Il rischio cyberattacco? C’è anche nell’m&a
Poco più di un anno fa Yahoo, la nota internet company un tempo fra i big della tecnologia, aveva comunicato al mercato di aver subito due maxi-cyberattacchi tra il 2013 e il 2014 attraverso i quali sono stati trafugati nel complesso i dati di tutti i 3 miliardi di account sulla piattaforma (inizialmente si era parlato di un miliardo), uno dei più grandi data breach di sempre. Poco dopo la notizia dei cyberattacchi, Verizon, che era in trattative per l’acquisizione della società, aveva rinegoziato l’accordo con Yahoo, gravemente colpita anche nella reputazione e la transazione si era chiusa a 4,48 miliardi di dollari anziché i 4,8 miliardi inizialmente proposti, ma è servito poco ad ammortizzare la successiva drastica perdita di valore della target.
La storia di Verizon e Yahoo è un chiaro esempio di come anche in fase di m&a la cybersecurity non possa essere un elemento da sottovalutare. «Ci sono moltissimi esempi come questo, casi di acquisizioni di società che solo successivamente scoprono di essere state vittime di un attacco hacker», spiega in questa intervista a MAG Marco Bavazzano (nella foto), amministratore delegato di Axitea, global security provider italiano per la sicurezza fisica e informatica. «Dall’oggi al domani un’azienda può quindi avere un valore significativamente diverso rispetto, ad esempio, a quando è stata acquistata».
Si tratta di temi che Axitea conosce bene. La società, acquisita da Stirling Square Capital Partners nel 2008 in un momento di crisi e oggi pienamente operativa e in bonis con 26 sedi e 30mila clienti tra Italia ed estero, si occupa proprio di proporre «servizi di sicurezza integrata che coprono sia rischi di tipo fisico sia rischi informatici – spiega Bavazzano -. Non ci limitiamo a dare al cliente una soluzione ma ci preoccupiamo di gestirla». Di recente la società ha annunciato un accordo con il Team Alfa Romeo Sauber F1 e come global security partner fornirà servizi di cybersecurity volti alla protezione degli asset digitali, elemento fondamentale nella strategia aziendale e per le corse.
La possibilità di subire o meno un attacco informatico, dunque, c’è in più settori e andrebbe valutata sempre. Tanto più che in generale, osserva l’ad, «il cybercrime è un business in forte crescita e a oggi si stima valga due o tre volte quello del narcotraffico».
Per dare qualche cifra, nel primo semestre 2018, secondo quanto riportato dal Rapporto Clusit 2018, la media degli attacchi al mese in Italia è stata di 122 (erano 94 nel 2017) con un picco nel mese di febbraio dove ne sono stati rilevati 139, con danni stimabili per una media di 11,7 milioni di dollari.
«Con il cybercrime si può arrivare addirittura alla compromissione totale dell’operatività dell’azienda e a oggi il 70% per cento delle imprese italiane con meno di cento dipendenti sono state già oggetto di attacchi», osserva.
Dottor Bavazzano, considerando quali sono i rischi cyber in un’operazione di m&a, cosa si dovrebbe fare secondo lei per contrastarli?
È bene evidenziare innanzitutto che il rischio principale riguarda la valutazione della società target. Scoprire dopo l’acquisizione che questa è esposta ad attacchi cyber, o ne è stata già oggetto, porta a una diminuzione del valore della società acquisita e quindi una significativa perdita per l’acquirente. Per arginare il rischio occorre iniziare a valutare questi aspetti in fase di due diligence così come si fa con il rischio reputazionale o quello operativo. Bisogna quindi vedere se c’è stata una compromissione se c’è un rischio futuro e valutare il livello di protezione dei dati e di sicurezza informatica.
Non sembra molto semplice…
No, affatto: è una valutazione molto complessa che richiede una mappatura degli asset digitali nonché una misura delle modalità di protezione e sui loro costi attraverso strumenti che forniscano parametri oggettivi.
Come dovrebbero comportarsi dunque le società finanziarie come banche e private equity?
In fase di due diligence suggerirei un approccio sulla base del target, considerando una valutazione più o meno estesa dei rischi. Si tratta di attività che dal punto di vista economico, e anche di tempi, incide in maniera poco significativa considerando il rischio che si corre.
E se si trovano delle carenze nella protezione dei dati o nel sistema come ci si può comportare?
In questo caso si può negoziare sul prezzo, introdurre delle clausole per tutelarsi da eventuali attacchi che avvengono post acquisizione o stipulare polizze ad hoc. Ciò che conta è essere consapevoli dei determinati rischi e poter agire di conseguenza.
È sufficiente la due diligence?
In fase di acquisizione si, ma poi è necessario svolgere attività di monitoraggio continuo e proattivo della sicurezza. Quello che noi facciamo è controllare quotidianamente i dati e gli eventi, li analizziamo e li compariamo attraverso particolari piattaforme, in modo da capire subito se un attacco è in corso.
Come avvengono questi attacchi?
In molti modi. Possono avvenire attraverso pishing o malware, cioè virus intenzionali sempre più sofisticati. Ad esempio i ransomware sono sistemi che cifrano i dati del dispositivo che infettano richiedendo un riscatto da pagare per rimuovere la limitazione. Questi virus possono entrare direttamente in azienda anche attraverso punti deboli della supply chain, fra i quali, abbiamo visto in un caso recente, anche gli studi legali. È bene poi ricordare che le minacce non sono solo digitali ma anche fisiche: qualcuno può introdursi in azienda e appropriarsi fisicamente dei dati. Sembra incredibile ma succede molto spesso. I rischi vanno dunque valutati a 360 gradi.
Ci sono altri rischi cyber nelle operazioni di m&a oltre alla svalutazione della target?…
PER CONTINUARE LA LETTURA SCARICA GRATIS L’ULTIMO NUMERO DI MAG
