Cinco asociaciones financieras advierten que la norma que los fuerza a entregar información a la Comisión de la Bolsa de Valores (SEC) cada vez que tienen algún ciberincidente, expone a las empresas a riesgos innecesarios, interfiere con investigaciones y podría ser aprovechada por grupos criminales.
La industria bancaria de Estados Unidos ha intensificado su presión contra una de las normas claves de la Comisión de Bolsa y Valores (SEC, por sus siglas en inglés), y que las obliga a revelar incidentes cibernéticos significativos en un plazo máximo de cuatro días hábiles desde que se determina su materialidad.
En una carta, enviada el 22 de mayo, cinco influyentes asociaciones financieras -American Bankers Association (ABA), Bank Policy Institute (BPI), Securities Industry and Financial Markets Association (SIFMA), Independent Community Bankers of America (ICBA) y el Institute of International Bankers (IIB)- solicitaron formalmente la derogación total de la disposición, o al menos la eliminación del ítem 1.05 del Formulario 8-K y su equivalente para emisores extranjeros en el Formulario 6-K.
La norma, conocida como “Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure Rule”, fue adoptada en julio de 2023. Su objetivo es fortalecer la transparencia frente a los inversionistas, obligando a las compañías a divulgar la naturaleza, alcance, cronología e impacto de cualquier incidente de ciberseguridad que pueda afectar su situación financiera o sus operaciones.
Sin embargo, los representantes del sector financiero sostienen que esta obligación genera consecuencias adversas. “Este reglamento añade requisitos de divulgación a una lista ya compleja de obligaciones que deben cumplir las instituciones financieras y otros sectores críticos”, señaló el BPI en un comunicado.
Uno de los puntos más criticados es el escaso margen de maniobra para retrasar la divulgación pública en casos donde la investigación del incidente sigue en curso. “Los registrantes se han visto obligados a revelar públicamente un incidente aun cuando este sigue activo, no se ha investigado completamente y no se ha solucionado”, advierten en la petición.
Además, los firmantes del documento alertan que la información es utilizada por los grupos criminales. Uno de los casos más emblemáticos que dejó en evidencia este punto, se registró en 2023, cuando el grupo de ransomware AlphV presentó una queja ante la SEC contra la empresa MeridianLink por no reportar un ciberataque, demostrando cómo estas normas pueden convertirse en herramientas de extorsión.
La carta de las entidades bancarias también subraya que la norma interfiere con la labor de las autoridades y contradice directrices de seguridad nacional. “El mecanismo para demorar la divulgación pública es complejo y estrecho, y entorpece tanto la respuesta al incidente como las investigaciones de las fuerzas del orden”, se lee en el documento.
Los firmantes representan a la mayoría del sector financiero estadounidense y global, con trillones de dólares en activos gestionados. Argumentan que el actual marco regulatorio ya exige la divulgación de información material, incluidos incidentes cibernéticos, y que forzar reportes prematuros solo confunde al mercado y puede perjudicar a los inversionistas.
“La norma ha generado confusión persistente sobre cuándo y cómo reportar incidentes, a pesar de múltiples intentos de la SEC por aclararla”, afirma el documento, que también resalta la complejidad adicional que implica para emisores extranjeros operando en los Estados Unidos. Ante esta situación, la banca pide a la SEC reconsiderar la regulación vigente y optar por un enfoque que equilibre la protección del mercado con la seguridad operativa y nacional.