M&A e Cybersecurity: 45mila deal al test del Cyber rischio.

Ci sono almeno due sensi in cui la delicatezza delle operazioni di M&A ha a che fare con la sicurezza informatica ed entrambi sono ormai considerati determinanti per la buona riuscita del deal. Nel primo senso, il focus riguarda le best practices per strutturare il processo di acquisizione: le piattaforme e gli strumenti informatici per scambiare informazioni e dati nel negoziato, i dati sensibili messi a disposizione, la policy sugli accessi a questi dati. Il tutto avendo ben presente che i dati sono uno dei patrimoni, degli asset delle aziende. Nel secondo senso invece, a diventare centrali sono le valutazioni sul livello di cybersecurity dell’azienda target e su quali siano i rischi di data breach per il nuovo business che si vuole acquisire. Per rispondere a queste domande bisogna spesso far ricorso a una “cyber due diligence” che, accanto alle analisi finanziarie, industriali e commerciali, accenda un faro sui rischi nella gestione dei dati e nella sicurezza informatica. La rilevanza di una cyber due diligence è divenuta chiara a tutti tre anni fa, quando Verizon abbassò di 350 milioni di dollari la propria offerta per acquistare il core business di Yahoo dopo due massicci attacchi informatici subiti dal motore di ricerca americano.

Nel 2019 le operazioni di fusioni&acquisizioni a livello globale sono state 50mila, a fronte delle oltre 52mila dell’anno precedente, per un valore complessivo – calcolato da Imaa Institute – di circa 3700 miliardi di dollari (-10% rispetto al 2018). L’Europa ha rappresentato più di un quarto delle operazioni in valore, cioè circa mille miliardi di dollari, e un terzo in volume: in entrambi i casi c’è stato un leggero calo. L’Italia è stata deludente:  mille operazioni, come nel 2018, ma per meno di 38 miliardi di euro (-60%), secondo Kpmg, con la vendita di Magneti Marelli ai giapponesi di CK Holdings a rappresentare il più importante big deal dell’anno (5,8 miliardi).

Il 2020 è partito lentamente ma, prima del completo cambio di scenario dovuto alla pandemia Covid-19, avrebbe potuto rappresentare il settimo anno consecutivo con un controvalore complessivo delle operazioni superiore ai 3mila miliardi di dollari. Le prime statistiche, dopo un trimestre “affondato” dal lockdown in molti Paesi chiave, parlano chiaro: secondo i dati raccolti da Refitiniv, negli Stati Uniti il numero di operazioni di aggregazione è sceso del 9% nel periodo gennaio-marzo, ma soprattutto il controvalore complessivo si è dimezzato a 250 miliardi di dollari. A livello globale la contrazione in termini di valore è stata del 28% nel stesso periodo per un controvalore di 700 miliardi. Superato lo stop forzato, dicono gli esperti del mondo bancario e dei fondi di investimento, l’M&A tradizionale potrebbe comunque lasciar spazio a una grande quantità di operazioni di salvataggio, ristrutturazione o di nazionalizzazione in parte conseguenza della necessità di ricostruire interi settori industriali sconvolti dall’impatto del coronavirus (si pensi al settore viaggi-trasporti), in parte conseguenza della volontà dei governi nazionali di mettere in sicurezza i rispettivi “campioni” dell’industria o dei servizi.

Anche in uno scenario mutato, si prospetta che possa proseguire con forza il trend di crescita degli strumenti tecnologici e informatici utilizzati nelle transazioni, a cominciare dalle Virtual data Room: alcuni studi assegnano già al mercato delle VDR un valore globale già superiore al miliardo di dollari e con potenzialità di crescita in doppia cifra nei prossimi dieci anni. L’elevato ritmo di sviluppo restituisce la centralità che queste soluzioni stanno assumendo quando le aziende, i private equity o altri investitori professionali - insieme al loro nutrito seguito di advisor - esaminano e trattano un’acquisizione. Da una parte, per la necessità operativa di lavorare in modo efficiente, approfondito e multilaterale a documenti, proiezioni, contratti. Dall’altra, perché proprio la fase del negoziato, a partire dalla data room aperta per raccogliere le manifestazioni di interesse in caso di processi competitivi, nasconde delle insidie per la gestione dei dati: di fatto espone aspetti sensibili dell’organizzazione, cioè le sue informazioni, al rischio di una violazione e rappresenta un test importante delle buone pratiche dell’azienda.

Anche il provider scelto per fornire soluzioni digitali di VDR a supporto delle operazioni di M&A assume un ruolo centrale se si hanno ben chiari gli obiettivi da raggiungere e i rischi da voler evitare. Se per i clienti, nelle fusioni e acquisizioni dove si gestisce e si condivide una mole enorme di documenti sensibili, è rilevante disporre da parte del provider di maggiori garanzie di affidabilità e resilienza rispetto alla sicurezza e al controllo dei dati; per i provider, aver puntato su certificazioni e accreditamenti specifici sui sistemi di gestione sicura delle informazioni e riconosciuti a livello internazionale, fa decisamente la differenza. Sapere per tempo se il provider disponga o meno di server proprietari e sapere dove siano localizzati geograficamente è, insieme alla disponibilità di Business Continuity e Disaster Recovery vicine al tempo reale, si rivela essere un'altra informazione strategica da avere.

L’altro aspetto di sicurezza informatica legato all’M&A coinvolge non tanto le modalità del processo di acquisizione quanto i suoi contenuti: un rapporto Pwc intitolato “Quando il cyber minaccia l’M&A” cita una indagine Donnelley Financial Solutions/Mergermarket per affermare che l’80% dei deal-makers a livello globale si è trovato davanti a un imprevisto nella sicurezza dei dati almeno in una operazione su 4 tra quelle negoziate nel biennio 2015-17. Se il caso Verizon-Yahoo ha del clamoroso, è sbagliato pensare che questi rischi riguardino solo le aggregazioni tra gruppi tecnologici. Un altro esempio eclatante è stata l’acquisizione degli Starwood Hotels da parte di Marriott: quest’ultimo, dopo aver rilevato il concorrente nel 2016, ha dovuto poi fare i conti con la scoperta di un furto di informazioni sensibili appartenenti a 500 milioni di clienti Starwood iniziato nel 2014 e durato fino al 2018. L’analisi del grado di protezione di un business ai data breach e dell’impatto che un evento può avere sull’azienda target può modificare anche sensibilmente la valutazione di un asset oltre a permettere di considerare in modo corretto le sinergie tra le due aziende a partire proprio da quelle cyber. Quanto la diversità di sistemi e di protocolli usati può rallentare l’integrazione delle due attività una volta avvenuto il merger e aggiungere costi non preventivati nel piano industriale?

© Radiocor