Cybersicurezza, la svolta della SEC: le aziende quotate dovranno rendere noti gli attacchi informatici

di |

In base alle nuove direttive, le compagnie dovranno comunicare se il rischio di un cyber incidente rientra tra i fattori che rendono rischioso l’investimento nella società.

Stati Uniti


Cyber Security

Alla luce dei numerosi attacchi informatici subiti dalle aziende e dalle agenzie governative americane, la Securities and Exchange Commission – l’ente che, al pari della Consob in Italia, vigila sulla Borsa Usa – ha emanato una serie di linee guida in base alle quali le aziende quotate dovranno notificare eventuali incursioni degli hacker nei loro sistemi, a partire dal prossimo anno.

Si tratta di un importante cambio di rotta, che prevede anche che le aziende vittime di attacchi informatici spieghino quali misure hanno messo in atto per riparare i danni subiti e per mettere in sicurezza le loro infrastrutture.

 

Le linee guida – sollecitate da un gruppo di senatori democratici tra cui il presidente della Commissione per il Commercio Jay Rockefeller – ampliano la lista delle circostanze che dovranno essere oggetto di comunicazione alla SEC per includere le intrusioni nei computer, il furto di dati, i potenziali costi dell’intrusione di un malware. Ogni evento che, insomma, potrebbe influenzare le decisioni degli investitori.

Le compagnie, sottolineano le nuove direttive, dovranno comunicare se il rischio di un cyber incidente “rientra tra i fattori che rendono rischioso l’investimento nella società”.

 

Nella lettera inviata a maggio alla SEC, il gruppo di senatori capeggiato da Rockefeller sottolinea che “alla luce delle crescenti minacce alle imprese americane e delle loro  ramificazioni sulla sicurezza nazionale e sull’economia, è essenziale che i vertici siano consapevoli delle loro responsabilità nella gestione e nella comunicazione dei rischi per la sicurezza delle informazioni”.

 

Solo le aziende di alcuni settori economici sono attualmente obbligate a comunicare eventuali attacchi hacker: le banche devono informare il ministero del Tesoro e le aziende ospedaliere devono comunicarlo al ministero della Sanità.

 

L’unica azienda hi-tech ad aver spontaneamente rivelato di essere rimasta vittima di un importante attacco hacker è stata Google, che lo scorso giugno ha accusato il governo cinese di aver rubato dai server di Gmail centinaia di password appartenenti a giornalisti ed attivisti.

Molte altre, pur avendo subito intrusioni, non ne hanno dato notizia per non rovinarsi la reputazione. Secondo un rapporto della Science Applications International Corporation e McAfee, su 1.000 multinazionali, solo 3 su 10 hanno ammesso di aver notificato violazioni ai sistemi informatici. Le restanti hanno dichiarato di aver riportato solo alcuni degli incidenti subiti o solo quello che era necessario rivelare per essere conformi alla legge.

 

“Proprietà intellettuale del valore di miliardi di dollari è stata rubata dai cyber criminali e gli investitori sono stati lasciati completamente all’oscuro. Queste linee guida cambiano tutto perché permetterà al mercato di valutare le aziende anche sulla base della loro capacità di rendere sicure le loro infrastrutture”, ha affermato il senatore Rockefller.

Leggi le altre notizie sull’home page di Key4biz