La Securities and Exchange Commission (SEC) ha adottato a luglio 2023 un insieme di norme che obbligano le aziende pubbliche a rivelare incidenti di cybersicurezza materiali, le loro strategie di gestione dei rischi climatici e i meccanismi di supervisione che i consigli di amministrazione hanno su entrambe le variabili. Il pacchetto non è nuovo nel suo spirito, ma lo è nella sua profondità: per la prima volta, il regolatore non chiede solo cos'è accaduto, ma anche come è organizzato il consiglio per evitare che accada.
Questo non è un aggiornamento amministrativo. È un cambiamento nella grammatica della governance aziendale.
Dalla divulgazione volontaria alla registrazione obbligatoria
Per anni, la divulgazione dei rischi non finanziari è stata un esercizio di pubbliche relazioni mascherato da governance. Le aziende pubblicavano le loro politiche di cybersicurezza in rapporti di sostenibilità che nessuno verificava rigorosamente e i consigli di amministrazione potevano vantarsi di "supervisione strategica" senza che esistesse un meccanismo formale per verificarlo. La SEC ha colmato questa lacuna.
Il nuovo quadro normativo opera sotto una logica che gli avvocati aziendali chiamano divulgare o spiegare: o divulghi la pratica, o spieghi pubblicamente perché non ce l'hai. Questa meccanica è più coercitiva di quanto sembra. In teoria, qualsiasi azienda può optare per la via della spiegazione. In pratica, farlo significa esporsi al controllo di società di consulenza al voto come ISS o Glass Lewis, che penalizzano l'assenza di controlli formali raccomandando di votare contro i direttori. Il risultato è una pressione di mercato che agisce come un mandato implicito.
La norma di cybersicurezza — codificata nell'Item 106 del Regulation S-K — richiede che le società descrivano i loro processi per identificare e gestire rischi materiali, gli effetti potenziali sul business e, in modo specifico, il ruolo del consiglio nella supervisione delle minacce informatiche. Non basta avere un comitato di revisione che esamini gli incidenti a posteriori. Il regolatore vuole sapere quanto sia preparato il consiglio a prevenirli.
Parallelamente, le regole di divulgazione climatica stabiliscono un calendario scaglionato: le aziende di maggiore capitalizzazione (Large Accelerated Filers) devono iniziare con le divulgazioni di rischio finanziario nel 2025 e con le emissioni di gas serra nel 2026. Le aziende medie seguiranno rispettivamente nel 2026 e 2028. Quel cronoprogramma non è generoso: per molte organizzazioni, costruire l'infrastruttura di dati necessaria per soddisfare queste esigenze richiede tra 18 e 36 mesi.
La pressione ricade direttamente sulla composizione del consiglio
Qui sta il punto che la maggior parte delle analisi su questo tema omette: le nuove regole non cambiano solo cosa viene riportato, ma chi deve essere seduto al tavolo per poter riportarlo con credibilità.
Un consiglio composto interamente da dirigenti con profili finanziari e operativi tradizionali non ha la capacità tecnica per supervisionare una strategia di cybersicurezza con il livello di granularità che la SEC ora richiede. Lo stesso vale per il rischio climatico: un direttore che non comprende la differenza tra emissioni di portata 1, 2 e 3 non può certificare con precisione che l’azienda sta gestendo adeguatamente la sua esposizione regolatoria in tale ambito.
Questo sta generando una domanda accelerata di direttori con profili tecnici specializzati: ex Direttori della Sicurezza Informatica (CISO), esperti in infrastrutture energetiche, ingegneri con esperienza nella decarbonizzazione industriale. Il problema è che quel mercato di talenti è stretto e costoso. Reclutare un direttore con credenziali reali in cybersicurezza o rischio climatico ha un costo opportunità significativo, sia in compensazione che nel tempo necessario per integrarlo nel funzionamento del consiglio.
Le aziende che cercano di risolvere questo con corsi accelerati per i loro attuali direttori stanno puntando sul fatto che una conoscenza superficiale soddisfi lo standard normativo. È una scommessa che probabilmente non reggerà il primo incidente materiale sotto le nuove regole.
La riforma pressa anche sulla struttura dei comitati. Storicamente, il comitato di revisione assorbiva quasi tutti i temi di rischio. Oggi, molti consigli stanno creando comitati specifici per la cybersicurezza e la sostenibilità, il che moltiplica il carico sui direttori indipendenti e aumenta i costi operativi del consiglio. Per un’azienda con ricavi annui inferiori a 500 milioni di dollari, quel costo strutturale può rappresentare tra lo 0.3% e lo 0.8% delle spese generali e amministrative, secondo proiezioni del settore legale.
Il costo di confondere conformità con strategia
Il maggior rischio operativo che vedo nel modo in cui le aziende stanno rispondendo a queste regole è la confusione tra compilare il modulo e gestire il rischio. Entrambi gli obiettivi non sono la stessa cosa, e ottimizzare per uno può deteriorare l'altro.
Un’azienda che costruisce la sua divulgazione sulla cybersicurezza per soddisfare l'Item 106 senza ripensare i suoi processi interni di gestione degli incidenti ha creato un passivo legale di primo ordine: se si verifica una violazione, il regolatore avrà tra le mani un documento certificato in cui l’azienda ha affermato di avere controlli robusti. Il danno reputazionale e legale di quella violazione si moltiplica per la distanza tra ciò che è stato dichiarato e ciò che esisteva.
Lo stesso vale per il rischio climatico. La divulgazione delle emissioni senza un piano di gestione credibile dietro è, paradossalmente, più costosa che non divulgare nulla, poiché trasforma un rischio regolatorio in un rischio di contenzioso. Gli investitori istituzionali con mandati ESG stanno già usando le divulgazioni climatiche per costruire casi di negligenza fiducialaria contro i direttori che hanno approvato strategie incoerenti con le loro stesse dichiarazioni pubbliche.
Il presidente della SEC, Gary Gensler, ha articolato con precisione l'obiettivo del regolatore: che le divulgazioni siano "coerenti, comparabili e utili per la presa di decisioni". Quel linguaggio tecnico ha una implicazione diretta per i consigli: lo standard non è divulgare di più, ma divulgare con una precisione sufficiente affinché un investitore esterno possa fare una valutazione indipendente del rischio. I boilerplate generici che caratterizzano gran parte delle divulgazioni attuali non sopravvivono a quel standard.
Il consiglio come asset strategico, non come struttura di conformità
Le aziende che stanno uscendo meglio posizionate in questo contesto sono quelle che hanno trattato le nuove esigenze come un'opportunità per ricalibrare l'architettura dei loro consigli, non quelle che hanno assunto uno studio legale esterno per redigere le divulgazioni minime richieste.
Ciò implica decisioni concrete: mappare le lacune di competenza tecnica nel consiglio attuale, progettare un processo di onboarding di direttori con criteri aggiornati e costruire un meccanismo di reporting interno che generi i dati di cui il consiglio ha bisogno per supervisionare la cybersicurezza e il rischio climatico con frequenza trimestrale, non annuale. Il processo di divulgazione alla SEC dovrebbe essere l'ultimo passo di quel sistema, non il primo.
Le aziende che investiranno in quell'infrastruttura di governance prima che le scadenze di conformità li costringano ad farlo avranno un vantaggio strutturale: i loro consigli saranno meglio attrezzati per rilevare i rischi prima che diventino materiali, il che riduce la probabilità di incidenti e, con essi, i costi di contenzioso, risposta e danno reputazionale associati. Il quadro normativo della SEC, con tutte le sue frizioni di implementazione, sta accelerando una differenziazione tra aziende che governano con dati e aziende che governano con documenti.
