Sean Inggs di Leeward sul disinteresse del consiglio di amministrazione del Cyber Resilience Gaps Fund

Gli attacchi informatici alle società finanziarie raramente finiscono sui giornali per via di codici sofisticati. Fanno notizia per cosa è andato storto e per chi era responsabile del monitoraggio. Per i fondi di investimento, la questione della responsabilità è più nebulosa di quanto la maggior parte dei consigli di amministrazione immagini, ed è una lacuna che Leeward, la società di consulenza in materia di governance e dident di amministratori indipendenti con sede alle Isole Cayman, ritiene debba essere colmata da tempo.
"I consigli di amministrazione si illudono che la sicurezza informatica sia sotto controllo perché il fondo non gestisce alcun sistema interno", ha affermato Sean Inggsindipendentedent di Leeward. "Ma il denaro del fondo e i dati degli investitori transitano comunque quotidianamente attraverso un gestore e un amministratore. Questa è la superficie di attacco, e la responsabilità della sua supervisione ricade sul consiglio di amministrazione, indipendentemente dal fatto che la normativa nomini direttamente il fondo o meno."
Dove arriva la regolamentazione e dove si ferma
L'Autorità Monetaria delle Isole Cayman (CIMA) ha in vigore da diversi anni un regime vincolante di sicurezza informatica attraverso il suo Regolamento e la Dichiarazione di orientamento sulla sicurezza informatica per gli enti regolamentati. Il Regolamento attribuisce la responsabilità ultima della gestione del rischio informatico all'organo di governo di un ente, richiede un quadro documentato perdent, monitorare e ripristinare la situazione in caso dident, prevede revisioni periodichedent e obbliga gli enti interessati a segnalare glidentrilevanti alla CIMA entro 72 ore.
Il dettaglio che sorprende molti amministratori riguarda la portata della norma. La regola si applica ai gestori di investimenti e alla maggior parte degli altri enti regolamentati dalla CIMA, ma non direttamente ai fondi comuni di investimento e ai fondi privati. Secondo Leeward, è proprio questa distinzione il motivo per cui i consigli di amministrazione dei fondi non possono considerarla un problema di terzi.
"Il gestore che rientra nell'ambito di applicazione della norma è lo stesso che gestisce le vostre sottoscrizioni e i vostri rimborsi", ha affermato Inggs. "Pertanto, il rischio raggiunge il fondo anche quando la norma non lo prevede. Un amministratore che si ferma alla frase 'il fondo non rientra nell'ambito di applicazione' si è fermato una riga troppo presto."
Dai questionari alla supervisione reale
Secondo Leeward, la maggior parte dei fondi raccoglie già la documentazione corretta e chiede troppo poco. Il rapporto di audit di un fornitore di servizi o il questionario annuale sulla sicurezza confermano l'esistenza di una procedura. Non garantiscono, tuttavia, che il fondo sopravvivrebbe alla settimana in caso di interruzione del servizio da parte di tale fornitore.
L'azienda incoraggia i consigli di amministrazione a passare dalla mera documentazione alla verifica operativa. Ciò significa comprendere quali fornitori siano realmente cruciali per la continuità del fondo, conoscere il piano di ripristino in caso di guasto di uno di essi e verificare che la risposta aglident sia stata effettivamente simulata e non solo documentata. Significa anche chiarezza sulla catena di notifica, in modo che il consiglio di amministrazione venga a conoscenza di una violazione con sufficiente tempestività, soprattutto considerando l'obbligo di segnalazione entro 72 ore che si applica alle entità che gravitano attorno al fondo.
"La resilienza è una questione di continuità, e la continuità è compito del consiglio di amministrazione", ha affermato Inggs. "Non è necessario sottoporre a verifica un firewall. Bisogna sapere cosa succede la mattina del primodent, e bisogna saperlo prima che arrivi quella mattina."
La divulgazione alza la posta in gioco
Anche sul fronte della trasparenza sta aumentando la pressione. Quando le Isole Cayman hanno aggiornato il quadro normativo per i fondi all'inizio del 2026, hanno introdotto requisiti per i documenti di offerta che devono specificare i rischi legati alla tecnologia, inclusa la sicurezza informatica, e spiegare come tali rischi vengono mitigati. Gli investitori leggeranno queste dichiarazioni e le valuteranno.
Leeward prevede che la resilienza operativa diventerà parte integrante della due diligence istituzionale, anziché una preoccupazione di nicchia. Secondo la società, i fondi in grado di dimostrare un consiglio di amministrazione realmente interessato alla questione avranno maggiore facilità ad attrarre e mantenere capitali istituzionali rispetto a quelli che considerano il rischio informatico una mera nota tecnica.
"I fondi che gestiscono correttamente questa situazione non sono quelli con le politiche più lunghe", Inggs . "Sono quelli in cui il consiglio di amministrazione è in grado di spiegare, in modo chiaro e comprensibile, come il fondo continui a funzionare anche in una giornata negativa."
Leeward offre servizi di consulenza e governance per amministratori indipendentident Isole Cayman. Sean Inggs è un amministratore indipendentedent Leeward e un amministratore professionista registrato ai sensi del Cayman Islands Directors Registration and Licensing Act, con oltre 20 anni di esperienza legale e di governance a livello internazionale in hedge fund, private equity, family office e aziende blockchain. Per saperne di più, visita il sito leeward.ky.
Disclaimer. CryptopolitanQuesto è un comunicato stampa aziendale. I lettori sono tenuti a svolgere la propria due diligence prima di intraprendere qualsiasi azione relativa alla società promossa o a una qualsiasi delle sue affiliate o servizi. non è responsabile, direttamente o indirettamente, per eventuali danni o perdite causati o presumibilmente causati da o in connessione con l'uso o l'affidamento su qualsiasi contenuto, bene o servizio menzionato nel comunicato stampa.

Media Cryptopolitan
Una sezione dedicata a approfondimenti selezionati e aggiornamenti in evidenza dalla nostra rete di partner globali del settore.















