Un giudice federale ha respinto giovedì una parte di una causa storica del governo contro SolarWinds e il suo direttore della cybersecurity per la gestione, da parte della società di software, di una violazione della sicurezza rivelata nel 2020 che ha interessato clienti, comprese le agenzie governative statunitensi.

La SEC, l'autorità di regolamentazione dei mercati finanziari degli Stati Uniti, aveva citato in giudizio l'azienda SolarWinds e il suo Chief Information Security Officer, Tim Brown, l'anno scorso, per la rappresentazione del rischio di un attacco informatico prima della violazione della sicurezza e le informazioni fornite agli investitori dopo l'incidente. Era la prima volta che l'autorità di regolamentazione dei titoli azionari ricorreva in tribunale per accuse di frode civile – l'accusa più grave a disposizione dell'autorità – contro un'azienda pubblica vittima di un attacco informatico.

Einige Unternehmensgruppen und ehemalige Staatsanwälte kritisierten die Durchsetzungsmaßnahmen der SEC gegen gehackte Unternehmen, da diese die Opfer der Angriffe verantwortlich machen würden, die manchmal von staatlich unterstützten Akteuren durchgeführt werden. Die SEC argumentiert, dass Aktionäre ein Recht darauf haben zu wissen, wie öffentliche Unternehmen auf das Risiko von Angriffen reagieren, die oft den Aktienkurs des Unternehmens belasten.

Alcuni gruppi aziendali e ex procuratori hanno criticato le misure di esecuzione della SEC contro le aziende hackerate, poiché queste renderebbero responsabili le vittime degli attacchi, a volte effettuati da attori sostenuti dallo Stato. La SEC sostiene che gli azionisti abbiano il diritto di sapere come le società quotate in borsa rispondono al rischio di attacchi, che spesso influenzano il prezzo delle azioni aziendali.

La dichiarazione della SEC secondo cui SolarWinds non avrebbe rivelato agli azionisti la piena portata dell'attacco si basava su "retrospezione e speculazione", ha scritto il giudice distrettuale americano Paul Engelmayer. Tuttavia, il giudice ha permesso alla causa dell'ente di proseguire in base ad altre affermazioni di SolarWinds prima dell'attacco riguardanti le sue misure e i rischi di sicurezza informatica.

Gli Stati Uniti hanno successivamente accusato del cyberattacco hacker russi sostenuti dallo Stato. Mosca ha negato qualsiasi coinvolgimento.

Un portavoce di SolarWinds ha dichiarato che l'azienda è soddisfatta della decisione del giudice. "Attendiamo con impazienza la prossima fase, durante la quale avremo per la prima volta l'opportunità di presentare le nostre prove e dimostrare perché l'affermazione rimanente è fattualmente inaccurata", ha detto.

Die SEC lehnte eine Stellungnahme ab.
La SEC ha rifiutato di commentare.

Der Fall SolarWinds war insofern ungewöhnlich, als er sich gegen einen hochrangigen Cybersicherheitsmanager richtete.
-->
Il caso SolarWinds era insolito in quanto mirava a un alto dirigente della sicurezza informatica.

Esperti di sicurezza informatica, associazioni commerciali e dirigenti hanno espresso preoccupazioni sul fatto che la causa contro Brown dimostri che le autorità di regolamentazione siano ora pronte a perseguire i capi della sicurezza informatica. La causa della SEC è stata presentata poco dopo la condanna di Joseph Sullivan, un ex Chief Security Officer di Uber Technologies, per ostruzione criminale legata alle sue azioni durante la violazione dei dati dell'azienda nel 2016, alimentando timori simili.

David Shargel, partner dello studio legale Bracewell, ha detto che il rigetto di parte delle cause della SEC è stato per SolarWinds "una vittoria sotto ogni punto di vista". Le aziende raramente vincono così presto nel processo contro le cause della SEC.

„Es bleibt definitiv eine ernsthafte Anklage, und es dient als Erinnerung daran, dass Unternehmen sicherstellen müssen, dass ihre öffentlichen Aussagen korrekt und nicht irreführend sind“, sagte er.

„È sicuramente un'accusa grave e serve come promemoria per le aziende di garantire che le loro dichiarazioni pubbliche siano corrette e non fuorvianti“, ha detto.

Da quando è stata presentata la querela contro SolarWinds, sono entrate in vigore nuove norme della SEC su quando e come le aziende devono divulgare gli attacchi informatici. Le società quotate in borsa devono segnalare gli attacchi informatici entro e non oltre quattro giorni lavorativi dall'aver stabilito che l'attacco avrà un impatto significativo sul loro business, tramite la presentazione di un modulo 8-K all'autorità. Le aziende devono anche descrivere gli elementi del loro processo di gestione del rischio informatico nelle loro relazioni annuali.

Bemerkenswert ist, dass Engelmayer auch die Behauptung der SEC abwies, SolarWinds habe gegen Regeln verstoßen, die vorschreiben, wie Unternehmen sich gegen Buchhaltungsfehler schützen müssen. Der Richter erklärte, dass Cybersicherheitskontrollen nicht Teil dieses Prozesses seien. „Diese Auslegung ist nicht haltbar“, schrieb der Richter und sagte, die Kontrollen gelten eindeutig nur für die Finanzbuchhaltung.

Italian translation:
È notevole che Engelmayer abbia respinto anche l'affermazione della SEC secondo cui SolarWinds avrebbe violato le regole che prescrivono come le aziende debbano proteggersi dagli errori contabili. Il giudice ha dichiarato che i controlli sulla sicurezza informatica non fanno parte di questo processo. "Questa interpretazione è insostenibile", ha scritto il giudice, affermando che i controlli si applicano chiaramente solo alla contabilità finanziaria.

„Penso che questo potrebbe dare un po' di sicurezza ad alcuni reparti di conformità riguardo ai parametri degli obblighi di divulgazione“, ha detto Shargel.

SolarWinds hatte die Behörde in einer früheren Erwiderung auf die Klage beschuldigt, ihren regulatorischen Einflussbereich im Bereich Cyber erweitern zu wollen.

In Italian:
SolarWinds aveva accusato l'autorità, in una precedente risposta alla causa, di voler estendere la propria area di influenza normativa nel campo della sicurezza informatica.