Le aziende oggetto di fusioni e acquisizioni corrono maggiori rischi legati alla sicurezza informatica rispetto alle imprese non coinvolte nelle medesime operazioni. E dato che le M&A (Mergers and Acquisitions, fusioni e acquisizioni) sono in forte aumento anche a causa della pandemia, si stanno impennando le violazioni di dati ai danni di acquirenti e aziende target.

L’allarme è lanciato da Vaultinum, società leader nella protezione e nell'audit delle risorse digitali, che ricorda come – oltre alla due diligence finanziaria – sia ormai indispensabile un accurato audit software prima dell’acquisizione e fusione. I dati a supporto di questa tesi sono molteplici. Il punto di partenza è che nel primo semestre del 2021 l'Italia ha visto un aumento del 30% delle M&A.

Un’analisi condotta da IBM aggiunge un altro tassello: oltre un dirigente su tre conferma l’avvenuta violazione di dati durante il periodo di integrazione di una fusione/acquisizione. Tecnicamente non è difficile comprendere il meccanismo di base. È noto che le aziende faticano a tenere un inventario digitale aggiornato e accurato. Per il principio basilare secondo cui non si può proteggere ciò che non si sa di avere, ne segue che la mancanza di visibilità sugli asset aumenta l’esposizione al rischio delle aziende.

Questa situazione è rischiosa di per sé, può solo peggiorare in fase di M&A, perché si moltiplicano di fatto le soluzioni di cui non si ha contezza. Oltre tutto in un momento ulteriormente complicato dagli avvicendamenti del personale nei ruoli chiave e dalla necessità di un rapido adeguamento degli asset. Ci si trova insomma a esporre il fianco più del necessario ai cyber attacchi.

Ci sono anche altri rischi, che Vaultimum ricapitola in tre macro categorie: cyber security, data breach e vulnerabilità, open source. Vediamoli nel dettaglio.

Minacce alla sicurezza informatica

Le operazioni di fusione e acquisizione forniscono ai cyber criminali opportunità d’azione sia a breve sia a lungo termine per i motivi indicati sopra. Nel breve termine, proprio mentre le operazioni finanziarie sono in corso, i dati sono più vulnerabili e ad elevato rischio di essere presi d’assalto. Nel lungo termine, le transazioni M&A rappresentano un’opportunità unica per i cyber criminali, che possono infiltrarsi nelle reti sia dell’azienda che acquisisce sia di quella che viene acquisita.

Violazioni di dati e vulnerabilità

L'acquisizione o la fusione di un'impresa con un'azienda di rilevanza minore che mantiene nascosti dati ad alta vulnerabilità può avere impatto sulle operazioni commerciali, sulle relazioni con gli investitori e in definitiva sulla reputazione dell'azienda principale.

Un esempio che chiarisce il tema è quello della fusione fra Verizon e Yahoo!. Durante le trattative per la fusione Verizon rilevò che Yahoo! aveva subito un data leak relativo ai dati personali di almeno 500 milioni di utenti, seguita da una seconda violazione dei dati che aveva compromesso un miliardo di account e rubato le informazioni personali e le credenziali di accesso degli utenti.

Verizon decise di proseguire comunque con l'accordo, ma con una riduzione del prezzo di acquisto di 350 milioni di dollari. Se non fossero emersi i data breach, Verizon avrebbe potuto strapagare Yahoo! e subire danni legali e di reputazione a lungo termine. Ecco un altro motivo per il quale è fondamentale condurre una due diligence tecnologica che evidenzi i rischi o le debolezze delle risorse digitali.

Open source

Le vulnerabilità dei dati nascosti non sono l’unico problema. Se l’azienda in procinto di essere acquisita sviluppa software servendosi di librerie e risorse open source, l'acquirente diventa responsabile dell'uso precedente di OSS da parte dell'acquisita, e di qualsiasi condizione relativa alla sua licenza.

È infatti noto che le licenze OSS sono spesso soggette a restrizioni condizionate, come ad esempio l’obbligo di rendere pubblico tutto o parte del codice o di pagare una tassa per il suo utilizzo. Nell’ambito di una fusione o acquisizione è fondamentale che l’acquirente sia messo al corrente di tutto l’OSS usato dall'azienda da acquisire, perché in caso contrario potrebbe rifiutare l'accordo, ridurne il valore o cambiare i termini.