fusioni e acquisizioni

M&A: come valutare l’impatto economico di rischi cyber e data breach

Ogni iniziativa imprenditoriale reca con sé un livello di rischio cyber. Per valutare in concreto la profittabilità dell’impresa, è necessario determinare (anche) l’impatto finanziario del rischio. Ecco cosa c’è da sapere nel contesto di un’operazione di M&A

Pubblicato il 29 Apr 2021

Giovanna Ianni

Partner League - The Legal Hub IAPP Cipp/E

semplificazione

Le società vengono valutate al giorno d’oggi non solo sulla base degli indici economici e di redditività commerciale ed industriale, ma anche alla luce delle modalità con cui proteggono il proprio patrimonio informativo e del grado di affidabilità loro riconosciuto da clienti e partner in tema di sicurezza informatica.

Il rischio cyber è infatti entrato ormai a pieno titolo tra i top tre rischi di ogni business con la conseguenza che l’implementazione e la gestione di strategie di cybersecurity devono considerarsi tra i principali obiettivi di proper management.

Tutto questo vale anche per le M&A, Mergers&Acquisitions, fusioni e acquisizioni.

“Cyber due diligence” sempre più centrale nelle operazioni M&A: ecco perché e come farla

L’EDPB sulle implicazioni delle concentrazioni per la vita privata

Interessante la posizione assunta dal Garante europeo con riferimento all’intenzione di Google LLC di acquisire Fitbit, Inc. ed al timore che “l’eventuale ulteriore combinazione e accumulo di dati personali sensibili riguardanti le persone in Europa da parte di una grande azienda tecnologica possa comportare un elevato livello di rischio per i diritti fondamentali alla vita privata e alla protezione dei dati personali”. Più precisamente, secondo l’EDPB “è essenziale valutare le implicazioni a lungo termine per la tutela dei diritti economici, dei diritti dei consumatori e dei diritti in materia di protezione dei dati” [2]

Facile comprendere, dunque, che, in assenza della giusta attenzione, la perdita di dati possa comportare una significativa riduzione del valore di una società target ed arrivare a compromettere le negoziazioni su una trattativa di vendita. La crescita esponenziale dei rischi potenziali – legali, finanziari, reputazionali e operativi – derivanti dal grado di compliance alle normative privacy (non solo GDPR), ai sistemi di cybersecurity ed alle comunicazioni di data breach agli interessati ed alle autorità coinvolte, non può essere sottovalutata né dagli imprenditori, né dai rispettivi consulenti nella conduzione di un’operazione di M&A.

La cultura cyber ed il ruolo della leadership in azienda

Un’adeguata gestione e controllo del rischio cyber presuppone la diffusione e la sussistenza di una cultura cyber, in primis, della leadership manageriale: maggior conoscenza delle componenti di rischio, migliore costruzione dei processi decisionali, da attivare nell’ambito di tutti i settori dell’attività di impresa; solo un’analisi degli aspetti di cybersecurity in ogni stream di sviluppo del business può consentire l’assunzione di decisioni consapevoli con un controllato livello di rischio.

Ogni iniziativa imprenditoriale reca con sé un livello di rischio cyber. Per valutare in concreto la profittabilità dell’impresa, è necessario determinare (anche) l’impatto finanziario del rischio, soppesando i vantaggi della digitalizzazione, al netto della quantificazione del costo di eventuali perdite e dei costi intrinseci alla mitigazione degli stessi e al mantenimento di obblighi normativi e di compliance in generale. Solo un management attento a tali tematiche (dunque, “a come evitare, accettare, mitigare o trasferire il rischio”) può costruire un profilo di sicurezza allineato agli obiettivi di business, nell’ambito di tutti processi decisionali facenti capo all’organo amministrativo, che dovrà pertanto essere a conoscenza (ed attivamente coinvolto) nella pianificazione delle attività di ciascun ufficio che abbiano implicazioni di rischio.

M&A – Business as usual?

Solo a partire dal 2017 i temi relativi alla privacy e alla cybersecurity iniziano ad acquisire dignità propria nell’ambito delle procedure di M&A.

Lo scenario cambia prepotentemente nell’ambito di due casi, ormai di scuola: il primo, all’inizio del 2017, relativo all’operazione di acquisizione da parte di Verizon Communications su Yahoo, salita alla ribalta per la sostanziale revisione del prezzo, ridotto dall’importo iniziale 4,83 miliardi di dollari per 350 milioni di dollari, proprio per tenere conto delle massive violazioni (e conseguenti sanzioni e costi) che hanno interessato milioni di account Yahoo, provocati da attacchi hacker occorsi oltre un anno prima la cessione; il secondo, relativo al data breach subito dalla catena alberghiera Marriott International (successivamente all’acquisizione della catena Starwood), per aver “compromesso” oltre 500 milioni di nominativi di clienti; in relazione a quest’ultimo incidente, il garante privacy UK (Information Commissioner’s Office – ICO) sanzionò Marriott per il fatto che questa non avesse (colpevolmente) svolto un’adeguata attività preliminare di due diligence: “Marriott failed to undertake sufficient due diligence when it bought Starwood and should also have done more to secure its systems” …. Inoltre, precisava nel suo comunicato che: “…The GDPR makes it clear that organisations must be accountable for the personal data they hold. This can include carrying out proper due diligence when making a corporate acquisition, and putting in place proper accountability measures to assess not only what personal data has been acquired, but also how it is protected. Personal data has a real value so organisations have a legal duty to ensure its security, just like they would do with any other asset. If that doesn’t happen, we will not hesitate to take strong action when necessary to protect the rights of the public”.[3]

Sempre l’ICO, nel dicembre 2020 ha pubblicato la versione aggiornata del Data Sharing Code of Practice[4], affermando, tra l’altro, che se un’operazione di fusione, acquisizione o di cambiamento della struttura societaria comporta un trasferimento di dati ad un altro titolare, l’area privacy deve essere parte del processo di due diligence, al fine di identificare innanzitutto le finalità per le quali i dati sono stati originariamente acquisiti, le relative basi giuridiche e se le stesse possano essere oggetto di modificazione successivamente al compimento dell’operazione di M&A. [5]

Prevenire è meglio che curare: la mitigazione dei rischi

Come valutare l’impatto economico dei rischi cyber e di data breach sulla fattibilità ed economicità di un’operazione di M&A?

Partendo dal concetto di Privacy by Design: la tutela degli asset e dei valori aziendali non si ottiene contrastando gli attacchi di cyber security all’ultimo minuto (in pratica, chiudendo il cancello quando i buoi sono già scappati), ma adottando sistemi e processi di controllo di risk management interni, oltrechè costruendo appropriate procedure di data breach. Va costruito ed attuato l’intero impianto difensivo” -normativo e tecnologico – valutandone il grado di adeguatezza rispetto ai dati trattati ed alla sensibilità ambientale in cui la società opera.

Le società che hanno diligentemente e proattivamente implementato un modello organizzativo privacy in linea con le prescrizioni del GDPR dovrebbero farsi valere (e riconoscere) sul mercato. Un’azienda che abbia davvero implementato un sistema di privacy by design, ridisegnato i propri processi organizzativi e effettivamente adottato un modello organizzativo privacy (anche per il futuro), deve far emergere questo valore aggiunto e tendere alla definizione di un più alto enterprise value.

Per converso, le imprese che non hanno portato avanti il processo di adeguamento al GDPR, considerandolo un mero onere e non un’opportunità, anche di business, potrebbero rappresentare delle vere e proprie bombe ad orologeria per gli investitori che le abbiano inserite nel proprio portfolio di acquisizione.

Sul sell-side le società, che intendono offrirsi sul mercato, devono prepararsi in anticipo, rivedendo e sistemando tutta la compliance ed i sistemi di sicurezza, preparandosi ad inevitabili disclosure su eventi a rischio occorsi nel passato, ma fonti potenziali di richieste di indennizzo e manleva post-acquisizione. Meglio affrontare la discussione in sede di negoziazione contrattuale, piuttosto che subire e gestire a posteriori complessi procedimenti (anche giudiziari o arbitrali) per risarcimento danni. Un check-up preventivo (sullo stato di salute dell’azienda) non è mai una cattiva idea.

Sul buy-side, le investigazioni di due diligence non devono limitarsi ai meri aspetti di compliance legale, ma estendersi anche alla sicurezza tecnologica; il team dei professionisti dovrebbe quindi includere anche specialisti IT ed adottare sistemi e piattaforme certificate di gestione dei dati.

Diventa, dunque, imperativo per un acquirente:

  • Identificare i rischi privacy e cyber tenendo conto del settore industriale, l’area geografica, la natura dei beni e servizi prodotti,
  • Conoscere l’architettura ed il flusso dei dati personali all’interno ed all’esterno della società target; il luogo e le modalità di conservazione degli stessi,
  • Conoscere le finalità del trattamento dei dati e le categorie dei dati personali utilizzati,
  • Verificare le basi giuridiche dei trattamenti, con particolare riferimento alla gestione dei consensi ed alla loro conservazione
  • Rivedere le clausole di gestione della privacy nell’ambito dei rapporti contrattuali con clienti, fornitori e tutti i player con cui si relazione la target;
  • Verificare e valutare l’adeguatezza delle procedure e degli standard di sicurezza, le misure di sicurezza, i piani di risposta agli incidenti, l’adozione di valutazioni d’impatto (DPIA), di policy e regolamenti interni,
  • Accertare l’esistenza di un modello organizzativo privacy,
  • Stimare l’impatto (anche finanziario) di possibili responsabilità residuali successive all’acquisizione e l’eventuale risarcimento di danni (non patrimoniali) nel caso di trattamenti illeciti dei dati (danni per mera violazione delle previsioni normative? Danni derivanti da un concreto pregiudizio di diritti individuali e giuridicamente tutelati?).

L’evoluzione del mercato di M&A e l’impatto della componente cyber

Le operazioni di acquisizione consentono alle aziende di effettuare un percorso di crescita per via esterna, sia per società solide finanziariamente e con strategie di crescita già pianificate, che per quelle in condizioni più critiche e giunte impreparate ad affrontare lo shock pandemico del 2020. Basti dire, che secondo gli indici di analisi più diffusi, nel 2020 le operazioni globali di M&A sono state in rialzo del 33% rispetto all’anno precedente. Tra i settori in cui le transazioni sono state più numerose (e continueranno ad esserlo nei prossimi anni), quello dei servizi nella digitalizzazione: la pandemia ha dato, infatti, una forte accelerata alla crescita di molte aziende tecnologiche, in particolare nel settore dell’IA, dei sistemi di sicurezza informatica e crittografia, della conservazione digitale di documenti ed informazioni in genere. Un secondo segmento in fortissima evoluzione è quello dei media e delle telecomunicazioni, per il decrescere dei servizi via cavo; seguono a breve distanza, i settori farmaceutico ed energie rinnovabili.

Secondo il Global Innovation Index 2020 “the COVID-19 crisis hit the innovation landscape at a time when innovation was flourishing”. Secondo gli autori, alla domanda ‘who will finance innovation?’, la risposta è stata “with emergency relief measures not directly targeted at financing innovation – with the exception of health – the report calls for support for innovation to broaden out, once the pandemic is under control. [1]

Sembra essere, dunque, di cruciale importanza che l’innovazione diventi il vero driver per sostenere l’economia in ogni settore di business e che a tale scopo tutti i player – pubblici e privati – facciano la loro parte. E d’altra parte, proprio i settori digital, IA, sicurezza, telecomunicazioni e farmaceutico sono quelli in cui il volume dei dati personali trattati e gestiti è particolarmente rilevante. Infatti, corrispondentemente all’aumento del numero complessivo di transazioni M&A, si è verificato anche un incremento dei volumi e dei costi derivanti da data breach post-transazione. Insomma, la sicurezza dei dati deve entrare nel “radar di attenzione” degli investitori, delle target e dei rispettivi consulenti.

Non c’è vera innovazione, se non c’è garanzia di sicurezza informatica e di tutela delle informazioni e soprattutto dei dati personali degli individui. Finalmente, si assiste ad una crescente consapevolezza degli effetti degli attacchi informatici, anche da parte dell’“uomo della strada”, soprattutto per effetto dell’incremento dello smart working: si parla sempre più spesso di informazioni compromesse da attacchi di ransomware, di phishing email, del furto di dati o della pubblicazione dolosa di informazioni sensitive.

La valorizzazione delle aziende e le strategie di cybersecurity

Il processo di valutazione di un’impresa parte dall’identificazione dei principali driver del business ed è caratterizzato da una complessità nell’applicazione di principi standard, italiani ed internazionali. Tra metodologie finanziarie, patrimoniali e best practice, quali che siano applicate, gli analisti devono giungere a un giudizio di valutazione che tenga conto sia delle caratteristiche operative dell’azienda (market approach) e delle dinamiche che la stessa avrà nel futuro (income approach), sia dei costi prevedibili e non (“cost approach”), oltre che delle leve di mercato in grado di creare nuove opportunità e maggior valore.

Non sempre il mercato è in grado di riflettere il “vero” valore delle imprese, sia per effetto degli attuali tempi di crisi, sia perché – causa e in conseguenza della crisi pandemica – la spinta ad accelerare i processi di digitalizzazione (già in moto da qualche anno), ha messo ulteriore pressione sulle aziende di tutto il mondo, che si sono viste costrette ad effettuare radicali cambiamenti nei propri modelli di business, fondamentalmente re-immaginando lo svolgimento della propria attività.

È noto che le società, che gestiscono i rischi connessi al proprio business, necessitano di salde fondamenta di governance per operare con successo sul mercato. Allora, si deve passare al risk-based approach.

La crescita globale dell’importanza del “digital footprint” e la sua corretta valorizzazione in termini economico-finanziari ha reso il tema della governance dei cyber risk una ineludibile priorità. L’elenco dei rischi con cui ogni azienda deve confrontarsi non include più, dunque, solo i rischi industriali, commerciali, ambientali, sociali, tributari, finanziari, normativi, ecc., ma anche quelli inerenti al governo della sicurezza delle informazioni.

Note

  1. https://www.wipo.int/global_innovation_index/en/2020/
  2. https://edpb.europa.eu/our-work-tools/our-documents/autre/statement-edpb-data-protection-impacts-economic-concentration_it.
  3. https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/
  4. https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/12/ico-publishes-new-data-sharing-code-of-practice/
  5. https://ico.org.uk/for-organisations/data-sharing-a-code-of-practice/due-diligence/ : “How does data sharing apply to mergers and acquisitions? Data sharing considerations may become a priority when a merger or acquisition or other change in organisational structure means that you have to transfer data to a different organisation. For example, as part of a takeover; or on insolvency, data might be sold as an asset to a different legal personality. You must take care if, as a result of the changes, there is a change in the controller of the data, or if the data is being shared with an additional controller. This is the case whether you are the sharing or recipient controller. You might be an insolvency practitioner or other adviser taking the role of controller for the time being, or advising a different controller. You need to:• ensure that you consider the data sharing as part of the due diligence you carry out;• follow this data sharing code;• establish what data you are transferring;

    • identify the purposes for which the data was originally obtained;

    • establish your lawful basis for sharing the data;

    • ensure you comply with the data processing principles – especially lawfulness, fairness and transparency to start with;

    • document the data sharing;

    • seek technical advice before sharing data where different systems are involved: there is a potential security risk that could result in the loss, corruption or degradation of the data; and

    • consider when and how you will inform data subjects about what is happening. Under the GDPR you are required to keep individual data subjects informed about certain changes relating to the processing of their data, and they may have a right to object. Please see the guidance on individual rights on the ICO website. The same considerations may apply in reverse to the controller receiving the data.”

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

Avvocato civilista, la cassetta degli attrezzi digitali: cosa serve a uno studio legale