Grupos de defesa da indústria bancária e financeira americana peticionaram à Comissão de Valores Mobiliários para revogar seus requisitos de divulgação pública de incidentes de cibersegurança.
Cinco grupos bancários dos EUA liderados pela Associação Nacional de Bancos Americanos pediram ao regulador que removesse sua regra em uma carta de 22 de maio, argumentando que a divulgação de incidentes de cibersegurança “entra em conflito direto com os requisitos de relatórios confidenciais destinados a proteger infraestruturas críticas e avisar potenciais vítimas.”
O grupo, que também incluía a Associação da Indústria de Valores Mobiliários e Mercados Financeiros, o Instituto de Política Bancária, os Bancários Comunitários Independentes da América e o Instituto de Bancários Internacionais, afirmou que a regra compromete os esforços regulatórios para melhorar a cibersegurança nacional.
A regra de Gerenciamento de Risco de Cibersegurança da SEC, publicada em julho de 2023, exige que as empresas divulguem rapidamente incidentes de cibersegurança, como violações de dados ou hacks. No entanto, os grupos bancários argumentam que essa regra era defeituosa desde o início e tem se mostrado problemática na prática desde que entrou em vigor.
Os órgãos bancários disseram que o “mecanismo complexo e estreito de atraso na divulgação” interfere na resposta a incidentes e na aplicação da lei e cria “confusão no mercado” entre divulgações obrigatórias e voluntárias.
A divulgação pública também tem sido “armazenada como um método de extorsão por criminosos de ransomware para alcançar objetivos malignos”, e divulgações prematuras agravam problemas de seguro e responsabilidade para as empresas e “riscam esfriar comunicações internas sinceras e compartilhamento rotineiro de informações”, afirmou o grupo.
Os grupos querem especificamente que o “Item 1.05” seja rescindido das regras da SEC para relatórios do Formulário 8-K e requisitos de relatórios paralelos aplicáveis ao Formulário 6-K.
O Formulário 8-K é utilizado para notificar publicamente os investidores em empresas públicas dos EUA sobre eventos especificados, incluindo incidentes de cibersegurança, que podem ser importantes para os acionistas ou para a SEC.
“Criticamente, sem o Item 1.05, os interesses dos investidores ainda estarão protegidos, e acreditamos que eles estariam melhor servidos através da estrutura de divulgação pré-existente para relatar informações materiais, que podem incluir incidentes materiais de cibersegurança,” afirmaram os grupos.
A petição completa incluiu exemplos de confusão por parte dos participantes, incidentes específicos de ataques de ransomware e conflitos regulatórios documentados.
Empresas de criptomoeda públicas impactadas
O requisito também impacta empresas de criptomoedas listadas publicamente, como a Coinbase, que divulgou no início deste mês que hackers subornaram sua equipe de suporte para vazar os dados de seus usuários.
A divulgação fez com que a empresa fosse alvo de pelo menos sete processos judiciais devido à divulgação.
A Coinbase disse que rejeitou um pedido de resgate de $20 milhões após a equipe vazar dados de usuários em um grande ataque de phishing, que a bolsa afirmou que poderia custar até $400 milhões em danos.
Se a SEC rescindir o requisito, isso pode dar às empresas como a Coinbase mais tempo para divulgar incidentes de cibersegurança ao público.
Revista: Os ursos do Bitcoin miram $69K, CZ nega rumores de ‘fixer’ WLF: Digestão do Hodler