Consob ha pubblicato un comunicato stampa avente ad oggetto “Cybersecurity e società quotate: Sec, ESMA e Consob a confronto sulla disciplina di trasparenza”.
Le società quotate in Borsa dovrebbero prepararsi ad includere le informazioni sulla cybersecurity nella rendicontazione periodica obbligatoria resa al mercato, perché gli investitori hanno interesse a sapere quanto l’impresa in cui investono i propri soldi sia robusta o vulnerabile rispetto al rischio di attacchi hacker.
È questa la posizione espressa da Luna Bloom della Sec (Securities and Exchange Commission), l’autorità di regolamentazione e di vigilanza sui mercati finanziari degli Stati Uniti, intervenendo al convegno “Cybersecurity, market disclosure & industry” in corso all’Università Cattolica del Sacro Cuore.
I rischi cyber sono in crescita e hanno subito un’accelerazione a seguito della digitalizzazione dell’economia e della finanza, con forti impatti operativi, legali e reputazionali sulle società quotate, ha osservato Bloom.
È cruciale dotarsi di regole stringenti e di competenze nei CdA delle quotate, ha aggiunto Bloom, secondo cui la trasparenza in materia di cybersecurity deve essere obbligatoria e non discrezionale.
“Il rischio cyber ha un potenziale impatto sistemico”, ha osservato Paolo Ciocca, Commissario Consob. “La questione non è se dare l’informazione, ma quando darla, come darla e cosa dire al mercato. Questo pone un onere a carico dei CdA”.
“Una divulgazione di informazioni sulla cybersecurity, coerente, comparabile e orientata alle decisioni, metterebbe gli investitori” ha commentato Elena Beccalli, preside della Facoltà di Scienze bancarie, finanziarie e assicurative della Cattolica, “in una posizione migliore per comprendere rischi e incidenti”.
“La pandemia, la guerra in Ucraina e il frequente ricorso a fornitori esternalizzati hanno aumentato la minaccia di rischi sistemici”, ha osservato Alexander Harris dell’ESMA secondo cui è necessaria la collaborazione tra regolatori e gli altri attori del mercato.
Per i mercati finanziari dell’Unione Europea sarebbe un radicale cambiamento di prospettiva.
Ad oggi, infatti, gli attacchi hacker sono soggetti alla disciplina di trasparenza degli eventi price sensitive. Questo significa che devono essere resi noti solo se e quando si verifica l’emergenza. È la stessa società, inoltre, a valutare se l’episodio sia oppure no di interesse per il mercato e in quali tempi eventualmente comunicare.
Se le proposte della Sec fossero recepite anche in ambito Ue, l’informativa sulla cybersecurity diventerebbe non più volontaria ma obbligatoria e sarebbe sottoposta ad una disciplina di trasparenza secondo criteri predefiniti e validi per tutti.
L’IVASS ha pubblicato il Bollettino Statistico Anno X – n. 1 – febbraio 2023.
Il Bollettino mostra e commenta i dati salienti dell’attività assicurativa nel comparto auto tra il 2016 e il 2021.
Le modifiche al Regolamento sui requisiti patrimoniali (CRR2) hanno introdotto alcuni elementi degli standard di Basilea sulla delimitazione tra trading book e banking book che entreranno in vigore a partire dal 28 giugno 2023.
Nell’ambito del processo legislativo in corso di modifica del CRR2, sia il Consiglio che il Parlamento hanno proposto di posticipare al 1° gennaio 2025 la data di applicazione delle disposizioni di contorno.
Tuttavia, lo sforzo dei legislatori di rinviare la data di applicazione delle disposizioni sui confini è nullo se il processo legislativo si conclude dopo il 28 giugno 2023.
L’applicazione anticipata delle disposizioni sui limiti rispetto al resto del quadro di revisione fondamentale del trading book (Fundamental Review of the Trading Book – FRTB) crea diversi problemi operativi significativi:
  • In primo luogo, gli enti sarebbero soggetti a un’attuazione operativamente complessa e frammentata in due fasi del quadro di riferimento.
  • In secondo luogo, sarebbero soggetti a un’applicazione frammentata, onerosa dal punto di vista operativo, delle regole per la riclassificazione delle posizioni e il trasferimento interno del rischio  tra portafoglio trading book e non-trading book.
  • In terzo luogo, non esistono giurisdizioni a livello globale che prevedano una tale implementazione in due fasi dei confini e dei quadri di trasferimento del rischio interno. Ciò porterebbe di fatto le istituzioni globali a essere soggette a requisiti normativi molto diversi a seconda del luogo in cui viene eseguita la gestione del rischio, portando a una frammentazione del quadro normativo e, quindi, dei mercati finanziari, nonché a potenziali problemi di disparità di condizioni.
Considerando le posizioni recentemente adottate dai legislatori e per alleviare l’onere operativo che gli enti dovrebbero affrontare con tale attuazione in due fasi, l’EBA ha pubblicato un parere in cui afferma che le autorità competenti non dovrebbero dare la priorità ad alcuna azione di vigilanza o applicazione in relazione al nuovo disposizioni sul perimetro del portafoglio bancario – portafoglio di negoziazione.