fbpx
      Come Acquistare

          Come la regolamentazione insegue la new industry: Il caso della sicurezza informatica

          Fino a non molto tempo fa, la minaccia di attacchi informatici non era mai stata inserita nell’agenda dei consigli di amministrazione. Tuttavia, con il moltiplicarsi dei titoli dei giornali dedicati agli attacchi informatici, negli ultimi anni le aziende di tutto il mondo sono state messe in stato di massima allerta. Oggi queste aziende si affannano a individuare e reclutare talenti e dirigenti nel campo della cybersecurity.Secondo l’Allianz Risk Barometer, pubblicato all’inizio di quest’anno, gli incidenti informatici si sono classificati come la principale minaccia per le organizzazioni di tutto il mondo, prima dei cambiamenti climatici e dei rischi geopolitici. Con l’evoluzione così rapida del panorama della cybersecurity, le autorità di regolamentazione hanno avuto il compito di lavorare per loro.

          La normativa sulla cybersecurity si è presentata in molte forme diverse. Alcune di esse sono state orientate a garantire la protezione della privacy dei consumatori, mentre altre hanno cercato di prevenire le frodi, aumentare la trasparenza digitale e mitigare i rischi sistemici.

          Tuttavia, come per qualsiasi regolamentazione del settore, spesso ci vuole tempo per iniziare a muoversi. Consideriamo, ad esempio, il caso di quest’anno: le criptovalute.

          Cominciamo con il rivedere un po’ di storia. Lo scopo della criptovaluta originale, il Bitcoin, era quello di creare una moneta decentralizzata al di fuori della sfera di competenza del governo, una moneta del popolo per così dire. Le radici della criptovaluta risalgono al 2008, quando Satoshi Nakamoto pubblicò il suo libro bianco “Bitcoin: A Peer-to-Peer Electronic Cash System”.

          Durante gli inizi del Bitcoin, i governi non erano particolarmente preoccupati per le criptovalute. Non solo i tassi di adozione erano bassi, ma il settore non aveva i tassi di partecipazione che vediamo oggi. Di conseguenza, i regolatori non sentivano l’urgenza di introdurre una serie di regole nel sistema, come la regolamentazione della blockchain del Bitcoin o un quadro per la tassazione (di questa nuova classe di asset). I giornalisti si riferivano ancora al settore come al “Far West” digitale delle frodi.

          Poi, nel 2016, il Giappone è stato il primo Paese a introdurre una regolamentazione sulle criptovalute. Ciò ha fatto seguito a diversi hackeraggi di alto profilo nelle principali borse di criptovalute giapponesi, tra cui il furto di 850 mila Bitcoin. Sebbene questo non abbia stimolato un immediato esame normativo in Occidente, ha certamente attirato l’attenzione dell’allora presidente del Financial Stability Board (FSB) Mark Carney. Nel marzo 2018, Carney scrisse una lettera al G20 in cui affermava che la valutazione iniziale dell’FSB sulle criptovalute aveva concluso che questi nuovi asset digitali necessitavano di attenzione continua, ma non rappresentavano ancora un rischio sistemico. 

          Oggi le cose sono molto diverse. Il panorama normativo delle criptovalute si è evoluto. Il settore ha tassi di adozione rapidi e alti tassi di partecipazione. La regolamentazione è quasi esplosa da un giorno all’altro e molti giornalisti oggi raccontano una storia molto diversa sul futuro di questa nuova classe di asset digitali. La regolamentazione ha finalmente raggiunto la crescita senza precedenti del settore. Per molti versi, la regolamentazione delle criptovalute potrebbe essere l’elemento che le legittima e le rende mainstream.

          Tornando alla cybersicurezza, è la nostra maggiore dipendenza dalla tecnologia digitale che ha accelerato la profonda crescita del settore. Con una maggiore dipendenza è arrivata anche una maggiore vulnerabilità. L’anno scorso, le violazioni di dati hanno esposto oltre 22 miliardi di dati, di cui circa il 70% con motivazioni finanziarie. Sebbene da tempo siano in vigore normative sulla cybersecurity per aiutare a gestire il rischio, anche le normative si sono evolute e modificate per rispondere alle maggiori preoccupazioni e timori del settore.

          Consideriamo due sviluppi normativi della storia recente.

          Primo sviluppo normativo

          Dal 2011, la Securities Exchange Commission (SEC) ha imposto alle società quotate in borsa negli Stati Uniti di divulgare le informazioni relative al rischio di cybersecurity – compresi i costi diretti e indiretti, come la perdita di fatturato, i danni alla reputazione e le spese di contenzioso – nelle loro comunicazioni finanziarie.[1] Nel marzo 2022, la SEC ha proposto di inasprire queste regole per richiedere una divulgazione standardizzata e tempestiva di tutti gli incidenti informatici.[2]

          La prima parte della nuova proposta della SEC prevede che gli incidenti informatici debbano essere comunicati sia alla SEC sia agli azionisti (tramite il modulo 8-K) entro quattro giorni lavorativi dall’identificazione dell’evento rilevante di cybersecurity (ad esempio, una violazione dei dati).[3]

          La seconda parte della proposta mira a consolidare i requisiti di rendicontazione (tramite il modulo 10-K) per migliorare la visibilità delle pratiche di governance e di gestione del rischio. Le norme ampliano inoltre il requisito obbligatorio di segnalazione delle competenze in materia di cybersecurity a livello di consiglieri di amministrazione. Le aziende devono ora descrivere chiaramente i meccanismi interni di mitigazione del rischio di cybersecurity, come ad esempio le modalità di coinvolgimento di valutatori o consulenti terzi, le misure adottate per garantire la prevenzione degli attacchi (o, laddove la prevenzione non sia possibile, il rilevamento e la mitigazione), i processi aziendali per la continuità operativa e il ripristino e la minaccia che gli incidenti informatici rappresentano per le finanze aziendali.

          Il presidente della SEC Gary Gensler ha dichiarato che: “Oggi la cybersecurity è un rischio emergente con cui gli emittenti pubblici devono sempre più confrontarsi. Gli investitori vogliono sapere di più su come gli emittenti gestiscono questo rischio crescente. Molti emittenti forniscono già [informazioni] sulla cybersecurity agli investitori. Credo che sia le aziende che gli investitori trarrebbero beneficio se le informazioni fossero richieste in modo coerente, comparabile e utile per le decisioni.[4]

          Non deve sorprendere che la normativa cerchi di promuovere e incoraggiare una migliore cultura della cybersecurity nelle società quotate in borsa. E riteniamo che l’aumento della regolamentazione sia di buon auspicio per la spesa in prodotti e soluzioni di cybersecurity.

           

          Second regulatory development

          Una delle ragioni dell’aumento degli attacchi informatici negli ultimi anni è il crescente numero di dispositivi collegati in rete. Si prevede infatti che i dispositivi in rete raddoppieranno fino a raggiungere i 40 miliardi entro il 2025 (rispetto ai 20 miliardi del 2019).[5] Ciò significa una superficie di attacco ancora più ampia da sfruttare per gli hacker, che comprende oggetti come i nostri frigoriferi intelligenti o gli aspirapolvere autonomi, solo per citarne alcuni.

          In risposta a questa superficie di attacco crescente e in continua espansione, la Commissione europea (CE) ha deciso di proporre, nel settembre 2022, il Cyber Resilience Act dell’UE, una nuova legislazione per disciplinare i prodotti digitali durante il loro intero ciclo di vita, imponendo ai produttori e ai fornitori di software l’obbligo di fornire supporto e aggiornamenti per risolvere le vulnerabilità in corso. Margrethe Vestager, vicepresidente esecutivo di “Europa in forma per l’era digitale”, ha dichiarato: “Così come possiamo fidarci di un giocattolo o di un frigorifero con il marchio CE, il Cyber Resilience Act garantirà che gli oggetti connessi e il software che acquistiamo siano conformi a solide misure di sicurezza informatica.[6]

          L’attuale quadro normativo dell’UE comprende già diversi atti legislativi orizzontali in materia di cybersicurezza. Nel 2013 è entrata in vigore la direttiva sugli attacchi contro i sistemi informatici, che ha armonizzato la criminalizzazione e le sanzioni per vari reati informatici. Nel 2018 è stata approvata la legge sulla protezione dei dati e della privacy nell’Unione Europea e nello Spazio Economico Europeo, il General Data Protection Regulation (GDPR), che mira a dare alle persone un maggiore controllo e diritti sui dati personali e a semplificare il contesto normativo per le imprese internazionali.[9] Nel 2019 è entrato in vigore il Cybersecurity Act dell’UE per migliorare la sicurezza dei prodotti, dei servizi e dei processi delle tecnologie dell’informazione e della comunicazione, introducendo un programma europeo volontario di certificazione della sicurezza informatica.[10]Tutte queste legislazioni precedenti, tuttavia, non prevedono requisiti obbligatori per i prodotti con elementi digitali. È proprio qui che entra in gioco il Cyber Resilience Act dell’UE.

          Il regolamento mira a garantire che i produttori prendano più seriamente la sicurezza. Il regolamento cerca anche di incoraggiare i consumatori a prendere in considerazione la sicurezza quando scelgono i prodotti digitali, allo stesso modo in cui potrebbero farlo quando acquistano un prodotto fisico come un’automobile. La CE ha persino elencato alcuni esempi di prodotti critici che definisce come dotati di elementi digitali sul proprio sito web.[11]

          La conformità alla legge europea sulla resilienza informatica sarà obbligatoria. Le imprese saranno soggette a sanzioni pecuniarie pari al 2,5% del fatturato mondiale annuo dell’esercizio precedente, o fino a 15 milioni di euro, se superiore, in caso di mancata conformità.[12] Quando la normativa entrerà in vigore, le parti interessate avranno 24 mesi di tempo per adeguarsi a questi requisiti o 12 mesi per soddisfare gli obblighi di comunicazione da parte dei produttori. Nel complesso, si tratta di una normativa significativa. Senza dubbio porterà le imprese di tutta l’UE a investire in modo significativo per potenziare le competenze interne in materia di sicurezza informatica.

          Conclusioni

          Parliamo spesso dei venti di coda che hanno reso la cybersecurity una storia di successo per gli investitori nell’ultimo decennio. Che si tratti della crescita dei dati come “nuovo petrolio”, del numero e della scala dei dispositivi interconnessi o semplicemente della frequenza degli attacchi informatici e dei titoli dei media che ne conseguono, il settore sembra essere sostenuto da segnali di slancio positivi quasi su base costante. La regolarità di questi catalizzatori ha fatto sì che nel corso degli anni sia stata immessa nel settore un’enorme energia. Ma un catalizzatore spesso trascurato è la regolamentazione… Noi riteniamo che la regolamentazione sia stata uno dei principali motori dell’adozione di prodotti e servizi di cybersecurity. Anche se la maggior parte delle normative in materia di cybersecurity (e, per estensione, di privacy dei dati) sono state reattive anziché proattive, la loro stessa esistenza convalida l’idea che i prodotti digitali sono ormai integrati nella nostra vita. Come per qualsiasi tipo di nuovo prodotto, la regolamentazione esiste per proteggere gli utenti e garantire che i produttori facciano la cosa giusta per gli utenti.

           

          ETF correlato:

          CYBR: Rize Cybersecurity and Data Privacy UCITS ETF

           

          Referenze:

          [1] Allianz, Allianz Risk Barometer, January 2022. Available at: https://www.agcs.allianz.com/news-and-insights/reports/allianz-risk-barometer.html

          [2] Sygna, Japan’s History of Crypto Asset Regulation: 2014-2020. Available at: https://www.sygna.io/blog/japan-crypto-regulation-history-2014-2020/

          [3] Financial Stability Board, Chair sets out FSB priorities for the Argentine G20 Presidency, March 2018. Available at: https://www.fsb.org/2018/03/chair-sets-out-fsb-priorities-for-the-argentine-g20-presidency/

          [4] Flashpoint, 2022.

          [5] Verizon, 2021 DBIR Master’s Guide. Available at: https://www.verizon.com/business/resources/reports/dbir/2021/masters-guide/

          [6] Security and Exchanges Commission, 2022. Available at: https://www.sec.gov/divisions/corpfin/guidance/cfguidance-topic2.htm#_ednref7

          [7] Security and Exchanges Commission, 2022. Available at: https://www.sec.gov/news/press-release/2022-39

          [8] Varonis, SEC Cybersecurity Disclosure Requirements’ Impact on Your Business, June 2022. Available at: https://www.varonis.com/blog/sec-cybersecurity-disclosure-requirements

          [9] ibid

          [10] Security and Exchanges Commission, 2022. Available at: https://www.sec.gov/news/press-release/2022-39

          [11] Cisco, Cisco Annual Internet Report 2021. Available at: https://www.cisco.com/c/en/us/solutions/executive-perspectives/annual-internet-report/index.html

          [12] European Commission, State of the Union: New EU cybersecurity rules ensure more secure hardware and software products, September 2022. Available at: https://ec.europa.eu/commission/presscorner/detail/en/IP_22_5374

          [13] Directive 2013/40/EU of the European Parliament and of the Council of 12 August 2013 on attacks against information systems and replacing Council Framework Decision 2005/222/JHA OJ L 218, 14.8.2013, p. 8–14.

          [14] Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union (OJ L 194/1, 19.7.2016 p. 1).

          [15] European Commission, Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), September 2022. Available at : https://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/en/pdf

          [16] Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act) (OJ L 151, 7.6.2019, p. 15).

          [17] European Commission, Annexes Proposal for a Regulation on cybersecurity requirements for products with digital elements – Cyber resilience Act, September 2022. Available at: https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act

          [18] Proposal for a Regulation on cybersecurity requirements for products with digital elements – Cyber resilience Act, p. 65

          • 1
          • 2
          • 3

          Select Your Country

          United Kingdom
          Germany
          Italy
          Switzerland
          Austria
          Denmark
          Finland
          Ireland
          Luxembourg
          Netherlands
          Norway
          Spain
          Sweden

          Select Your Investor Type

          ======