Auguri di Buone Feste!In questa prima edizione di Season's Readings, analizziamo gli sviluppi principali del 2025 nel settore della cybersecurity e dell'intelligenza artificiale (IA), che sono rimasti tra le massime priorità per la SEC nonostante il cambiamento di leadership e le strategie in evoluzione. Notabilmente, un lungo procedimento di Enforcement contro SolarWinds si è concluso in modo inaspettato. Rinvio volontario della causa contro SolarWinds A novembre, la SEC ha volontariamente e con pregiudizio respinto l’azione di enforcement contro SolarWinds e il suo chief information security officer (CISO). La SEC aveva intentato causa nell’ottobre 2023, accusandoli di aver ingannato gli investitori omettendo di divulgare vulnerabilità di cybersecurity note, sfruttate in un attacco cibernetico russo. La SEC sosteneva che queste carenze nei controlli di cybersecurity violassero i controlli interni di conformità alle norme sui titoli. Tuttavia, nel luglio 2024, un giudice federale ha respinto la maggior parte delle pretese della SEC, stabilendo che i controlli contabili statutari riguardano il reporting finanziario, non i controlli operativi di cybersecurity. È stata ammessa a procedere soltanto una richiesta circa una “Dichiarazione di Sicurezza” ingannevole presente sul sito di SolarWinds. Dopo il cambio di leadership alla SEC sotto una nuova amministrazione, le parti hanno convenuto di risolvere la controversia con un accordo e hanno successivamente deciso di ritirare congiuntamente il caso a novembre, senza sanzioni, ingiunzioni o sospensioni di funzionari, segnando una vittoria chiara per SolarWinds e il suo CISO, che ha definito la conclusione una “vindication”. Normative e attività di enforcement sulla cybersecurity Nonostante il ritiro di alcune proposte di regolamentazione sulla cybersecurity e il rinvio della causa contro SolarWinds, la SEC ha mantenuto il suo impegno nell’applicazione delle norme in questo settore. Nel febbraio 2025, ha creato l’Unità di Cyber e Tecnologie Emergenti (CETU), sostituendo l’Unità di Cripto-Asset e Cyber. CETU si compone di esperti in frodi e avvocati provenienti da vari uffici SEC, con l’obiettivo di contrastare comportamenti illeciti informatici e proteggere gli investitori al dettaglio dalle frodi legate alle tecnologie emergenti. Questa nuova unità segnala un proseguimento dell’attenzione sulla cybersecurity mentre si ridimensiona il focus sulla regolamentazione delle criptovalute, privilegiando le frodi che coinvolgono gli investitori retail. Enforcement e normativa sull’IA Mentre si fa un passo indietro rispetto alla regolamentazione dell’IA, alcune parti della SEC stanno promuovendo una maggiore trasparenza sulle comunicazioni riguardanti l’uso dell’IA. A giugno 2025, il Comitato di Consulenza sugli Investimenti della SEC ha raccomandato di emanare linee guida per standardizzare le modalità di divulgazione pubblica sull’utilizzo dell’IA.

Si propone che le aziende siano obbligate a: 1) definire l’IA, 2) comunicare il supervisione del consiglio sull’implementazione dell’IA e 3) spiegare l’impatto dell’IA sulle operazioni aziendali e sui consumatori. Tuttavia, resta incerto se la leadership attuale della SEC adotterà regole o linee guida specifiche sull’IA, considerando l’approccio generalmente più cauto di questa administration rispetto alle normative. L’“AI washing” Questa raccomandazione risponde anche alle preoccupazioni relative all’“AI washing”, cioè all’eccessiva esagerazione o falsa rappresentazione delle capacità dell’IA da parte delle aziende. Nel 2025, la Divisione Enforcement della SEC ha continuato a perseguire tali comportamenti scorretti. Ad esempio, a gennaio, ha concluso un accordo con Presto Automation per affermazioni ingannevoli secondo cui il prodotto AI Presto Voice eliminasse la necessità di operatori umani nel servizio al drive-thru, anche se nella realtà la maggior parte degli ordini richiedeva comunque intervento umano. Nell’aprile, la SEC ha presentato un’azione civile contro Albert Saniger, ex CEO della startup Nate Inc. , accusandolo di aver raccolto oltre 42 milioni di dollari dichiarando falsamente che la sua app di shopping mobile utilizzasse l’IA per completare gli acquisti, mentre la maggior parte degli ordini venivano processati manualmente. La SEC ha contestato violazioni della legge sui titoli, inclusi reati antifrode, ma Saniger, che risiede in Spagna, non è ancora stato ufficialmente citato. Questi casi evidenziano l’importanza per le aziende di garantire dichiarazioni pubbliche accurate e documentate sull’IA. CETU ha espresso chiaramente che focalizzerà la sua attenzione sull’AI washing in futuro. Cybersecurity e IA restano una priorità della SEC anche nelle attività di esame Oltre alla enforcement, la cybersecurity e l’IA costituiscono anche punti centrali nelle ispezioni della SEC. A novembre 2025, la Divisione delle Esaminazioni ha pubblicato le priorità per l’anno fiscale 2026, riguardanti consulenti di investimento, società di investimento e broker-dealer. La divisione ha ribadito che la cybersecurity rappresenta una “priorità di perenne attenzione” a causa dei rischi operativi derivanti dagli attacchi cibernetici. Inoltre, uno dei principali focus delle ispezioni sarà sulla formazione delle aziende e sui controlli di sicurezza mirati a individuare e mitigare i rischi emergenti legati all’IA. In sintesi, nel 2025 la SEC ha subito mutamenti strategici guidati dal cambiamento di leadership, ma ha mantenuto un impegno forte nel fronteggiare le sfide di cybersecurity e IA, attraverso attività di enforcement, nuove unità specializzate e priorità di esame, muovendosi con cautela nel processo di regolamentazione di queste aree in continua evoluzione.