Avete valutato il cyber rischio di una acquisizione societaria?

Il cyber rischio derivante da una operazione di fusione o acquisizione societaria è spesso sottovalutato, anche se può minacciare in modo significativo la loro redditività. Tuttavia, esistono soluzioni in grado di ridurre l’esposizione al rischio.

E’ passata alla storia la rinegoziazione nel 2017 dell’accordo relativo alla vendita a Verizon del business online di Yahoo! con una riduzione del corrispettivo di ben $ 350 milioni, a seguito della scoperta di tre data breach che avevano impattato 3 miliardi di account sulla piattaforma avvenuti negli anni precedenti. La riduzione del prezzo di vendita non aveva risolto tutti i problemi per Verizon perché, negli anni successivi al closing dell’acquisizione, Verizon aveva dovuto raggiungere un accordo transattivo con le vittime dei data breach di $ 117,5 milioni quale conseguenza di una class action e aveva dovuto investire ben $ 306 milioni in misure di sicurezza.

A distanza di 5 anni da quegli eventi, siamo in un contesto dove:

  • 236,1 milioni di attacchi ransomware sono stati identificati nella prima metà del 2022 e dall’inizio della pandemia c’è stato un aumento dei cyberattacchi del 300%;
  • il tempo medio necessario ad identificare e contenere un data breach è di 277 giorni, pari a 9 mesi e costa di media $ 4,35 milioni, senza considerare il danno reputazionale e di perdita di business;
  • a seguito della pandemia, c’è stato un aumento del remote working e dell’affidamento su piattaforme di cloud computing che hanno incrementato l’esposizione a rischi di cyberattacchi; e, allo stesso modo,
  • il rapporto con i clienti e l’operatività aziendale fanno sempre più affidamento
    • sui dati che potrebbero essere esfiltrati o resi inaccessibili tramite attacchi ransomware, a causa di un rapporto a distanza, e
    • su sistemi di machine learning e aritificial intelligence che potrebbero essere corrotti tramite pratiche di data extraction che comporterebbero una alterazione del comportamento dei sistemi.

Da questi dati comprendiamo che il rischio di subire un cyber attacco è aumentato notevolmente negli ultimi anni. I danni che un’azienda può subire quale conseguenza di un cyberattacco sono anch’essi aumentati e il tempo necessario per identificare un cyberattacco è estremamente lungo. L’acquirente di una società potrebbe quindi acquistarla e scoprire che il suo valore è notevolmente diminuito a causa di un attacco informatico avvenuto prima del closing o subito dopo, quando l’acquirente non è stato in grado di mettere in atto le proprie politiche e misure di sicurezza all’interno dell’azienda target.

Ad oggi le due diligence in operazioni di M&A sono spesso unicamente documentali e non tengono conto dell’effettiva operatività senza verifiche di compliance e di carattere tecnico che analizzino l’effettiva operatività e accertino il verificarsi di un eventuale cyber attacco che probabilmente il venditore ignora del tutto.

Oltre l’82% dei cyberattacchi sono dovuti ad un errore umano che è spesso dovuto al comportamento scorretto dei propri dipendenti. Quindi la cyber sicurezza di una azienda non può essere misurata unicamente sulla base degli investimenti in materia di ICT e anzi le aziende che investono maggiormente nella compliance interna sono meno esposte al cyber rischio. Al contrario, investimenti molto elevati in tecnologia spesso portano ad uno spreco di risorse.

Questa situazione pone le aziende coinvolte in operazioni di acquisizione societaria davanti al rischio di perdere notevolmente il valore della società acquisita, quale conseguenza di un cyber attacco che viene scoperto solo parecchi mesi dopo il closing dell’operazione. Questo rischio è difficile da gestire tramite Reps & Warranties contrattuali nello stock purchase agreement perché il venditore spesso le limita alle informazioni da lui conosciute e che sono state oggetto di due diligence. Allo stesso modo, il venditore potrebbe non accettare di ritardare il pagamento di quasi un anno e il termine di prescrizione per le contestazioni da parte del Garante privacy è di 5 anni, mentre per le azioni da parte degli individui vittime dei data breach è di 10 anni con un rischio ancora maggiore ora con la nuova class action italiana. A ciò si aggiunga che tale contesto avviene quando il costo delle assicurazioni a copertura del rischio cyber sta aumentando notevolmente e richiede di compilare check-list sempre più stringenti.

La soluzione che potrebbe minimizzare il cyber rischio nelle operazioni di M&A esiste però. Per andare incontro con le esigenze dei nostri clienti, abbiamo sviluppato una soluzione che combina le nostre competenze con quelle di altre aziende con cui abbiamo creato una partnership per fornire una soluzione unica. Se volete sapere maggiori informazioni in merito, contattateci.

Su di un simile argomento, il seguente articolo può essere di interesse “Quale responsabilità degli amministratori per un cyberattacco a danno della società?”.