La Consob americana ha deciso l’obbligo per le società quotate di comunicare all’autorità tutte le azioni di supervisione svolte dal board in materia di rischio cyber. È “fondamentale” che ciò accada anche in Italia, spiega l’avvocato Stefano Mele (Gianni & Origoni)
Mercoledì la Sec (Securities and Exchange Commission), la Consob americana, ha adottato nuove regole in materia cyber. Sono previsti l’obbligo per le società quotate alla Borsa di New York (oltre 2.400 società con una capitalizzazione totale superiore ai 30.000 miliardi di dollari) di dettagliare la supervisione del rischio cyber da parte del consiglio di amministrazione e quello di rendere noti gli incidenti cyber “rilevanti” entro quattro giorni.
La decisione, si legge in una nota, è pensata per “migliorare e standardizzare le informazioni relative alla gestione del rischio di cybersecurity, alla strategia, alla governance e agli incidenti da parte delle società pubbliche”.
Inizialmente l’idea era quella di prevedere un chief information security officer nei consigli di amministrazione delle società quotate. Ma forse il passaggio sarebbe stato troppo grande. Una ricerca pubblicata nel luglio 2022 da SpencerStuart spiegava che dei “456 nuovi amministratori indipendenti che sono entrati a far parte dei consigli di amministrazione dell’S&P 500 nel 2021”, appena 18 (cioè il 3,9%) avevano “esperienza nella guida di una funzione come la cybersicurezza, l’IT, l’ingegneria del software o i dati e l’analisi”.
La decisione della Sec “marca un importantissimo passo in avanti per la cybersecurity delle società americane quotate o regolamentate”, commenta Stefano Mele, partner e responsabile del dipartimento cybersecurity law dello studio legale Gianni & Origoni, a Formiche.net. “Infatti, obbligando queste società a comunicare all’autorità tutte le azioni di supervisione svolte dal board in materia di rischio cyber, nonché tutte le attività condotte dal management per la valutazione e gestione delle relative minacce, si spinge nei fatti il consiglio di amministrazione a prendere finalmente in considerazione la cybersecurity per ciò che realmente è: uno tra i più rilevanti rischi orizzontali, che impatta profondamente dal business alla reputazione, passando per l’operatività e per gli obblighi di compliance”, aggiunge.
Secondo Mele è “fondamentale” che questi principi trovino spazio quanto prima anche in Italia, “quantomeno per le società quotate in Borsa e vigilate dalla Consob”. Un auspicio già espresso su queste pagine. “Del resto, già dallo scorso anno, le principali agenzie internazionali di rating hanno richiesto alle principali società italiane di dare evidenza di come avessero gestito il rischio cyber e quali investimenti fossero stati effettuati o pianificati nello specifico settore della cybersecurity”, conclude.
