Vaultinum spiega perché e come le aziende che svolgono attività di fusione e acquisizione possono proteggersi dalle violazioni.

fusione e acquisizione

Vaultinum, società specializzata nella protezione e nell’audit delle risorse digitali, ha identificato quelli che sono i maggiori rischi che si possono correre durante operazioni di acquisizione e le relative soluzioni. Attualmente, l’Italia sta assistendo a un forte aumento delle operazioni di fusione e acquisizione. Infatti, nel primo semestre del 2021, l’Italia ha visto un aumento del 30% (per un valore totale delle operazioni di 2500 miliardi di dollari).

Questo andamento ha prodotto conseguenze significative in termini di rischi per l’acquirente e l’azienda target. Per esempio, le violazioni dei dati nel corso di operazioni di fusione e acquisizione sono diventate purtroppo frequenti negli ultimi anni: oltre un dirigente su tre – in un’analisi condotta da IBM – riporta violazioni di dati associati all’attività M&A durante il periodo di integrazione. Tali violazioni possono essere significativamente ridotte con un audit completa ed appropriata del software condotta prima dell’acquisizione e fusione con il partner giusto.

È già pratica comune implementare la due diligence finanziaria, che permette di valutare, tra le altre cose, se l’attività sia finanziariamente scalabile. Tuttavia, la maggior parte dei fondi private equity trascura di esaminare attentamente il codice sorgente di un software durante la verifica di due diligence. Ciò rappresenta una criticità, perché significa essenzialmente che gli investitori stanno andando alla cieca in un investimento, trascurando i potenziali rischi tecnologici associati al codice sorgente, come i rischi di sicurezza informatica e le licenze open-source.

Ecco quali sono le maggiori vulnerabilità che un’azienda deve affrontare prima di andare avanti con le attività di fusione e acquisizione.

  1. Minacce alla sicurezza informatica

Le operazioni di fusione e acquisizione costituiscono terreno fertile per i cyber criminali, fornendo loro opportunità d’azione sia a breve sia a lungo termine. Nel breve termine, proprio mentre le operazioni finanziarie sono in corso, i dati sono più vulnerabili e ad elevato rischio di essere presi d’assalto. Nel lungo termine, le transazioni M&A rappresentano un’opportunità unica per i cyber criminali, che possono infiltrarsi nelle reti sia dell’azienda che acquisisce sia di quella che viene acquisita. È sorprendente che oltre il 50% delle imprese, sulla base di un’indagine IBM, attendano il termine della due diligence prima di eseguire qualsiasi valutazione tecnologica delle transazioni M&A. Le minacce alla sicurezza informatica, al contrario, mettono in evidenza quanto sia fondamentale condurre a termine una due diligence del software che riveli le possibili vulnerabilità prima della fase di acquisizione.

  1. Violazioni di dati e vulnerabilità

L’acquisizione o la fusione di un’impresa con un’azienda di rilevanza minore che mantiene dati nascosti ad alta vulnerabilità può avere notevole impatto sulle operazioni commerciali, le relazioni con gli investitori e la reputazione dell’azienda principale che guida l’operazione. L’esempio forse più celebre di questa eventualità si è verificato nel 2017, quando Verizon rivelò una precedente violazione dei dati di Yahoo!. Durante le trattative per la fusione, era stato reso noto che Yahoo! aveva subito una violazione dei dati durante la quale un hacker aveva rubato i dati personali di almeno 500 milioni di utenti, seguita da una seconda violazione dei dati che aveva compromesso un miliardo di account e rubato le informazioni personali e le credenziali di accesso degli utenti. In quel caso, Verizon aveva deciso di proseguire con l’accordo, ma tale decisione non è rimasta senza conseguenze. Il prezzo di acquisto è stato ridotto di 350 milioni di dollari e Verizon ha accettato di condividere la responsabilità legale per queste violazioni di dati. Quel che è peggio, se questa violazione dei dati non fosse stata rivelata durante i negoziati, Verizon avrebbe potuto strapagare Yahoo!, oltre a subire danni legali e di reputazione a lungo termine. Fortunatamente, entrambe le aziende hanno capito le responsabilità prima di andare avanti con le pratiche comuni di fusione e acquisizione. Le violazioni di dati costituiscono un rischio elevatissimo per il business, che può avere diverse conseguenze: 1) richiesta di riscatto; 2) interruzione degli affari che può costare anche diversi milioni al giorno; 3) furto di dati e soprattutto di dati personali che mettono a rischio l’azienda per quanto riguarda le norme di GDPR. Tutti e tre i casi hanno deleterie conseguenze finanziarie e di reputazione associate alle violazioni della sicurezza informatica, ma nel terzo caso, se il CEO dell’azienda non informa gli organi nazionali del furto di dati personali e non ha preso le giuste misure per proteggere l’azienda dai crimini informatici, può essere costretto a pagare una multa ed è legalmente responsabile e ad affrontare anche il rischio di andare a processo. La due diligence tecnologica, evidenziando i rischi o le debolezze delle risorse digitali, permette di capire davvero con anticipo se un’azienda abbia preso le giuste misure per proteggersi.

  1. Rischi connessi al software open source (OSS)

Per qualsiasi attività di fusione e acquisizione in cui il software dell’azienda target rappresenta una risorsa importante per l’operazione, i problemi non si esauriscono nelle vulnerabilità dei dati nascosti. Oggi, gli sviluppatori di software si affidano spesso a repository di codice pubblico disponibili su siti web come GitHub o Stack Exchange, dal momento che il software open source (OSS) presenta una serie di vantaggi significativi, in particolare il fatto che sembra essere gratuito. Tuttavia, è probabile che non tengano conto del fatto che le licenze OSS sono spesso offerte con restrizioni condizionate. Nel momento in cui fanno uso di OSS per la creazione prodotti derivati, o collegano il codice sorgente a OSS, gli sviluppatori sono soggetti a tali restrizioni condizionali; tra queste, ad esempio, l’obbligo di rendere pubblico tutto o parte del codice o di pagare una tassa per il suo utilizzo. Dopo che l’acquirente e l’obiettivo diventano un’unica entità, attraverso una fusione o un’acquisizione, l’acquirente diventa responsabile dell’uso precedente di OSS da parte dell’obiettivo, e di qualsiasi condizione relativa alla sua licenza. I costi legali e finanziari della mancata esecuzione di una completa due diligence del software sono quasi ovvi in casi come questo: se gli acquirenti eseguissero una due diligence completa nella fase pre-acquisizione e scoprissero un OSS incorporato nel software dell’azienda da acquisire, potrebbero rifiutare completamente l’accordo, o ridurne il valore o i termini.

Svolgere una due diligence completa prima di procedere con le attività di fusione e acquisizione, è essenziale durante la fase che precede l’acquisizione, così da evitare i problemi appena menzionati associati alle violazioni dei dati e alle licenze software. I progressi di oggi nella tecnologia AI permettono audit davvero completi, in grado di analizzare ogni linea di codice per identificare possibili problemi di vulnerabilità del software e dei dati. Il metodo adottato da Vaultinum permette di eliminare la soggettività, inevitabile caratteristica di un audit manuale effettuato da un individuo, che può sempre essere indebolita da un errore umano. Questo approccio consente di proteggere la reputazione dell’acquirente, assicurare la continuità del business ed evitare possibili responsabilità legali derivanti dalle precedenti vulnerabilità dell’azienda acquisita.