Grupos de defensa de la industria bancaria y financiera estadounidense han solicitado a la Comisión de Bolsa Valores (SEC) que derogue sus requisitos de divulgación pública sobre incidentes de ciberseguridad.
Cinco grupos bancarios estadounidenses, liderados por la Asociación Estadounidense de Banqueros, pidieron al regulador que elimine su norma en una carta del 22 de mayo, argumentando que divulgar incidentes de ciberseguridad “entra en conflicto directo con los requisitos de informes confidenciales destinados a proteger la infraestructura crítica y advertir a posibles víctimas”.
El grupo, que también incluyó a la Asociación de la Industria de Valores y Mercados Financieros, el Instituto de Políticas Bancarias, los Banqueros Comunitarios Independientes de América y el Instituto de Banqueros Internacionales, afirmó que la norma compromete los esfuerzos regulatorios para mejorar la ciberseguridad nacional.
La norma de Gestión de Riesgos de Ciberseguridad de la Comisión de Bolsa y Valores, publicada en julio de 2023, exige a las empresas divulgar rápidamente incidentes de ciberseguridad, como brechas de datos o hackeos. Sin embargo, los grupos bancarios argumentan que esta norma era defectuosa desde el principio y ha resultado problemática en la práctica desde que entró en vigor.
Los organismos bancarios señalaron que el “mecanismo complejo y limitado de retraso en la divulgación” interfiere con la respuesta a incidentes y las fuerzas del orden, y crea “confusión en el mercado” entre divulgaciones obligatorias y voluntarias.
La divulgación pública también ha sido “utilizada como un método de extorsión por criminales de ransomware para promover objetivos maliciosos”, y las divulgaciones prematuras agravan los problemas de seguros y responsabilidad para las empresas y “ponen en riesgo la inhibición de comunicaciones internas francas y el intercambio rutinario de información”, afirmó el grupo.
Los grupos quieren específicamente que el “Ítem 1.05” sea eliminado de las reglas de la Comisión de Bolsa y Valores para el reporte en el Formulario 8-K y los requisitos de reporte paralelos aplicables al Formulario 6-K.
El Formulario 8-K se utiliza para notificar públicamente a los inversores en empresas públicas estadounidenses sobre eventos específicos, incluidos incidentes de ciberseguridad, que pueden ser importantes para los accionistas o la Comisión de Valores.
“Críticamente, sin el Ítem 1.05, los intereses de los inversores seguirán protegidos, y creemos que estarían mejor atendidos a través del marco de divulgación preexistente para reportar información material, que puede incluir incidentes de ciberseguridad materiales”, afirmaron los grupos.
La petición completa incluyó ejemplos de confusión de los participantes, incidentes específicos de ataques de ransomware y conflictos regulatorios documentados.
Empresas de criptomonedas públicas afectadas
El requisito también afecta a empresas de criptomonedas cotizadas en bolsa, como Coinbase, que reveló a principios de este mes que hackers habían sobornado a su personal de soporte para filtrar datos de sus usuarios.
La divulgación llevó a la empresa a enfrentar al menos siete demandas por la divulgación.
Coinbase informó que rechazó una demanda de rescate de 20 millones de dólares después de que el personal filtrara datos de usuarios en un importante ataque de phishing, que según el exchange podría costarle hasta 400 millones de dólares en daños.
Si la Comisión de Bolsa y Valores deroga el requisito, podría dar a empresas como Coinbase más tiempo para divulgar incidentes de ciberseguridad al público.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
