L'autorità di regolamentazione di Wall Street presenta nuove regole di hacking, dati e resilienza del mercato

Il principale regolatore dei mercati statunitensi ha annunciato mercoledì un pacchetto di politiche proposte per aiutare a rendere più solido il sistema finanziario contro gli hacking, i furti di dati e i guasti ai sistemi.

Nel corso di un incontro pubblico, i cinque membri della Securities and Exchange Commission dovevano votare su tre proposte, che fanno parte di una preoccupazione continua di modernizzare le normative per far fronte alle minacce tecnologiche in corso.

Le tre proposte di regole regolano il modo in cui i broker-dealer affrontano gli incidenti di hacking e proteggono i dati dei consumatori, e il modo in cui le borse, le società di compensazione delle transazioni e altri soggetti ritenuti critici per la sicurezza economica nazionale si proteggono da guasti ai sistemi e da intrusioni informatiche.

Esse si aggiungono alle misure introdotte dallo scorso anno per contrastare quelli che, secondo i funzionari, sono i crescenti pericoli per le società pubbliche e gli investitori - e probabilmente alimenteranno le critiche secondo cui, sotto la guida del Presidente Gary Gensler, la SEC si è imbarcata in un programma di regolamentazione eccessivamente ambizioso, che sta mettendo a dura prova i limiti della sua capacità.

In base alle proposte, i broker-dealer e i gestori di fondi sarebbero tenuti a mantenere programmi per rilevare e rispondere agli accessi non autorizzati ai dati e ad avvisare i clienti interessati entro 30 giorni.

I broker-dealer, le borse valori e altri soggetti dovrebbero anche mantenere politiche di rischio di cybersecurity e notificare alla SEC "immediatamente" gli incidenti "significativi". Gensler, nelle osservazioni preparate, ha definito la proposta "la prima ad affrontare esplicitamente le pratiche di cybersecurity per la maggior parte di queste entità di mercato".

Il requisito della notifica immediata probabilmente solleverà le sopracciglia tra i sostenitori del settore. Una proposta simile dello scorso anno per le imprese di investimento richiedeva una notifica confidenziale entro 48 ore, suscitando obiezioni sul fatto che ciò potrebbe ostacolare gli sforzi per rispondere rapidamente agli incidenti di hacking.

Gensler ha notato che a settembre un'unità di Morgan Stanley ha accettato di pagare 35 milioni di dollari per risolvere le accuse della SEC di non aver protetto le informazioni personali per un periodo di cinque anni.

Inoltre, la SEC ha proposto di ampliare il numero di borse valori, agenzie di compensazione registrate e altri soggetti coperti dal regolamento "Conformità e integrità dei sistemi" del 2014, che richiede agli operatori di costruire sistemi sufficientemente solidi per supportare le attività di mercato.

L'emendamento proposto richiederebbe anche a tali operatori di supervisionare i servizi offerti dai fornitori di cloud computing, per essere certi che corrispondano ai requisiti della norma in materia di resilienza dei sistemi.