Quali rischi tecnologici presentano fusioni e acquisizioni?
Oltre ad una due diligence finanziaria, prima di effettuare una fusione o un’acquisizione è necessario svolgere una verifica dei rischi tecnologici.
Il numero di fusioni e acquisizioni (M&A, per la sigla in inglese) continua a crescere. Secondo i dati dell’ultimo rapporto trimestrale del TTR, nei primi mesi del 2021 sono state effettuate 1.951 transazioni di M&A in Spagna, un +22% rispetto allo stesso periodo dell’anno precedente. Il settore tecnologico è stato il secondo per numero di operazioni registrate (379 transazioni, +31% anno su anno), e solo di poco sotto il settore immobiliare (382 operazioni).
La realizzazione di una due diligence finanziaria è cruciale per operazioni di questo tipo poiché serve a valutare la situazione degli attivi economici e finanziari delle aziende coinvolte. Inoltre, le società dovranno sottoporsi anche ad un processo di audit che analizzi i possibili rischi tecnologici.
Uno dei principali rischi tecnologici che si trovano ad affrontare le imprese coinvolte in questo tipo di transazione sono le minacce informatiche. Stando a quanto afferma Vaultinum, azienda specializzata nella tutela di asset digitali, le operazioni di M&A sono terreno fertile per i criminali informatici poiché offrono opportunità a breve e lungo termine.
“Sul breve termine, una volta che le operazioni aziendali sono in fase di transizione, i dati sono più vulnerabili e hanno maggiori probabilità di essere oggetto di attacchi. Sul lungo termine, le operazioni di M&A rappresentano un’eccellente opportunità per insinuarsi nella rete della società oggetto di fusione o di acquisizione”, precisa l’azienda. Pertanto, si raccomanda di effettuare una due diligence del software durante la fase preparatoria all’acquisizione per rilevare possibili vulnerabilità.
Inoltre, la Vaultinum osserva che “acquisire o fondersi con una società che presenta vulnerabilità di dati nascosti potrebbe ripercuotersi sulle operazioni di business, sulle relazioni con gli investitori e sulla reputazione della società principale”. Ad esempio, durante le negoziazioni per la fusione tra Verizon e Yahoo nel 2017, è emerso che Yahoo aveva subìto due importanti violazioni di dati.
Verizon comunque decide di proseguire con l’operazione, ma a questo punto il prezzo di acquisto era sceso a 350 milioni di dollari e viene concordato di condividere la responsabilità legale per queste violazioni di dati.
La Vaultinum pone in evidenza il fatto che ogni violazione della cibersicurezza comporta un triplice rischio: 1) l’interruzione dell’attività economica, 2) il furto di dati e 3) una possibile richiesta di riscatto. Ciascuno di questi tre aspetti presuppone conseguenze economiche e di reputazione. Inoltre, in caso di violazione dei dati personali, la società che ne è colpita dovrà sostenere pesanti multe se si accerta che non rispetta gli standard e le norme previste dal GDPR.
Per questo motivo, è bene effettuare una due diligence tecnologica che possa valutare se l’azienda disponga degli strumenti adeguati a proteggersi e che possa rilevare possibili rischi tecnologici o punti deboli degli asset digitali.
Infine, la Vaultinum suggerisce di valutare i rischi collegati con i software open source (OSS), soprattutto durante le operazioni di M&A in cui il software dell’impresa oggetto dell’acquisizione è un asset importante della transazione. “Gli sviluppatori software spesso fanno affidamento su repository di codici aperti accessibili da siti come GitHub o Stack Exchange. Tuttavia, è bene ricordare che le licenze per i OSS di solito sono cedute con restrizioni. Pertanto, utilizzando i OSS per creare prodotti derivati o legando il codice sorgente al OSS, gli sviluppatori rimangono vincolati a queste restrizioni che possono comportare la pubblicazione dell’intero o di una parte del codice o il pagamento di una quota per l’uso”, puntualizza la stessa società.
“Una volta che la società acquirente e quella oggetto dell’acquisizione diventano un’unica entità, mediante fusione o acquisizione, la parte acquirente diventa il responsabile per l’utilizzo precedente del OSS da parte della società acquisita e ne assume anche i relativi vincoli di licenza. I costi legali e finanziari di una mancata due diligence completa del software sono chiari in questo caso: se la società acquirente effettua una due diligence approfondita in fase preparatoria e rilevasse eventuali OSS nascosti nel software della società da acquisire, potrà abbandonare l’accordo per intero o, alternativamente, potrà ridurne il valore e/o modificarne le condizioni”, sottolinea la Vaultinum.