I rischi cyber sono in crescita e hanno subito un’accelerazione a seguito della digitalizzazione dell’economia e della finanza, con forti impatti operativi, legali e reputazionali sulle società quotate. È il caso quindi che le quotate siano più trasparenti sulla cybersecurity e che quindi la materia sia obbligatoria e non discrezionale.
La proposta è stata avanzata da Luna Bloom della Sec (Securities and exchange commission), l’autorità di regolamentazione e di vigilanza sui mercati finanziari degli Stati Uniti, intervenendo al convegno Cybersecurity, market disclosure & industry tenutosi all’Università Cattolica del Sacro Cuore. L’ipotesi è stata confermata anche da Paolo Ciocca (nella foto), Commissario Consob, e Alexander Harris dell’Esma.
Nel dettaglio, come sottolineato da Bloom, le società quotate in Borsa dovrebbero prepararsi a includere le informazioni sulla cybersecurity nella rendicontazione periodica obbligatoria resa al mercato, perché gli investitori hanno interesse a sapere quanto l’impresa in cui investono i propri soldi sia robusta o vulnerabile rispetto al rischio di attacchi hacker e, soprattutto, quanto possono fidarsi della capacità delle aziende di gestire le crescenti minacce informatiche e quanto tali minacce impattano sui conti dell’azienda e, quindi, sul rendimento dei loro investimenti.
Cosa è previsto oggi
Una maggiore trasparenza per i mercati finanziari dell’Unione europea sarebbe un radicale cambiamento di prospettiva. Ad oggi, infatti, gli attacchi hacker sono soggetti alla disciplina di trasparenza degli eventi price sensitive. Questo significa che devono essere resi noti solo se e quando si verifica l’emergenza. È la stessa società, inoltre, a valutare se l’episodio sia oppure no di interesse per il mercato e in quali tempi eventualmente comunicare. Se le proposte di Sec, Consob ed Esma fossero recepite anche in ambito Ue, l’informativa sulla cybersecurity diventerebbe non più volontaria ma obbligatoria e sarebbe sottoposta a una disciplina di trasparenza secondo criteri predefiniti e validi per tutti.
“Il rischio cyber ha un potenziale impatto sistemico – ha sottolineato Ciocca -. La questione non è se dare l’informazione, ma quando darla, come darla e cosa dire al mercato. Questo pone un onere a carico dei Cda”. Necessaria però una collaborazione tra regolatori e gli altri attori del mercato, ha aggiunto Alexander Harris dell’Esma.
Una divulgazione di informazioni sulla cybersecurity, coerente, comparabile e orientata alle decisioni, metterebbe gli investitori, ha concluso Elena Beccalli, preside della Facoltà di Scienze bancarie, finanziarie e assicurative della Cattolica, “in una posizione migliore per comprendere rischi e incidenti”.
Cosa chiede la Sec
Nel dettaglio, la Sec propone di integrare l’informativa finanziaria periodica annuale e trimestrale, nonché ad evento con informazioni riguardanti material cybersecurity incidents e relativi impatti sui dati finanziari (con aggiornamenti periodici sulle precedenti informative fornite); policies e procedure adottate per identificare e gestire il rischio cyber; ruolo e attività concreta del management nell’implementare le policies e le procedure di cybersecurity; e l’expertise specifica in materia di cybersecurity dei membri del Cda e le concrete modalità di supervisione del cybersecurity risk da parte degli stessi.
La Sec poi sta stabilendo un tempo massimo di informativa pubblica (entro quattro giorni lavorativi dal momento in cui il cyber incidente è stato determinato come materiale) che al di là delle questioni di compatibilità con i tempi di indagine di un attacco cyber, impone decisioni rapide (procedure di escalation), sul cosa dire, con conseguenze in termini di correttezza e completezza dell’informazione da dare al mercato.
Più attacchi più budget
L’interesse per la materia cyber in Italia è già aumentato. Nel nostro paese, infatti, ben il 61% delle aziende con più di 250 dipendenti ha deciso negli ultimi 12 mesi di aumentare il budget a disposizione per le attività di sicurezza informatica. Ciò ha spinto il mercato nazionale della cybersecurity nel 2022 fino a quota 1,86 miliardi di euro, con una crescita del 18% rispetto all’anno precedente. Secondo l’Osservatorio cybersecurity & data protection del Politecnico di Milano, però, l’Italia rimane il paese del G7 con il rapporto tra spesa per la cybersecurity e Pil più basso (nonostante sia in crescita di due decimali dallo scorso anno, la percentuale si ferma allo 0,10%).