Top 3 dei rischi da tenere presenti nelle operazioni di M&A nel settore dell'alta tecnologia
Secondo l'Institute for Mergers, Acquisition and Alliances (IMAA), le operazioni di fusione e acquisizione nel settore dell'alta tecnologia sono al secondo posto nel totale delle operazioni di fusione e acquisizione dal 1985, con un valore complessivo di 5.000 miliardi di dollari.[i] Il continuo aumento degli investimenti e delle acquisizioni di aziende high tech ha posto l'accento sui rischi in queste operazioni e sulla necessità di ampliare i processi di due diligence per includere verifiche software complete e automatizzate.
Questo articolo analizza i 3 rischi principali di cui devono essere consapevoli i potenziali investitori e acquirenti in vista di queste operazioni e cosa possono fare per ridurli.
Source: Thomson Financial, Institute for Mergers, Acquisitions and Alliances (IMAA) analysis
1. Minacce informatiche
Le operazioni di M&A sono un terreno fertile per i criminali informatici che hanno opportunità sia a breve che a lungo termine.
Con le operazioni aziendali in fase di transizione, i dati sono più vulnerabili e a maggior rischio di essere presi di mira. Più di un dirigente su tre, intervistato da IBM, ha dichiarato di aver subito violazioni di dati attribuibili ad attività di M&A durante l'integrazione.[i]
A lungo termine, le operazioni di M&A rappresentano un'opportunità privilegiata per infiltrarsi nelle reti dell'azienda che si sta fondendo o che è stata acquisita, spesso attraverso l'impiego di minacce persistenti avanzate (Advanced Persistent Threats o APT), con l'obiettivo di ottenere l'accesso all'ambiente e alle informazioni dell'azienda presa di mira per un lungo periodo di tempo.
È sorprendente che oltre il 50% delle aziende intervistate da IBM attenda il completamento della due diligence prima di effettuare una valutazione tecnologica delle operazioni di M&A.[ii] Le minacce informatiche che incombono su queste operazioni evidenziano l'importanza di condurre una due diligence del software nella fase precedente all'acquisizione per rivelare le vulnerabilità nascoste.
Inoltre, nell'ultimo anno si è registrata una notevole escalation di attacchi ransomware che hanno preso di mira aziende di medie dimensioni acquisite da società di private equity. Queste aziende rappresentano obiettivi lucrativi a causa della loro notevole liquidità e, soprattutto, le loro difese di sicurezza informatica tendono a essere meno solide.
Questo scenario pone un rischio informatico ancora maggiore, considerando il potenziale effetto domino all'interno della struttura aziendale. Gli aggressori informatici spesso sfruttano le vulnerabilità di queste aziende acquisite di recente e meno sicure come punto di ingresso secondario. Una volta entrati, possono estendere il loro raggio d'azione alle entità madri più sicure del portafoglio. Questa vulnerabilità interconnessa sottolinea la necessità critica di misure di cybersecurity complete e proattive nella fase di pre-integrazione.
2. Proprietà intellettuale & Scalabilità
L'importanza dei diritti di proprietà intellettuale nella valutazione complessiva delle aziende è sempre più riconosciuta a livello globale. Nel 1975 le attività immateriali di proprietà intellettuale rappresentavano solo il 17% circa del valore di mercato delle società dell'S&P 500, nel 2015 erano cresciute fino all'87% e, secondo un'analisi del 2019, le industrie che fanno un uso intensivo dei diritti di proprietà intellettuale generano circa il 45% del PIL dell'UE (6,6T€).[i]
Se stai acquisendo o investendo in un'azienda che commercializza software, è fondamentale verificare che sia effettivamente proprietaria del software. Il software viene creato a ritmo frenetico, ma è raramente una creazione originale al 100%. È sempre più comune che il software integri parti di codice di altri programmi.
Se da un lato l'uso di codice di terzi, sia esso commerciale o open source, fa risparmiare tempo e riduce i costi, dall'altro crea potenziali problemi che possono limitare la libertà di commercializzare il prodotto finale. Queste limitazioni possono impedire a un'azienda di software di godere appieno dei benefici delle proprie creazioni. Inoltre, l'uso improprio o l'eccessiva dipendenza da software di terzi può ostacolare la crescita di un'azienda e persino minacciarne la sopravvivenza.
Analogamente, anche se l'azienda target non commercializza software, se utilizza un software che integra software di terze parti potrebbe avere seri problemi di scalabilità e manutenibilità. Questo tipo di software viene fornito come programmi scaricabili per macchine o servizi o come servizio in hosting e di solito viene concesso in licenza alle aziende piuttosto che essere venduto. In altre parole, le aziende si affidano a software che non possiedono ma che affittano.
Ciò comporta diverse implicazioni che possono controbilanciare i vantaggi dell'utilizzo del software.
1) Significa che si applicano restrizioni all'uso e alla distribuzione del software.
2) Si creano dipendenze tra l'azienda e il suo fornitore di software e si pone il problema di cosa succederebbe se il fornitore fallisse o se il software venisse abbandonato.
3) Crea rischi per la sicurezza. Infatti, il fatto di non avere accesso al codice sorgente o di non avere la possibilità di analizzarlo per individuare eventuali bug o problemi crea un rischio intrinseco per le operazioni dell'azienda che lo utilizza.
3. Importanza della due diligence tecnologica
La tecnologia o il software di un'azienda, come i documenti finanziari o i contratti legali, sono costituiti da vari componenti che, considerati singolarmente e nel loro insieme, ne testimoniano la solidità di fronte a una moltitudine di rischi.
Poiché sempre più aziende si affidano al software, sia per gestire le loro attività che come prodotto finale, per un potenziale investitore non è sufficiente analizzare le considerazioni legali, finanziarie e strategiche. La due diligence tecnologica è un modo per valutare e mitigare il rischio tecnologico dal punto di vista dell'azienda o dell'investimento.
Un rapporto completo di due diligence tecnologica dovrebbe fornire informazioni sui punti di forza di un'azienda, raccomandazioni attuabili per i miglioramenti e indicazioni per affrontare i rischi comuni.
La soluzione di Vaultinum
Che si tratti di preparare la vendita di un'azienda, di ottenere investimenti, di acquisire nuovi clienti o di migliorare le strutture operative, l'obiettivo della soluzione Know Your Software è quello di fornire alle aziende e agli investitori gli strumenti per acquisire una conoscenza critica della tecnologia di un'azienda, mitigare i rischi e facilitare la crescita.
La soluzione di Tech Due Diligence di Vaultinum è un approccio multiplo alla revisione del software. In fase 1, le indagini di autovalutazione online di Know Your Software valutano la gestione, il funzionamento e l'utilizzo del software, rivelando potenziali problemi legati alla proprietà intellettuale, alla cybersicurezza, alla scalabilità e alla manutenibilità. Al livello successivo, l'audit completo di Know Your Software analizza il codice sorgente alla ricerca di minacce e vulnerabilità comuni.
Insieme, la soluzione di Vaultinum fornisce un quadro completo del software e dei processi di gestione tecnologica dell'azienda.
[1] Institute for Mergers, Acquisitions and Alliances (IMAA), https://imaa-institute.org/m-and-a-by-industries/
[1] Brewster, T. “Revealed: Marriott's 500 Million Hack Came After A String Of Security Breaches”. Forbes, 3 Dec. 2018, https://www.forbes.com/sites/thomasbrewster/2018/12/03/revealed-marriotts-500-million-hack-came-after-a-string-of-security-breaches/
[1] Dobie, G., Whitehead, J. (2020). Managing the impact of increasing interconnectivity: Trends in Cyber Risk. Allianz Global Corporate & Specialty.
[1] Dobie, G., Whitehead, J. (2020). Managing the impact of increasing interconnectivity: Trends in Cyber Risk. Allianz Global Corporate & Specialty.
[1] Idem
[1] International Chamber of Commerce (ICC). “The ICC Intellectual Property Roadmap”, 14th edition, 2020.
Consigliato per te