La cyber due diligence nelle operazioni di M&A: alcune riflessioni

1. Il ruolo della cyber due diligence

Un tema rilevante nel panorama attuale delle operazioni di M&A è quello riguardante la sicurezza dei sistemi informatici delle società coinvolte nel deal, al fine di proteggere i dati in essi contenuti, potendosi questi ultimi definire come “linfa vitale delle società e, in molti casi, la loro proprietà intellettuale^[1]” e, pertanto, richiedenti massima tutela.

Alla luce di quanto esposto, assume fondamentale importanza la cyber due diligence, ossia la due diligence informatico/tecnologica, e, per meglio comprendere di che tipologia d’indagine si tratti, si considerino, a titolo introduttivo, le seguenti citazioni, che ne riassumono il fulcro:

• “La Cyber Due Diligence aiuta a valutare accuratamente l’assetto di informazioni e dati posseduti dalla società target e, quindi, l’intero business. Ed essa aiuterà, anche, a preservare quel valore anche in futuro^[2]”.
• “Le vulnerabilità della società target crescono in modo direttamente proporzionale al valore dell’operazione^[3]”.

Lo scopo principale alla base dell’effettuazione della cyber due diligence durante un’operazione di M&A, infatti, è rappresentato dalla necessità, di norma in capo alla società acquirente, di valutare, in riferimento alla società target, l’integrità dei sistemi informatici e la sicurezza dei dati, personali e non, in essi contenuti, essendo la vulnerabilità e le conseguenze da essa derivanti in grado di impattare, talora significativamente, sul deal e, quindi, sulla convenienza dell’investimento.

Particolarmente interessanti, a questo proposito, risultano essere i risultati emergenti da uno studio condotto dalla società di consulenza americana West Monroe Partners nel 2016, da cui si evince che l’80% dei soggetti coinvolti nella ricerca abbia ritenuto la cyber due diligence un elemento di primaria importanza all’interno dell’intera operazione di M&A. Un altro elemento interessante emerso dallo studio in oggetto consiste nel fatto che circa il 40% degli acquirenti abbia affermato di aver rilevato un problema di sicurezza informatica soltanto ad uno stadio avanzato dell’operazione, come conseguenza dell’adozione di standard non adeguati^[4].

 

 

2. Perché effettuare la cyber due diligence: i potenziali impatti di un data breach

Un primo profilo che merita di essere considerato è quello riguardante le implicazioni pratiche, a livello di costi e adempimenti, connesse con un attacco informatico e il conseguente furto dei dati contenuti, c.d. data breach, nei sistemi interessati.

A tal riferimento, potrebbe essere opportuno valutare, tra i vari, gli aspetti di seguito descritti.

In primo luogo, il blocco dei sistemi informatici indurrebbe la società a dover affrontare un’interruzione, più o meno prolungata, del business e dispiegando conseguenze, da un lato, a livello economico e, dall’altro, sulle relazioni commerciali, potendone derivare la perdita di partner commerciale e un danno d’immagine.

In secondo luogo, la società, una volta presa coscienza del data breach, dovrà procedere con precisi adempimenti ai sensi della General Data Protection Regulation 2016/679 (“GDPR”).

Ai sensi dell’art. 33, paragrafo 1 GDPR, qualora la violazione riguardi dati personali[5], sorgerà l’obbligo, in capo al titolare del trattamento dei dati (il “Titolare”), di notificare la violazione all’ autorità competente e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, salvo il caso in cui “sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, la stessa deve corredata dei motivi del ritardo. Nel caso in cui la violazione riguardi dati personali e sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, in base a quanto previsto dall’art. 34, paragrafo 1 GDPR, il Titolare avrà l’obbligo di comunicare la violazione all’interessato “senza ingiustificato ritardo”, mediante una comunicazione che descriva con un “linguaggio semplice e chiaro” la natura della violazione e che contenga, almeno, le seguenti informazioni: a) il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; b) le probabili conseguenze della violazione dei suddetti dati; c) le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione in oggetto e anche, se del caso, per mitigarne i possibili effetti negativi. Sarà dovere del Titolare, infine, procedere con la registrazione della violazione in apposito registro, il quale dovrà contenere, relativamente alla violazione: (i) la data e l’ora in cui è avvenuta; (ii) la sorgente dell’informazione; (iii) le conseguenze (i.e. quantità dei dati personali e degli interessati coinvolti dalla violazione); (iv) la data della notifica all’autorità di controllo e l’eventuale motivo per il quale è stata ritardata o non è stata effettuata; (v) le cause della violazione e, infine (vi) i provvedimenti adottati a seguito della violazione.

In terzo luogo, molto probabilmente, la società si troverà costretta a dover procedere con lo sviluppo di piani di implementazione della sicurezza informatica, o cyber security, dei sistemi operativi, derivandone costi difficilmente trascurabili.

Al fine di comprendere meglio, con un esempio recente, l’importanza di un’accurata effettuazione della cyber due diligence, si rimanda a quanto accaduto, nel 2016, nel corso dell’operazione di acquisizione, da parte di Verizon, del core business di Yahoo.

In particolare, Verizon ha ridotto l’offerta di acquisto di 350 milioni di dollari rispetto al corrispettivo precedentemente concordato, modificando lo stessa da 4,83 a 4,48 miliardi, dopo che Yahoo ha reso pubblica la notizia di aver subito, nel 2013, due attacchi informatici con il relativo furto dei dati di oltre un miliardo di utenti, alcuni dei quali di grande rilevanza istituzionale. I suddetti attacchi informatici si andavano a sommare all’analogo episodio, già di pubblico dominio, avvenuto nel 2014^[6].

 

3. La cyber due diligence sotto il profilo operativo

Quali son i profili d’indagine maggiormente rilevanti per quanto concerne l’articolazione del piano d’azione adottabile dalla società acquirente nell’effettuazione della cyber due diligence?

Innanzitutto, sarebbe opportuno che l’analisi si focalizzasse sui sistemi informatici in dotazione della società target, controllandone, inter alia, il funzionamento, l’eventuale interconnessione, le schede tecniche e il livello di sicurezza.

Un secondo profilo da considerare è quello riguardante l’effettuazione dei Vulnerability Assessment e contestuali Penetration Test, c.d. VA/PT ^[7]. Il Vulnerability Assessment test consiste, a grandi linee, in un processo di scanning del sistema informatico, del software o del network oggetto d’indagine. L’obiettivo è la rilevazione di eventuali lacune e debolezze, le quali potrebbero fungere da veicolo per favorire l’attacco al sistema. Il Penetration Test, invece, si configura come la fase operativamente successiva al controllo delle vulnerabilità e consiste nel tentativo autorizzato di entrare nel sistema informatico analizzato col fine di poterne meglio valutare la sicurezza.

Un terzo elemento da tenere in considerazione è rappresentato dall’analisi degli eventuali attacchi informatici in precedenza subiti dalla società target: l’analisi delle risposte difensive e delle relative lacune, permetterà una migliore strutturazione dei piani volti a porvi rimedio.

Una quarta area di analisi è quella che ricopre i dettagli riguardanti i diritti e dati, personali e non, contenuti nei sistemi informatici, con riferimento, a titolo di esempio, all’indagine riguardante: i diritti di proprietà intellettuale e domini informatici registrati a nome della società target, gli eventuali accordi da essa stipulati con parti terze al fine dell’utilizzo di dati o informazioni confidenziali oppure accordi conclusi con parti terze autorizzanti queste ultime a trattare^[8] tali dati.

Ruolo determinante è rivestito, infine, dall’analisi del livello di compliance, in tema di protezione dei dati personali e gestione dei rischi connessi, rispetto alle normative in vigore, a livello nazionale, internazionale e di settore.

 

4. Conclusioni

Alla luce delle riflessioni sopra esposte, si evince come la sicurezza informatica, la cui valutazione è oggetto della cyber due diligence, assuma una rilevanza per entrambi soggetti coinvolti all’interno di un’operazione di M&A.

Per la società acquirente, di norma parte attiva dell’indagine, è di primario interesse che la società target sia dotata del maggior livello possibile di cyber security o di poter intervenire tempestivamente, qualora la cyber due diligence individui delle lacune, al fine di evitare oneri economici e gestionali non preventivati.

Per la società target, invece, la prova di un elevato livello compliance in riferimento alla sicurezza informatica, si tradurrà in una potenziale Unique Selling Proposition, ossia un elemento del business in grado di contraddistinguerlo rispetto agli altri e di consentirgli la creazione e la sostenibilità di un vantaggio in termini competitivi.  

 

[1]Grant Thorton. Cyber due diligence: protecting M&A value, 19 ottobre 2017, pag. 4.

[2]Ibid., pag. 6.

[3]Aon. (February 2019). 2019 Cyber Security Risk Report – What’s Now and What’s Next. Londra, UK , pag. 14.

[4]S. Curran, M. Sondag, J. Stiffler, “Testing the Defenses: Cybersecurity in Mergers and Acquisitions”, WestMonroe Partners, July 2016, https://www.westmonroepartners.com/Insights/Newsletters/Best-of-the-West-July-2016/MA-Security-Survey. Per effettuare questa ricerca, la West Monroe, insieme con Mergermarket, ha intervistato esperti senior dell’ambito M&A nell’area nord-americana, al fine di fornire una visione in merito alla complessità e agli sviluppi della Cyber Due Diligence nel corso del deal di M&A.

[5] Per “dati personali” si intendono le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica.

[6]S. Fiegerman, “Verizon cuts Yahoo deal price by $350 million”, Cnn Business, February 21, 2017, https://money.cnn.com/2017/02/21/technology/yahoo-verizon-deal/index.html.

• [7]Goel, J.N., & Mehtre, B.M. (2015). Vulnerability Assessment & Penetration Testing as a Cyber Defence Technology. Procedia Computer Science, 57, 710-715.

[8]Per “trattamento dei dati” si intende qualsiasi operazione o complesso di operazioni, effettuati con o senza l’ausilio di strumenti elettronici, in riferimento alla raccolta, alla registrazione, all’organizzazione, alla conservazione, alla consultazione, all’elaborazione, alla modificazione, alla selezione, all’estrazione, al raffronto, all’utilizzo, all’interconnessione, al blocco, alla comunicazione, alla diffusione, alla cancellazione ed alla distruzione di dati, anche e non registrati in una banca di dati.