La Federal Trade Commission richiederà alle istituzioni finanziarie non bancarie di segnalare violazioni di dati e altri eventi relativi alla sicurezza informatica, ha annunciato venerdì l’agenzia.
L’emendamento alla norma di salvaguardia della FTC richiederebbe alle istituzioni finanziarie non bancarie come gli intermediari ipotecari, i concessionari di autoveicoli e i prestatori di denaro di notificare alla commissione il prima possibile, e non oltre 30 giorni, dopo la scoperta di una violazione che colpisce almeno 500 persone. consumatori.
La FTC dovrebbe essere informata quando le informazioni non crittografate dei clienti sono state ottenute senza la loro autorizzazione, ha affermato l’agenzia. L’avviso all’agenzia deve includere informazioni sulla violazione, compreso il numero di consumatori interessati e quelli a rischio.
“Le aziende a cui vengono affidate informazioni finanziarie sensibili devono essere trasparenti se tali informazioni sono state compromesse”, ha affermato in una nota Samuel Levine, direttore del Bureau of Consumer Protection della FTC. “L’aggiunta di questo obbligo di divulgazione alla normativa sulle salvaguardie dovrebbe fornire alle aziende ulteriori incentivi per salvaguardare i dati dei consumatori.”
La norma sulle salvaguardie richiede già che gli istituti finanziari sviluppino, eseguano e supportino un programma di sicurezza completo per mantenere riservate le informazioni sui clienti.
Nell’ottobre 2021, la FTC ha chiesto commenti su una proposta di emendamento supplementare alla norma di salvaguardia che imporrebbe agli istituti finanziari di segnalare determinati dati e violazioni della sicurezza.
La norma di salvaguardia è stata stabilita dal Congresso ai sensi della legge Gramm-Leach-Bliley del 1999.
L’obbligo di notifica della violazione entrerà in vigore 180 giorni dopo la pubblicazione nel Registro federale.
La norma è l’ultima disposizione stipulata tra istituti di credito e altre aziende in materia per salvaguardare le informazioni dei clienti, che sono state soggette a numerosi attacchi hacker negli ultimi anni.
In una recente norma stabilita dalla Securities and Exchange Commission, le società quotate in borsa devono segnalare gli incidenti di sicurezza informatica considerati “materiali” dalla società. La norma è stata adottata a luglio e entrerà in vigore a dicembre.
“Che un’azienda perda una fabbrica in un incendio – o milioni di file in un incidente di sicurezza informatica – potrebbe essere rilevante per gli investitori”, ha dichiarato il presidente della SEC Gary Gensler in una dichiarazione a luglio quando la norma è stata adottata. “Contribuendo a garantire che le aziende divulghino informazioni rilevanti sulla sicurezza informatica, le regole odierne andranno a vantaggio degli investitori, delle aziende e dei mercati che le collegano”.
Recentemente, Flagstar Bank ha dichiarato che circa 837.390 dei suoi clienti sono stati colpiti da un attacco informatico che ha comportato l’accesso non autorizzato alle informazioni dei propri clienti in una delle loro applicazioni di trasferimento file.