Um conjunto de importantes instituições bancárias norte-americanas está a manifestar forte oposição a uma recente deliberação da Comissão de Valores Mobiliários dos Estados Unidos (SEC). A regra em causa exige que as empresas cotadas em bolsa, incluindo os bancos, comuniquem publicamente a ocorrência de ciberataques.
Os bancos argumentam que esta nova diretiva impõe uma pressão e complexidade desnecessárias às suas operações. Um dos principais receios é a potencial obrigação de divulgar incidentes de segurança informática antes mesmo de concluir as investigações internas e de determinar a real extensão dos danos.
Entre as vozes críticas contam-se associações de peso como a American Bankers Association (ABA), o Bank Policy Institute (BPI), a Securities Industry and Financial Markets Association (SIFMA), a Independent Community Bankers of America (ICBA) e o Institute of International Bankers (IIB).
A polémica regra da SEC
Formalmente designada como "Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure Rule", a regulamentação foi introduzida em julho de 2023. Esta não só estabelece os procedimentos para a divulgação de incidentes cibernéticos – detalhando o impacto, cronologia e âmbito do incidente – como também obriga as empresas públicas a apresentar anualmente um relatório sobre as suas práticas de gestão de risco, estratégia e governança em cibersegurança.
As preocupações levantadas pelos bancos
Num comunicado público, o Bank Policy Institute sublinhou que "esta regra exige que as empresas públicas divulguem incidentes cibernéticos materiais no prazo de quatro dias úteis, somando-se a uma já complexa lista de obrigações de reporte e divulgação que as instituições financeiras e outras empresas do setor de infraestruturas críticas devem cumprir". O instituto recorda ainda que um relatório do Department of Homeland Security (Departamento de Segurança Interna dos EUA), emitido em 2023, identificou 45 requisitos federais distintos para o reporte de incidentes cibernéticos, administrados por 22 agências federais diferentes.
Outra preocupação expressa pelo setor bancário prende-se com a possibilidade de a regra aumentar a pressão sobre os bancos e os seus clientes durante ataques de ransomware. Os criminosos poderiam usar eventuais falhas na divulgação como forma de extorsão adicional.
Contexto e implicações mais vastas
Este grupo de bancos já tinha exercido pressão contra a regra em 2023, solicitando na altura uma prorrogação de 12 meses para os requisitos de alteração em matéria de proteção de dados e cibersegurança.
Num contexto internacional similar, a Austrália implementou recentemente uma nova legislação que obriga todas as organizações com um volume de negócios anual superior a 3 milhões de dólares australianos (aproximadamente 1,78 milhões de euros) a comunicar pagamentos de resgate em ataques de ransomware no prazo de 72 horas. Esta comunicação deve incluir o montante, a moeda utilizada e o registo temporal das comunicações com os atacantes.
Nenhum comentário
Seja o primeiro!