fusioni e acquisizioni

M&A: come valutare l’impatto economico di rischi cyber e data breach

Ogni iniziativa imprenditoriale reca con sé un livello di rischio cyber. Per valutare in concreto la profittabilità dell’impresa, è necessario determinare (anche) l’impatto finanziario del rischio. Ecco cosa c’è da sapere nel contesto di un’operazione di M&A

29 Apr 2021
Giovanna Ianni

Partner League - The Legal Hub IAPP Cipp/E

semplificazione

Le società vengono valutate al giorno d’oggi non solo sulla base degli indici economici e di redditività commerciale ed industriale, ma anche alla luce delle modalità con cui proteggono il proprio patrimonio informativo e del grado di affidabilità loro riconosciuto da clienti e partner in tema di sicurezza informatica.

Il rischio cyber è infatti entrato ormai a pieno titolo tra i top tre rischi di ogni business con la conseguenza che l’implementazione e la gestione di strategie di cybersecurity devono considerarsi tra i principali obiettivi di proper management.

Tutto questo vale anche per le M&A, Mergers&Acquisitions, fusioni e acquisizioni.

“Cyber due diligence” sempre più centrale nelle operazioni M&A: ecco perché e come farla

L’EDPB sulle implicazioni delle concentrazioni per la vita privata

Interessante la posizione assunta dal Garante europeo con riferimento all’intenzione di Google LLC di acquisire Fitbit, Inc. ed al timore che “l’eventuale ulteriore combinazione e accumulo di dati personali sensibili riguardanti le persone in Europa da parte di una grande azienda tecnologica possa comportare un elevato livello di rischio per i diritti fondamentali alla vita privata e alla protezione dei dati personali”. Più precisamente, secondo l’EDPB “è essenziale valutare le implicazioni a lungo termine per la tutela dei diritti economici, dei diritti dei consumatori e dei diritti in materia di protezione dei dati” [2]

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

Facile comprendere, dunque, che, in assenza della giusta attenzione, la perdita di dati possa comportare una significativa riduzione del valore di una società target ed arrivare a compromettere le negoziazioni su una trattativa di vendita. La crescita esponenziale dei rischi potenziali – legali, finanziari, reputazionali e operativi – derivanti dal grado di compliance alle normative privacy (non solo GDPR), ai sistemi di cybersecurity ed alle comunicazioni di data breach agli interessati ed alle autorità coinvolte, non può essere sottovalutata né dagli imprenditori, né dai rispettivi consulenti nella conduzione di un’operazione di M&A.

M&A – Business as usual?

Solo a partire dal 2017 i temi relativi alla privacy e alla cybersecurity iniziano ad acquisire dignità propria nell’ambito delle procedure di M&A.

Lo scenario cambia prepotentemente nell’ambito di due casi, ormai di scuola: il primo, all’inizio del 2017, relativo all’operazione di acquisizione da parte di Verizon Communications su Yahoo, salita alla ribalta per la sostanziale revisione del prezzo, ridotto dall’importo iniziale 4,83 miliardi di dollari per 350 milioni di dollari, proprio per tenere conto delle massive violazioni (e conseguenti sanzioni e costi) che hanno interessato milioni di account Yahoo, provocati da attacchi hacker occorsi oltre un anno prima la cessione; il secondo, relativo al data breach subito dalla catena alberghiera Marriott International (successivamente all’acquisizione della catena Starwood), per aver “compromesso” oltre 500 milioni di nominativi di clienti; in relazione a quest’ultimo incidente, il garante privacy UK (Information Commissioner’s Office – ICO) sanzionò Marriott per il fatto che questa non avesse (colpevolmente) svolto un’adeguata attività preliminare di due diligence: “Marriott failed to undertake sufficient due diligence when it bought Starwood and should also have done more to secure its systems” …. Inoltre, precisava nel suo comunicato che: “…The GDPR makes it clear that organisations must be accountable for the personal data they hold. This can include carrying out proper due diligence when making a corporate acquisition, and putting in place proper accountability measures to assess not only what personal data has been acquired, but also how it is protected. Personal data has a real value so organisations have a legal duty to ensure its security, just like they would do with any other asset. If that doesn’t happen, we will not hesitate to take strong action when necessary to protect the rights of the public”.[3]

Sempre l’ICO, nel dicembre 2020 ha pubblicato la versione aggiornata del Data Sharing Code of Practice[4], affermando, tra l’altro, che se un’operazione di fusione, acquisizione o di cambiamento della struttura societaria comporta un trasferimento di dati ad un altro titolare, l’area privacy deve essere parte del processo di due diligence, al fine di identificare innanzitutto le finalità per le quali i dati sono stati originariamente acquisiti, le relative basi giuridiche e se le stesse possano essere oggetto di modificazione successivamente al compimento dell’operazione di M&A. [5]

Prevenire è meglio che curare: la mitigazione dei rischi

Come valutare l’impatto economico dei rischi cyber e di data breach sulla fattibilità ed economicità di un’operazione di M&A?

Partendo dal concetto di Privacy by Design: la tutela degli asset e dei valori aziendali non si ottiene contrastando gli attacchi di cyber security all’ultimo minuto (in pratica, chiudendo il cancello quando i buoi sono già scappati), ma adottando sistemi e processi di controllo di risk management interni, oltrechè costruendo appropriate procedure di data breach. Va costruito ed attuato l’intero impianto difensivo” -normativo e tecnologico – valutandone il grado di adeguatezza rispetto ai dati trattati ed alla sensibilità ambientale in cui la società opera.

Le società che hanno diligentemente e proattivamente implementato un modello organizzativo privacy in linea con le prescrizioni del GDPR dovrebbero farsi valere (e riconoscere) sul mercato. Un’azienda che abbia davvero implementato un sistema di privacy by design, ridisegnato i propri processi organizzativi e effettivamente adottato un modello organizzativo privacy (anche per il futuro), deve far emergere questo valore aggiunto e tendere alla definizione di un più alto enterprise value.

Per converso, le imprese che non hanno portato avanti il processo di adeguamento al GDPR, considerandolo un mero onere e non un’opportunità, anche di business, potrebbero rappresentare delle vere e proprie bombe ad orologeria per gli investitori che le abbiano inserite nel proprio portfolio di acquisizione.

Sul sell-side le società, che intendono offrirsi sul mercato, devono prepararsi in anticipo, rivedendo e sistemando tutta la compliance ed i sistemi di sicurezza, preparandosi ad inevitabili disclosure su eventi a rischio occorsi nel passato, ma fonti potenziali di richieste di indennizzo e manleva post-acquisizione. Meglio affrontare la discussione in sede di negoziazione contrattuale, piuttosto che subire e gestire a posteriori complessi procedimenti (anche giudiziari o arbitrali) per risarcimento danni. Un check-up preventivo (sullo stato di salute dell’azienda) non è mai una cattiva idea.

Sul buy-side, le investigazioni di due diligence non devono limitarsi ai meri aspetti di compliance legale, ma estendersi anche alla sicurezza tecnologica; il team dei professionisti dovrebbe quindi includere anche specialisti IT ed adottare sistemi e piattaforme certificate di gestione dei dati.

Diventa, dunque, imperativo per un acquirente:

  • Identificare i rischi privacy e cyber tenendo conto del settore industriale, l’area geografica, la natura dei beni e servizi prodotti,
  • Conoscere l’architettura ed il flusso dei dati personali all’interno ed all’esterno della società target; il luogo e le modalità di conservazione degli stessi,
  • Conoscere le finalità del trattamento dei dati e le categorie dei dati personali utilizzati,
  • Verificare le basi giuridiche dei trattamenti, con particolare riferimento alla gestione dei consensi ed alla loro conservazione
  • Rivedere le clausole di gestione della privacy nell’ambito dei rapporti contrattuali con clienti, fornitori e tutti i player con cui si relazione la target;
  • Verificare e valutare l’adeguatezza delle procedure e degli standard di sicurezza, le misure di sicurezza, i piani di risposta agli incidenti, l’adozione di valutazioni d’impatto (DPIA), di policy e regolamenti interni,
  • Accertare l’esistenza di un modello organizzativo privacy,
  • Stimare l’impatto (anche finanziario) di possibili responsabilità residuali successive all’acquisizione e l’eventuale risarcimento di danni (non patrimoniali) nel caso di trattamenti illeciti dei dati (danni per mera violazione delle previsioni normative? Danni derivanti da un concreto pregiudizio di diritti individuali e giuridicamente tutelati?).

Note

  1. https://www.wipo.int/global_innovation_index/en/2020/
  2. https://edpb.europa.eu/our-work-tools/our-documents/autre/statement-edpb-data-protection-impacts-economic-concentration_it.
  3. https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/statement-intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/
  4. https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/12/ico-publishes-new-data-sharing-code-of-practice/
  5. https://ico.org.uk/for-organisations/data-sharing-a-code-of-practice/due-diligence/ : “How does data sharing apply to mergers and acquisitions? Data sharing considerations may become a priority when a merger or acquisition or other change in organisational structure means that you have to transfer data to a different organisation. For example, as part of a takeover; or on insolvency, data might be sold as an asset to a different legal personality. You must take care if, as a result of the changes, there is a change in the controller of the data, or if the data is being shared with an additional controller. This is the case whether you are the sharing or recipient controller. You might be an insolvency practitioner or other adviser taking the role of controller for the time being, or advising a different controller. You need to:• ensure that you consider the data sharing as part of the due diligence you carry out;• follow this data sharing code;• establish what data you are transferring;

    • identify the purposes for which the data was originally obtained;

    • establish your lawful basis for sharing the data;

    • ensure you comply with the data processing principles – especially lawfulness, fairness and transparency to start with;

    • document the data sharing;

    • seek technical advice before sharing data where different systems are involved: there is a potential security risk that could result in the loss, corruption or degradation of the data; and

    • consider when and how you will inform data subjects about what is happening. Under the GDPR you are required to keep individual data subjects informed about certain changes relating to the processing of their data, and they may have a right to object. Please see the guidance on individual rights on the ICO website. The same considerations may apply in reverse to the controller receiving the data.”

WHITEPAPER
Ripensare il performance management. Quali nuovi approcci possibili? Scopri l’app Feedback4You!
Risorse Umane/Organizzazione
Smart working
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4