La Securities and Exchange Commission (SEC) ha messo in vigore delle nuove norme che richiedono alle società pubbliche di divulgare entro quattro giorni tutte le violazioni di sicurezza informatica che potrebbero influire sui loro risultati finanziari.
Le norme, approvate con un voto di 3-2 lungo le linee di partito, richiedono anche alle società quotate in borsa di divulgare annualmente informazioni sulla gestione del rischio di sicurezza informatica e sull'esperienza esecutiva nel settore, al fine di proteggere gli investitori.
Le divulgazioni delle violazioni possono essere ritardate solo se il Procuratore Generale degli Stati Uniti stabilisce che potrebbero comportare un rischio significativo per la sicurezza nazionale o pubblica e lo si comunica per iscritto alla SEC. Tuttavia, tali ritardi possono essere estesi oltre i 60 giorni solo in circostanze eccezionali.
Gary Gensler, presidente della SEC, ha sottolineato l'importanza di divulgare tempestivamente tali violazioni, poiché possono essere rilevanti per gli investitori, sia che riguardino la perdita di una fabbrica in un incendio o milioni di file in un incidente di sicurezza informatica. L'auspicio, chiaramente, è quello di aumentare la trasparenza riguardo a un rischio crescente e spesso poco chiaro, oltre che incoraggiare un miglioramento delle difese informatiche.
La norma è stata proposta per la prima volta nel marzo 2022, quando la SEC ha riconosciuto il rischio crescente delle violazioni delle reti aziendali a causa della digitalizzazione delle operazioni e del lavoro remoto. Un nuovo rapporto pubblicato da IBM ha rivelato che le aziende spendono in media 4,5 milioni di dollari per affrontare le violazioni, con un aumento del 15% negli ultimi tre anni. Le società colpite tendono a trasferire i costi ai consumatori, che possono essere a loro volta vittime con informazioni personali rubate, motivo per cui le nuove misure rivestono ancora più importanza per la collettività.