6 minute read
Fusioni e acquisizioni: tre rischi informatici da prevenire
Migliorare la due diligence delle vulnerabilità tecnologiche è essenziale per le organizzazioni che svolgono operazioni di fusione e acquisizione (M&A): perché e come le aziende possono proteggersi
a cura di Massimo Poletti
Società specializzata nella protezione e nell’audit delle risorse digitali, Vaultinum ha identificato quelli che sono i maggiori rischi che si possono correre durante le operazioni di acquisizione e le relative soluzioni. Attualmente, l’Italia sta assistendo a un forte aumento delle M&A: nel primo semestre del 2021 il nostro Paese ha registrato, infatti, un incremento del 30% (per un valore totale delle operazioni di 2.500 miliardi di dollari) di queste operazioni, con conseguenze significative
in termini di rischi per l’acquirente e l’azienda target. Ad esempio, le violazioni dei dati nel corso di operazioni di M&A sono diventate purtroppo frequenti negli ultimi anni: oltre un dirigente su tre, in un’analisi condotta da IBM, riporta violazioni di dati associati all’attività di M&A durante il periodo d’integrazione. Tali violazioni possono essere significativamente ridotte con un audit completa e appropriata del software condotta con il partner giusto prima dell’acquisizione e fusione. È già pratica comune implementare la due diligence finanziaria, che permette di valutare, tra le altre cose, se l’attività sia finanziariamente scalabile. Tuttavia, la maggior parte dei fondi private equity trascura di esaminare attentamente il codice sorgente di un software durante la verifica di due diligence. Ciò rappresenta una criticità, perché significa essenzialmente che gli investitori stanno andando alla cieca in un investimento, trascurando i potenziali rischi tecnologici associati al codice sorgente, come i rischi di sicurezza informatica e le licenze “open source”. Ma, quali sono le maggiori vulnerabilità che un’azienda deve affrontare prima di un’operazione di M&A?
Minacce alla sicurezza informatica
Le operazioni di fusione e acquisizione costituiscono terreno fertile per i cyber criminali, fornendo loro opportunità d’azione sia a breve, sia a lungo termine. Nel breve termine, proprio mentre le operazioni finanziarie sono in corso, i dati sono più vulnerabili e ad elevato rischio di essere presi d’assalto. Vaultinum mette a disposizione esperti legali e tecnologici per fornire alle organizzazioni i più alti livelli di sicurezza e protezione dei propri asset sensibili, permettendo loro di innovare con successo e ottenere soluzioni digitali che siano semplici, veloci e sicure
Vaultinum è una terza parte indipendente fidata specializzata nella protezione e nell’audit di asset digitali
Nel lungo termine, le transazioni M&A rappresentano un’opportunità unica per i cyber criminali, che possono infiltrarsi nelle reti sia dell’azienda che acquisisce, sia di quella che viene acquisita. È sorprendente che oltre il 50% delle imprese, sulla base di un’indagine IBM, attendano il termine della due diligence prima di eseguire qualsiasi valutazione tecnologica delle transazioni M&A. Le minacce alla sicurezza informatica, al contrario, mettono in evidenza quanto sia fondamentale condurre a termine una due diligence del software che riveli le possibili vulnerabilità prima della fase di acquisizione.
Violazioni di dati e vulnerabilità
L’acquisizione o la fusione di un’impresa con un’azienda di rilevanza minore che mantiene dati nascosti ad alta vulnerabilità può avere notevole impatto sulle operazioni commerciali, le relazioni con gli investitori e la reputazione dell’azienda principale che guida l’operazione.
L’esempio forse più celebre di questa eventualità si è verificato nel 2017, quando Verizon rivelò una precedente violazione dei dati di Yahoo!. Durante le trattative per la fusione, era stato reso noto che quest’ultima aveva subito una prima violazione dei dati durante la quale un hacker aveva rubato i dati personali di almeno 500 milioni di utenti, seguita da una seconda che aveva compromesso un miliardo di account e rubato le informazioni personali e le credenziali di accesso degli utenti. In quel caso, Verizon aveva deciso di proseguire con l’accordo, ma tale decisione non è rimasta senza conseguenze. Il prezzo di acquisto è stato ridotto di 350 milioni di dollari e Verizon ha
accettato di condividere la responsabilità legale per queste violazioni di dati. Quel che è peggio, se questa violazione dei dati non fosse stata rivelata durante i negoziati, Verizon avrebbe potuto strapagare Yahoo!, oltre a subire danni legali e di reputazione a lungo termine. Fortunatamente, entrambe le aziende hanno capito le responsabilità prima di stipulare un accordo. Le violazioni di dati costituiscono un rischio elevatissimo per il business, che può avere diverse conseguenze: 1. richiesta di riscatto; 2. interruzione degli affari che può costare anche diversi milioni al giorno; 3. furto di dati e, soprattutto, di dati personali che mettono a rischio l’azienda per quanto riguarda le norme di GDPR.
Sicurezza dei sistemi informativi
La procedura di due diligence deve anche determinare se la società target ha definito un sistema per proteggere i dati personali e professionali. La verifica della sicurezza dei sistemi informativi è attualmente un passaggio ineludibile in qualsiasi procedura di due diligence e la mancata verifica può comportare conseguenze legali e finanziarie per la nuova entità. L’analisi dei rischi legati alla sicurezza delle informazioni, in particolare quelle riservate, è pertanto essenziale. Tutti e tre i casi hanno deleterie conseguenze finanziarie e di reputazione associate alle violazioni della sicurezza informatica, ma nel terzo caso, se il CEO dell’azienda non informa gli organi nazionali del furto di dati personali e non ha preso le giuste misure per proteggere l’azienda dai crimini informatici, può essere costretto a pagare una multa, è legalmente responsabile e rischia anche di andare a processo. La due diligence tecnologica, evidenziando i rischi o le debolezze delle risorse digitali, permette di capire davvero con anticipo se un’azienda abbia preso le giuste misure per proteggersi.
Rischi connessi al software open source (OSS)
Per qualsiasi attività di M&A in cui il software dell’azienda target rappresenta una risorsa importante per l’operazione, i problemi non si esauriscono nelle vulnerabilità dei dati nascosti. Oggi, gli sviluppatori di software si affidano spesso a repository di codice pubblico disponibili su siti Web come GitHub o Stack Exchange, dal momento che il software open source (OSS) presenta una serie di vantaggi significativi, in particolare il fatto che sembra essere gratuito.
Tuttavia, è probabile che non tengano conto del fatto che le licenze OSS sono spesso offerte con restrizioni condizionate. Nel momento in cui fanno uso di OSS per la creazione prodotti derivati, o collegano il codice sorgente a OSS, gli sviluppatori sono soggetti a tali restrizioni condizionali; tra queste, ad esempio, l’obbligo di rendere pubblico tutto o parte del codice o di pagare una tassa per il suo utilizzo. Dopo che l’acquirente e l’obiettivo diventano un’unica entità, attraverso una fusione o un’acquisizione, l’acquirente diventa responsabile dell’uso precedente di OSS da parte dell’obiettivo, e di qualsiasi condizione relativa alla sua licenza. I costi legali e finanziari della mancata esecuzione di una completa due diligence del software sono quasi ovvi in casi come questo: se gli acquirenti eseguissero una due diligence completa nella fase pre acquisizione e scoprissero un OSS incorporato nel software dell’azienda da acquisire, potrebbero rifiutare completamente l’accordo, o ridurne il valore oppure i termini.
Conclusioni
Svolgere una due diligence completa è essenziale durante la fase che precede l’acquisizione, così da evitare i problemi appena menzionati associati alle violazioni dei dati e alle licenze software. I progressi di oggi nella tecnologia AI permettono audit davvero completi, in grado di analizzare ogni linea di codice per identificare possibili problemi di vulnerabilità del software e dei dati. Il metodo adottato da Vaultinum permette di eliminare la soggettività, inevitabile caratteristica di un audit manuale effettuato da un individuo, che può sempre essere indebolita da un errore umano. Questo approccio consente di proteggere la reputazione dell’acquirente, assicurare la continuità del business ed evitare possibili responsabilità legali derivanti dalle precedenti vulnerabilità dell’azienda acquisita.
