Cerca
Close this search box.

Società quotate in Borsa, investimenti dipendono anche dalla cyberseurity

cybersecurity hacker sicurezza informatica

La sicurezza informatica ha assunto una rilevanza fondamentale nell’economia di un mondo iperconnesso e digitale. L’operatività stessa delle aziende è esposta a potenziali cyber attacchi da parte di pirati informatici che mirano a rubarne i dati, a intralciarne la normale routine finanche a impedirne le più basilari attività. 

Queste criticità possono avere una rilevanza ancora più elevata quando si parla di società quotate. Perché il livello di protezione delle imprese nei confronti di attacchi informatici nonché la preparazione delle aziende a gestire il verificarsi di possibili attacchi rappresentano elementi che gli investitori possono tenere in considerazione nella gestione dei propri investimenti.

Il tema della relazione tra sicurezza informatica e investimenti naturalmente oggi non può essere racchiuso entro i confini delle principali piazze borsistiche e nemmeno entro quelli di un continente piuttosto che di un altro. Per sua natura infatti la sicurezza informatica non conosce confini. Ecco perché le autorità di vigilanza dei mercati borsistici americani ed europei aprono a una possibile armonizzazione delle normative proprio sul tema della market disclosure relativa alla sicurezza informatica.

Verso la trasparenza obbligatoria in tema di cyberseurity

Tutto origina dalla proposta di regolamento dell’autorità di regolamentazione e di vigilanza sui mercati finanziari degli Stati Uniti Sec (Securities and Exchange Commission). Il documento intitolato “Cyber security risk management, strategy, governance, and incident disclosure by public companies”, mira a trovare il modo da un lato di informare meglio gli investitori sulla gestione del rischio, sulla strategia e sulla governance delle società quotate; dall’altro mira a fornire una informazione tempestiva ai mercati sugli incidenti informatici che possano verificarsi ai danni delle società quotate. 

In buona sostanza, partendo dal presupposto che per gli investitori sapere se e come le imprese sono pronte a difendersi da attacchi informatici rappresenta un’informazione utile per gestire gli investimenti e ancor più sapere se si sono verificati attacchi di questo tipo e che esito hanno avuto, le aziende quotate dovrebbero includere le informazioni sulla cybersecurity nella rendicontazione periodica obbligatoria.

Come ha evidenziato Luna Bloom, Chief Office of Rulemaking, Division of Corporation Finance della Sec intervenendo al convegno “Cybersecurity, market disclosure & industry” organizzato dall’Università Cattolica del Sacro Cuore di Milano, la Sec è fortemente orientata a rendere obbligatoria la trasparenza verso l mercato proprio sul tema della sicurezza informatica. 

A rendere ragione della posizione della Sec sono i numeri relativi ai cyberattacchi. Come ha illustrato Elena Beccalli, preside della Facoltà di Scienze bancarie, finanziarie e assicurative dell’ateneo milanese: “Secondo Clusit – Associazione italiana per la Sicurezza informatica, a livello globale nel primo semestre del 2022 si sono registrati 1.141 attacchi (+8,4% rispetto al primo semestre del 2021 e +53% rispetto al 2018) con una media di 190 attacchi al mese. Il conflitto russo-ucraino sta avendo delle ricadute anche sul mondo cyber”.

Ora, hanno messo sul tavolo gli esperti riuniti a Milano tra cui il commissario Consob Paolo Ciocca, “si tratta di capire se anche in Europa si possa andare verso un’evoluzione normativa” che allinei il Vecchio continente agli Usa.

La proposta della Sec in dettaglio

Ma cosa propone esattamente la proposta americana per una nuova regolamentazione sul tema della cybersecurity? 

La principale novità introdotta riguarda il passaggio da volontario a obbligatorio l’informazione al mercato in merito agli incidenti informatici occorsi alle aziende quotate. Per legge sarà anche previsto che le imprese comunichino il proprio livello di preparazione rispetto alla sicurezza informatica. Insomma una vera e propria standardizzazione della comunicazione del rischio ciberetico.

Più in dettaglio la proposta della Sec si pone l’obiettivo che le aziende quotate integrino la comunicazione finanziaria periodica, e quella relativa ai singoli eventi, con informazioni relative agli eventuali incidenti informatici e al loro impatto sui dati finanziari dell’azienda, sulle procedure in essere per identificare e gestire il rischio informatico, così come l’expertise e il ruolo concreto dei membri del board aziendale nel processo di gestione di questo tipo di rischio. 

Ha commentato Beccalli: “L’introduzione – come nelle intenzioni delle autorità statunitensi – di una regolamentazione che imponga la disclosure di informazioni in materia cyber appare promettente. L’idea è che i rischi e gli incidenti legati alla cyber sicurezza possano avere un impatto sulla performance o sulla posizione finanziaria di un’azienda. Pertanto, una divulgazione di informazioni sulla cyber security – coerente, comparabile e orientata alle decisioni – metterebbe gli investitori in una posizione migliore per comprendere rischi e incidenti”. Rilevante anche un’ulteriore osservazione di Ciocca: “Il rischio cyber ha un potenziale impatto sistemico. La questione non è se dare l’informazione, ma quando darla, come darla e cosa dire al mercato. Questo pone un onere a carico dei CdA”. Come a dire che tutto si può fare nell’interesse delle aziende e del mercato finanziario, purché ci siano regole chiare e che ci sia la possibilità di adeguare le procedure e il know-how del management nella comunicazione del rischio informatico.

L’opinione dei player italiani

Naturalmente così come negli Usa, anche in Europa si dovrà analizzare il rapporto costi-benefici di questa operazione trasparenza. Ma a detta dei player intervenuti all’evento milanese – Alessandra Genco Chief Financial Officer di Leonardo, Bernardo Mingrone Chief Financial Officer di Nexi, Stefano Porro Chief Financial Officer di Unicredit e Tatiana Rizzante Chief Executive Officer di Reply – almeno sulla carta i benefici attesi potrebbero superare le energie necessarie per adeguarsi alle nuove regole. A patto di avere linee guida chiare, evitando assolutamente di cadere nell’over-regolamentazione. E tenendo conto che in imprese complesse il concetto di preparazione porta con sé il dover agire a tanti diversi livelli dell’organizzazione aziendale.

È pur vero, dicono le aziende, che in Europa non si parte proprio da una tabula rasa. Il concetto che il rischio informatico sia strutturale per il business imprenditoriale e non più collegato solo alla spera operativa è diffuso e ben radicato. Tanto che è stato adottato il Dora Act, il Regolamento in materia di resilienza operativa digitale per il settore finanziario. Che tuttavia non comprende il tema della market disclosure che è invece al centro della nuova proposta americana.

Qualora si riuscisse ad avere un allineamento Ue-Usa rispetto alla market disclosure in tema di cybersecurity si aprirebbe un paradigma d’azione e reazione totalmente nuovo, sia per quanto concerne la comunicazione ricorrente al mercato che per quella relativa ai singoli eventi. Gli attacchi informatici infatti oggi sono considerati un evento price sensitive e come tali è facoltà e non obbligo della società quotata decidere se e quando comunicare l’accaduto a seconda che si valuti che l’episodio sia o meno di interesse per gli investitori. 

Stando alle impressioni espresse dai player la sensazione è però positiva. L’obbligatorietà di comunicare al mercato il livello di preparazione aziendale neo confronti di attacchi informatici nonché il modo in cui si è fatto fronte a eventuali attacchi reali potrà divenire una vera e propria leva di mercato. 

In un contesto altamente globalizzato dove dati, numeri e soldi sono prima virtuali che reali e dove gli hacker possono agire in qualsiasi momento e da qualsiasi parte del mondo, mostrarsi preparati e capaci di contrastare un cyberattacco fino all’ultimo byte potrà guidare gli investimenti del mercato a proprio favore.

ABBIAMO UN'OFFERTA PER TE

€2 per 1 mese di Fortune

Oltre 100 articoli in anteprima di business ed economia ogni mese

Approfittane ora per ottenere in esclusiva:

Fortune è un marchio Fortune Media IP Limited usato sotto licenza.