▲
- Grupos bancários dos EUA pedem à SEC a revogação de uma regra de divulgação cibernética, alegando riscos à segurança nacional.
- A regra exige que empresas públicas divulguem incidentes cibernéticos em quatro dias, mas é considerada contraproducente.
- A mudança pode afetar a transparência para investidores e aumentar a vulnerabilidade a ataques cibernéticos.
- Críticos argumentam que a regra atual já é explorada por criminosos para extorquir empresas.
Grupos bancários dos EUA alertam a SEC que a regra de divulgação cibernética ajuda hackers. Principais grupos bancários dos EUA, incluindo a American Bankers Association (ABA), o Bank Policy Institute (BPI) e a Securities Industry and Financial Markets Association (SIFMA), enviaram uma petição formal à U.S. Securities and Exchange Commission (SEC) solicitando a retirada de uma controversa regra de divulgação de incidentes de segurança cibernética. A regra de gerenciamento de riscos de segurança cibernética, estratégia, governança e divulgação de incidentes da SEC, adotada em julho de 2023, tinha como objetivo aumentar a transparência e padronizar como as empresas públicas comunicam as ameaças de segurança cibernética aos investidores.
A petição, submetida em 22 de maio de 2025, pede a rescisão do Item 1.05 no Formulário 8-K e o requisito correspondente do Formulário 6-K para emissores privados estrangeiros, que exigem a divulgação de incidentes de segurança cibernética materiais dentro de quatro dias úteis após a determinação de sua importância, citando profundas preocupações sobre segurança nacional, danos aos investidores e interrupção operacional.
Os grupos argumentam que esses requisitos se mostraram onerosos, confusos e contraproducentes para a segurança cibernética e a proteção dos investidores.
“A divulgação prematura de eventos cibernéticos materiais colocou em risco a contenção de incidentes, interferiu na coordenação da aplicação da lei e desencadeou o caos do mercado e legal”, afirma a petição.
Mas os críticos dizem que está conseguindo o oposto. A petição enfatiza que os registrantes são forçados a relatar incidentes mesmo quando eles permanecem em andamento, as investigações estão incompletas e os sistemas não foram totalmente corrigidos, dando assim potencialmente aos invasores uma vantagem.
Leia também:
A regra levou a uma confusão significativa sobre como e quando as empresas devem divulgar incidentes. Apesar das tentativas da SEC de esclarecer por meio de Interpretações de Conformidade e Divulgação, cartas de comentários e orientação do comissário, os registrantes ainda estão lutando para determinar se devem relatar sob o Item 1.05 e o Item 8.01.
De acordo com os grupos comerciais, essa incerteza tornou a regra ineficaz e legalmente arriscada, expondo as empresas a litígios e danos à reputação, ao mesmo tempo em que não consegue gerar informações acionáveis para os investidores.
Notavelmente, os grupos alertaram que gangues de ransomware e outros criminosos cibernéticos começaram a armar o cronograma de divulgação da SEC, usando a ameaça de exposição pública como alavanca para extorquir vítimas.
“O requisito de divulgação de incidentes tem sido explorado por criminosos de ransomware para promover objetivos maliciosos”, observa a petição, acrescentando que pode até aumentar a probabilidade de ataques de acompanhamento, uma vez que as empresas são conhecidas por serem vulneráveis.
O núcleo da petição é um aviso de que a regra de divulgação da SEC prejudica a estratégia federal de segurança cibernética.
Os grupos argumentam ainda que a divulgação de detalhes de incidentes cibernéticos materiais para o domínio público muito cedo pode entrar em conflito com os requisitos de relatórios confidenciais sob leis como a Lei de Relatórios de Incidentes Cibernéticos para Infraestrutura Crítica (CIRCIA).
Investidores mais bem servidos por estruturas de divulgação existentes
Apesar da intenção da SEC de melhorar a proteção dos investidores, a petição insiste que a regra atual de divulgação de incidentes cibernéticos não fornece informações “úteis para a decisão” ao mercado. Em vez disso, corre o risco de criar narrativas enganosas com base em fatos incompletos, prejudicando as instituições que busca regular.
Os grupos bancários argumentam que as obrigações de divulgação existentes, como o Item 105 do Regulamento S-K e a estrutura de materialidade preexistente, já obrigam as empresas a relatar riscos significativos, incluindo ameaças de segurança cibernética, de uma forma que preserva os interesses dos investidores sem comprometer a segurança nacional ou a resiliência da empresa.
Eles afirmam que os investidores ainda estarão protegidos sem o Item 1.05.
“Acreditamos que eles seriam mais bem servidos por meio da estrutura de divulgação preexistente para relatar informações materiais — que podem incluir incidentes de segurança cibernética materiais — ao mesmo tempo em que mitigam melhor as preocupações levantadas acima”, conclui a carta.
A SEC ainda não respondeu publicamente à petição de 22 de maio.
Enquanto a SEC avalia seu próximo passo, o resultado pode remodelar como as empresas dos EUA equilibram a transparência com a resiliência da segurança cibernética em um ecossistema cada vez mais hostil. O mercado de trabalho no Brasil está aquecido e empresas como a Travelier nomeia Alexandre Vanzella como novo diretor geral no Brasil.
Nova liderança no Brasil e o mercado cibernético
As discussões sobre segurança cibernética no setor financeiro ganham um novo capítulo com a necessidade de nova liderança no Brasil. Afinal, os desafios impostos pelas novas regras da SEC expõem a necessidade de profissionais capacitados para lidar com a complexidade da situação, equilibrando transparência e proteção dos dados.
Em um mercado globalizado, a proteção de dados e informações tornou-se uma prioridade para empresas de todos os portes. A segurança cibernética, antes vista como um tema secundário, hoje ocupa o centro das atenções, com investimentos crescentes em tecnologias e profissionais especializados. No Brasil, essa tendência se intensifica com a crescente digitalização da economia e a necessidade de proteger os dados de consumidores e empresas.
A busca por soluções inovadoras e eficientes é constante, e empresas que se destacam nesse cenário têm atraído a atenção de investidores e clientes. A inteligência artificial (IA) surge como uma ferramenta poderosa para aprimorar a segurança cibernética, com sistemas capazes de detectar e neutralizar ameaças em tempo real.
Contextualização Adicional
A petição apresentada à SEC pelos grupos bancários dos EUA reacende o debate sobre a eficácia das regulamentações de divulgação de incidentes cibernéticos. As preocupações levantadas sobre a segurança nacional, a proteção dos investidores e a potencial exploração das regras por criminosos cibernéticos são pontos cruciais que merecem atenção. A decisão da SEC sobre o futuro dessas regulamentações terá um impacto significativo na forma como as empresas abordam a segurança cibernética e na confiança dos investidores no mercado financeiro.
Primeira: Este conteúdo foi auxiliado por Inteligência Artificiado, mas escrito e revisado por um humano.
Via Cryptonews
