Вітання з початком сезону!У цьому першому випуску "Сезонних читань" ми оглядаємо ключові події 2025 року у сфері кібербезпеки та штучного інтелекту (ШІ), які залишаються пріоритетами для Комісії з цінних паперів і бірж США (SEC) попри зміну керівництва та стратегій. Особливо варто відзначити, що давно тривала справа щодо правозастосування у сфері кібербезпеки стосовно SolarWinds несподівано завершилася. Позов до SolarWinds Вихід із суду за власним бажанням У листопаді SEC добровільно відкликала з преюдицією свою позовну заяву щодо SolarWinds та його головного офіцера з інформаційної безпеки (CISO). Восени 2023 року SEC подавала позов, звинувативши компанію у введенні інвесторів в оману через нерозкриття відомих вразливостей у кібербезпеці, які були використані під час російської кібератаки. SEC стверджувала, що ці недоліки у контролі кібербезпеки порушували внутрішні закони щодо обліку та контролю згідно з законодавством про цінні папери. Однак у липні 2024 року федеральний суддя відкликала більшу частину претензій SEC, постановивши, що законодавчі норми щодо внутрішнього обліку застосовуються до фінансової звітності, а не до операційної кібербезпеки. Залишилася лише одна претензія щодо оманливого "Заяву про безпеку" на сайті SolarWinds. Після зміни керівництва SEC і під час нової адміністрації сторони погодилися врегулювати справу й у листопаді спільно її закрили без штрафів, заборон або обмежень щодо посадових осіб, що стало чіткою перемогою для SolarWinds та його CISO, які назвали це "виправданням". Регулювання кібербезпеки та активність у сфері правозастосування Попри зняття деяких пропозицій щодо правил у сфері кібербезпеки і відкликання позову щодо SolarWinds, SEC зберегла фокус на впровадженні заходів із правозастосування у цій сфері. У лютому 2025 року вона створила підрозділ з кібербезпеки та нових технологій (CETU), який замінив підрозділ з криптовалют та кібертехнологій. CETU складається з фахівців із шахрайства та юристів з різних офісів SEC, чия місія — боротися з кіберзлочинами і захищати роздрібних інвесторів від шахрайства у нових технологіях. Це свідчить про збереження акценту на криптовалютах, але з меншим пріоритетом у цій сфері та з акцентом на боротьбу з шахрайством серед роздрібних інвесторів. Правозастосування та регулювання ШІ Хоча SEC дещо відступила від правил щодо кібербезпеки, окремі її підрозділи наполягають на покращенні розкриття інформації про використання ШІ. У червні 2025 року Комітет із інвестиційних консультацій SEC рекомендував видати рекомендації для уніфікації способів розкриття інформації публічними компаніями щодо їхнього використання ШІ.

Вони пропонують зобов’язати компанії: 1) визначити ШІ, 2) розкрити надгляд ради директорів за застосуванням ШІ, і 3) пояснити вплив ШІ на бізнес-операції і споживачів. Однак залишається невідомим, чи впровадить нинішнє керівництво SEC окремі правила або рекомендації щодо розкриття саме про ШІ, враховуючи загальну тенденцію до зменшення регулювання. "Мийка" ШІ Ця рекомендація частково відповідає на занепокоєння щодо так званої "мійки" ШІ — коли компанії перебільшують або неправдиво представляють свої можливості штучного інтелекту. У 2025 році відомство із правозастосування SEC продовжило боротися з такою недобросовісною поведінкою. Наприклад, у січні SEC уклала угоду з Presto Automation щодо неправдивих заяв про те, що їхній продукт Presto Voice усуває необхідність людських операторів у автоматичних замовленнях на заправках, хоча більшість замовлень все ще оброблялися вручну. У квітні SEC подала цивільний позов проти Альберта Санігера, колишнього генерального директора стартапу Nate Inc. , звинувативши його у залученні понад 42 мільйонів доларів шляхом фальсифікації уявлень про те, що їхня мобільна програма для покупок використовує ШІ для завершення трансакцій, тоді як більшість замовлень оброблялась вручну. SEC звинуватила Санігера у порушенні законодавства щодо цінних паперів, включаючи шахрайство, але ще не вручила йому документи, оскільки він проживає у Іспанії. Ці випадки підкреслюють важливість для компаній точно і документально розкривати інформацію про використання ШІ. CETU чітко заявила, що надалі спрямовуватиме свої зусилля на боротьбу з "мійкою" ШІ. Кібербезпека та ШІ залишаються пріоритетами SEC у сферах перевірки Крім правозастосування, кібербезпека та ШІ є ключовими сферами у планах перевірок SEC. У листопаді 2025 року Департамент перевірок оприлюднив свої пріоритети на 2026 фінансовий рік, охоплюючи інвестиційних радників, інвестиційні компанії та брокерів-дилерів. Департамент підтвердив, що кібербезпека залишиться "вічним пріоритетом" перевірок через операційні ризики, пов’язані з кібератаками. Також одним із головних аспектів перевірок стане оцінка тренінгів і заходів безпеки компаній, спрямованих на виявлення і усунення нових ризиків, пов’язаних із ШІ. Підсумовуючи, можна сказати, що 2025 рік у SEC ознаменувався змінами стратегії під керівництвом нових лідерів, але водночас зберігся міцний фокус на вирішенні викликів у сферах кібербезпеки та ШІ за допомогою правозастосовчих заходів, створення нових спеціалізованих підрозділів та пріоритетів у перевірках, водночас обережно реагуючи на процеси регулювання в цих швидко змінюваних областях.