Sesongin Tervehdykset!Tämän ensimmäisen Seasons’ Readings -julkaisun yhteydessä tarkastelemme vuoden 2025 keskeisiä kehityskulkuja kyberturvallisuuden ja tekoälyn (AI) alalla, jotka jatkoivat SEC:n ykkösprioriteetteina uuden johdon ja muutosstrategioiden aikana. Merkittävää oli se, että pitkäaikainen kyberturvallisuusvalvonnan tapaus SolarWindsin kanssa päättyi odottamattomasti. SolarWindsin Oikeusjuttu Vapautettiin Vapaaehtoisesti Marraskuussa SEC vetäytyi vapaaehtoisesti ja ehtoja loukkaamatta oikeustoimistaan SolarWindsia ja sen tietoturvajohtajaa (CISO) vastaan. SEC oli nostanut syytteen lokakuussa 2023, syyttäen heitä sijoittajien harhautuksesta salaamalla tiedossa olleita kyberturvallisuusvulnerabiliteetteja, joita hyödynnettiin venäläisessä kyberhyökkäyksessä. SEC väitti, että nämä tietoturvallisuuden hallintavajeet rikkoivat lakisääteisiä sisäisiä kirjanpitosäännöksiä arvopaperilainsäädännön nojalla. Heinäkuussa 2024 liittovaltion tuomari kuitenkin hylkäsi suurimman osan SEC:n vaatimuksista, toteamalla, että lakisääteiset kirjanpidon hallintavälineet koskevat taloudellista raportointia eivätkä kyberturvallisuuden operatiivisia hallintakeinoja. Vain yksi vaadituista väitteistä leskekirjeistä SolarWindsin verkkosivuilla jätettiin vireille. Uuden johtajuuden myötä SEC:n hallituksen vaihdoksen jälkeen osapuolet sopivat ratkaisusta ja myöhemmin marraskuussa tapauksen yhteisvoimin hylkäsivät ilman sanktioita, kieltoja tai virkailijakieltoja, mikä oli selkeä voitto SolarWindsille ja sen CISO:lle, jotka kutsuivat sitä "puhtaaksi todistukseksi". Kyberturvallisuuden Sääntelyn Laadinta ja Valvonta Vaikka osaa kyberturvallisuuden sääntelyehdotuksista peruttiin ja SolarWindsin oikeusjuttu vedettiin pois, SEC on jatkanut kyberturvallisuuden valvontaan keskittyvää toimintaa. Helmikuussa 2025 se käynnisti Cyber and Emerging Technologies -yksikön (CETU), joka korvasi Crypto Assets and Cyber -yksikköä. CETU koostuu petoksista ja muista oikeudellisista asiantuntijoista eri SEC-toimistoista, ja sen tehtävänä on torjua kyberrikoksia ja suojella vähittäissijoittajia uusilta teknologiaharhoilta. Tämä uusi yksikkö osoittaa jatkoa kyberturvallisuuden painotukselle samalla kun se vähentää kryptovaluuttojen sääntelyä painottaen petoksia, jotka kohdistuvat vähittäissijoittajiin. AI:n Valvonta ja Sääntely Vaikka SEC perääntyi kyberturvallisuusmääräysten laatimisesta, osa sen osastoista ajaa parempia tekoälyn julkistuksia. Kesäkuussa 2025 SEC:n sijoitustiedonanto-komitea ehdotti ohjeistuksen julkaisemista, jolla standardisoitaisiin, kuinka julkiset yritykset ilmoittavat tekoälyn käytöstä.

Esityksessä ehdotetaan, että yritysten tulisi: 1) määritellä tekoäly, 2) ilmoittaa hallituksen valvonnasta tekoälyn käyttöönotossa, ja 3) selittää tekoälyn vaikutusta liiketoimintaan ja kuluttajiin. On kuitenkin epävarmaa, toteuttaako nykyinen SEC-johto tekoälyyn liittyvät erityisohjeistukset vai ei, sillä sillä on yleisesti siirrytty sääntelyn ulkopuolelle. AI:n "Puhdistus" eli Kļ Hoaxja Tämä ehdotus osuu osaksi siihen huoleen, että yritykset voivat liiotella tai vääristää tekoälyn kykyjä, ilmiötä kutsutaan "AI washingiksi". Vuonna 2025 SEC:n valvonta jatkoi tällaisten väärinkäytösten tavoittelemista. Esimerkiksi tammikuussa SEC neuvotteli Presto Automationin kanssa, sillä yritys oli antanut harhaanjohtavaa tietoa siitä, että heidän tekoälytuotteensa Presto Voice poistaisi tarpeen ihmisten huoltajuisten automaattien vastaanottajina, vaikka suurin osa tilauksista edelleen vaati ihmisen puuttumista. Huhtikuussa SEC nosti siviilikanteen startup-yhtiö Nate Inc. :n entiseltä toimitusjohtajalta Albert Sanigeriltä, väittäen, että hän keräsi yli 42 miljoonaa dollaria valehtelemalla, että heidän mobiilostoshoppailusovelluksensa käytti tekoälyä ostosten loppuunsaattamiseen, vaikka suurin osa tilauksista hoidettiin manuaalisesti. SEC syytti hänet arvopaperilainsäädännön rikkomisesta, mukaan lukien petosasiat, mutta Sanigeriä ei ole vielä pidätetty – hän asuu Espanjassa. Nämä tapaukset korostavat yritysten tärkeyttä ilmoittaa tarkasti ja dokumentoidusti tekoälyn käytöstä. CETU on selvästi ilmoittanut, että se jatkaa tekoälyn "pesua" eli vilpin torjuntaa tulevaisuudessa. Kyberturvallisuus ja AI ovat Jääneet SEC:n Prioriteeteiksi Tarkastuksissakin Sen lisäksi, että valvonta jatkuu, kyberturvallisuus ja AI ovat myös keskeisiä osa-alueita SEC:n tarkastuksissa. Marraskuussa 2025 Tarkastusten osasto julkaisi vuoden 2026 prioriteetit, jotka kattavat sijoitusneuvojat, sijoitusyhtiöt ja välittäjäliikkeet. Osasto vahvisti, että kyberturvallisuus pysyy "vuosittaisena tarkastusten prioriteettina" kyberhyökkäysten aiheuttamien operatiivisten riskien vuoksi. Lisäksi keskeinen tarkastuksen kohde tulee olemaan yritysten koulutus ja turvallisuusohjauskeinojen tehokkuus, erityisesti uusien AI-relaatioisten riskien havaitsemiseksi ja vähentämiseksi. Yhteenvetona voidaan todeta, että SEC:n vuosi 2025 oli johdon ohjaamien strategisten muutoshankkeiden vuosi, mutta se pysyi sitoutuneena kyberturvallisuuden ja tekoälyn haasteiden ratkaisemiseen valvonnan, uusien erikoisyksiköiden ja tarkastusten kautta, samalla ollen varovainen sääntelyn ja määräysten laadinnan suhteen näillä kehittyvillä aloilla.