbe un importante passo avanti nella protezione degli investitori e nella gestione dei rischi. Consentirebbe inoltre alle società di adottare politiche e procedure di sicurezza più efficaci, contribuendo così a garantire la stabilità dei mercati finanziari.
In conclusione, se le proposte della Sec fossero recepite anche in ambito europeo, l’informativa sulla cybersecurity per le società quotate diventerebbe non più volontaria ma obbligatoria e sarebbe sottoposta ad una disciplina di trasparenza secondo criteri predefiniti e validi per tutti.
