Le M&A rappresentano strategie cruciali per la crescita e per la sopravvivenza aziendale nel mercato globale contemporaneo. Tuttavia, mentre le organizzazioni concentrano le proprie energie sulla due diligence finanziaria e sull’integrazione operativa, un rischio potenzialmente impattante viene sistematicamente sottovalutato: la cybersecurity.

È doveroso evidenziare che i cyber criminali monitorano attivamente le operazioni di M&A, sfruttando le vulnerabilità che emergono durante questi delicati periodi di transizione. Di fatto, le vulnerabilità non dichiarate si traducono, inevitabilmente, in perdite finanziarie significative e in danni reputazionali che possono compromettere l’intero valore dell’acquisizione. Inoltre, i quadri normativi – come il GDPR – impongono requisiti rigorosi di protezione dei dati, trasformando la conformità in una preoccupazione critica, che può determinare il successo o il fallimento dell’operazione.

L’evoluzione del rischio informatico nelle M&A

Gli ultimi anni hanno segnato un cambiamento di paradigma nella percezione del rischio informatico durante le operazioni di M&A. Secondo alcuni report di settore, il 42% degli accordi nel settore manifatturiero ha dovuto affrontare incidenti di cybersecurity, principalmente a causa di sistemi operativi legacy non aggiornati. Tale dato allarmante ha portato a una profonda revisione delle pratiche di due diligence tradizionali.

La due diligence moderna richiede, di fatto, audit tecnici approfonditi che valutino standard di crittografia, capacità di risposta agli incidenti e mappatura completa degli ecosistemi di fornitori terzi. Inoltre, l’analisi forense deve esaminare le violazioni storiche, calcolando accuratamente i costi di bonifica e verificando eventuali sanzioni normative pregresse. Particolare attenzione viene dedicata, altresì, alla mappatura delle superfici di attacco negli ambienti IT/OT sempre più convergenti, nelle infrastrutture cloud e nei dispositivi IoT, che rappresentano punti di ingresso privilegiati per i cybercriminali.

Ancora, dopo l’attacco a SolarWinds, gli acquirenti hanno intensificato l’esame delle vulnerabilità della catena di approvvigionamento software e dei meccanismi di aggiornamento. Oggi il 17% delle organizzazioni riporta che i risultati sulla cybersecurity influenzano direttamente la valutazione degli asset, trasformando la sicurezza informatica da preoccupazione periferica a fattore determinante nel prezzo finale dell’acquisizione.

Il nuovo ruolo strategico dei CISO

I CISO partecipano sempre più attivamente alle trattative di accordo, assumendo tre responsabilità fondamentali e, precisamente:

• La modellazione delle minacce pre-accordo che include l’analisi delle conversazioni sul dark web relative all’azienda target, con casi documentati di picchi del 400% nei tentativi di phishing subito dopo l’annuncio pubblico di un’operazione di M&A.
• Lo sviluppo della roadmap per l’integrazione che richiede l’allineamento di diversi strumenti di sicurezza, considerando che il 58% delle violazioni è collegato a ecosistemi di fornitori terzi.
• L’arbitrato regolamentare che implica la gestione di requisiti contrastanti, come la segnalazione delle violazioni in 72 ore richiesta dal GDPR rispetto alle diverse regole di notifica ai consumatori per quanto riguarda il CCPA.

Ciò evidenzia la necessità di “armonizzazione della cultura della sicurezza” durante l’integrazione della forza lavoro, riconoscendo che l’insicurezza lavorativa comporta, frequentemente, violazioni delle politiche di sicurezza sia intenzionali sia accidentali.

I punti di cedimento strutturali nelle M&A

La rapidità nell’ultimare gli accordi crea una tensione fondamentale tra velocità operativa e sicurezza. Ovvero, la pressione per completare rapidamente l’integrazione induce spesso a omettere o affrettare analisi del rischio che richiederebbero settimane di lavoro specializzato, lasciando vulnerabilità critiche non identificate fino a quando non è troppo tardi.

Inoltre, l’unificazione dei sistemi aziendali presenta sfide tecniche significative: le differenze negli standard di sicurezza tra le organizzazioni, le tecnologie obsolete difficili da integrare e le piattaforme incompatibili creano vulnerabilità facilmente sfruttabili. Ancora, la migrazione dei dati sensibili tra infrastrutture diverse amplifica ulteriormente il rischio di violazioni.

Di fatto, nonostante la crescente dipendenza dai sistemi digitali, la due diligence nelle operazioni di M&A rimane ancora focalizzata principalmente su valutazioni finanziarie e operative, trascurando sistematicamente le valutazioni di sicurezza approfondite.

La crisi dei team IT sovraccarichi

Durante i periodi di M&A, i team IT affrontano un carico di lavoro che supera spesso le loro capacità strutturali.

Il fattore umano aggrava questa situazione critica. L’insicurezza lavorativa riduce drammaticamente la motivazione e la produttività del personale IT, aumentando paradossalmente il rischio di minacce interne proprio quando le funzioni di sicurezza dovrebbero operare ai massimi livelli di efficienza. Le funzioni di sicurezza operative sulla “buona volontà” diventano vulnerabili – quanto qualsiasi altro team – ai sentimenti di incertezza e alla conseguente mancanza di impegno durante un’operazione di M&A.

Le minacce interne: anatomia del rischio più sottovalutato

Le minacce interne rappresentano il pericolo più significativo e sistematicamente sottovalutato durante le operazioni di M&A. I periodi di cambiamento organizzativo sono caratterizzati da incertezza pervasiva, insicurezza lavorativa e intensificazione della politica interna. I dipendenti che affrontano la prospettiva concreta di licenziamenti, cambi di ruolo forzati o spostamenti di potere possono sentirsi profondamente frustrati o traditi dal datore di lavoro, sviluppando motivazioni che danno adito a comportamenti dannosi.

Inoltre, molti dipendenti, particolarmente quelli nelle funzioni IT o in altre aree sensibili, possiedono accesso privilegiato a sistemi critici e dati riservati. Le organizzazioni, nella fretta di accelerare la transizione o l’integrazione dei sistemi, frequentemente non gestiscono efficacemente i controlli di accesso, aumentando esponenzialmente il rischio di sfruttamento interno da parte di dipendenti scontenti.

Ancora, l’intensificarsi delle dinamiche politiche interne durante le operazioni di M&A rappresenta un catalizzatore critico: le lotte di potere tra funzioni, la competizione tra le entità coinvolte nella fusione e i cambiamenti repentini di leadership generano ambienti ostili dove i dipendenti si sentono minacciati o progressivamente emarginati. Tale clima favorisce potenziali atti di sabotaggio motivati dal desiderio di ottenere vantaggi personali nelle negoziazioni o dalla volontà di danneggiare deliberatamente l’organizzazione percepita come ostile.

È doveroso evidenziare che le operazioni di M&A sono intrinsecamente stressanti dal punto di vista operativo ed emotivo. I dipendenti lavorano sistematicamente oltre l’orario abituale per rispettare scadenze aggressive, accumulando stanchezza fisica e tensione emotiva che comportano il degradamento progressivo delle capacità cognitive, inducendo ad errori di giudizio atipici in persone normalmente prudenti, diventando bersagli dei cyber criminali: cliccare su link sospetti in email di phishing, condividere informazioni sensibili senza verificare adeguatamente l’identità del richiedente, o concedere accessi senza seguire le procedure standard di autorizzazione.

La combinazione tossica di fragilità interna e manipolazione esterna crea una minaccia particolarmente potente che può compromettere gravemente la sicurezza organizzativa senza che i sistemi di monitoraggio tradizionali rilevino anomalie evidenti.

L’esposizione dei dati sensibili

Le attività di M&A mettono a rischio quantità massicce di informazioni critiche dato che, durante queste transazioni, vengono trasferiti rapporti finanziari riservati, piani strategici di lungo termine, database completi di clienti e proprietà intellettuale che rappresenta il valore competitivo fondamentale delle aziende coinvolte. Si tratta di informazioni sono estremamente preziose per attori malintenzionati che le utilizzano per spionaggio aziendale sistematico o guadagno finanziario diretto attraverso la vendita sul mercato nero.

Le persone coinvolte nell’operazione di M&A diventano bersagli privilegiati di attacchi di phishing altamente personalizzati o sofisticati schemi di ingegneria sociale. I sistemi legacy con pratiche di gestione dei dati deboli, combinati con il ritmo accelerato tipico delle transazioni, comportano che le pratiche adeguate di governance dei dati non vengono completamente implementate, rendendo i dati sensibili bersagli facilmente accessibili.

Il rischio nascosto dei fornitori terzi

Le aziende in transizione fanno frequentemente ampio affidamento su fornitori esterni per servizi critici come l’integrazione IT, la migrazione complessa dei dati o il supporto specializzato durante la fusione. Spesso i fornitori terzi potrebbero non aderire agli stessi rigorosi standard di sicurezza informatica dell’azienda acquirente, introducendo vulnerabilità sistemiche difficili da identificare e controllare.

Inoltre, un singolo fornitore compromesso può esporre massivamente dati sensibili o fornire agli attaccanti un punto di ingresso privilegiato verso i sistemi critici. L’integrazione di sistemi di terze parti senza controlli di sicurezza adeguati genera rischi a cascata che si propagano rapidamente attraverso l’intera organizzazione. Durante ristrutturazioni organizzative o fallimenti di fornitori, le aziende sono spesso costrette a cambiare fornitore precipitosamente o negoziare nuovi contratti sotto pressione temporale, aumentando drammaticamente la probabilità di lacune critiche di sicurezza nella catena di approvvigionamento.

I rischi più critici e trascurati

Di seguito la descrizione dei rischi più critici e trascurati nella fase di M&S in termini di cybersecurity e, precisamente:

1. Vulnerabilità ereditate – Esse costituiscono il primo rischio sistematicamente sottovalutato. I sistemi legacy con vulnerabilità note possono essere obsoleti e non più supportati dal produttore originale, presentando vulnerabilità non patchate che risalgono a mesi o addirittura anni.
2. Shadow IT – Esso include tutti i dispositivi e le applicazioni che il team IT centrale non gestisce direttamente, dato che i singoli dipendenti hanno potuto gestire autonomamente le proprie esigenze tecnologiche per anni, potrebbero aver inconsapevolmente introdotto malware o applicazioni insicure nell’ecosistema aziendale. Purtroppo, la cultura della sicurezza incoerente o attivamente controproducente influenza profondamente il modo in cui un’organizzazione valorizza concretamente la cybersecurity e i comportamenti quotidiani dei membri del team.
3. Le posture di sicurezza radicalmente incoerenti – Le politiche e le tecnologie implementate sono invariabilmente diverse tra due aziende che hanno sviluppato indipendentemente le proprie strategie di sicurezza. Un’azienda può avere una politica rigorosa anti-shadow IT con un team IT che monitora attentamente tutte le installazioni; mentre l’altra potrebbe permettere ai dipendenti autonomia completa nell’installare software sui computer aziendali. Tali variazioni generano disparità di sicurezza enormi che creano vulnerabilità facilmente sfruttabili.

Un esempio concreto illustra la gravità del problema: l’azienda A utilizza autenticazione multi-fattore per verificare l’identità degli utenti. L’azienda B, invece, utilizza esclusivamente nomi utente e password per la maggior parte o tutte le sue applicazioni critiche. L’azienda B potrebbe avere decine o centinaia di password compromesse disponibili sul dark web, e gli attaccanti potrebbero aver già acquisito accessi privilegiati alla loro infrastruttura o venduto questi accessi a organizzazioni criminali specializzate.

4. Gli asset già compromessi – Le violazioni informatiche a volte si sviluppano completamente inosservate nel corso di mesi o anni. Alcuni asset aziendali potrebbero essere già stati compromessi a causa di incongruenze nelle politiche di sicurezza applicate ai fornitori terzi. Un’azienda potrebbe aver concesso a un fornitore esterno, come una società di marketing, accesso diretto a database clienti contenenti informazioni sensibili. Anche con buone intenzioni, un attacco di iniezione SQL, relativamente semplice sul database, può portare a furto massivo di dati, sabotaggio sistemico o modifiche non autorizzate che compromettono l’integrità delle informazioni.
5. I campi minati della privacy dei dati – Le normative sulla privacy dei dati differiscono significativamente nelle loro implementazioni concrete, anche quando gli obiettivi dichiarati di alto livello appaiono sostanzialmente simili. Un’azienda che rispetta apparentemente uno standard normativo completo e severo potrebbe non soddisfare requisiti locali critici in altre giurisdizioni. Il GDPR e il CCPA esemplificano queste differenze critiche. Il CCPA si applica esclusivamente alle organizzazioni che operano in California, mentre il GDPR protegge i dati di tutti i residenti dell’Unione Europea indipendentemente da dove l’azienda è localizzata. Il CCPA consente maggiore flessibilità operativa: fornire ai consumatori un meccanismo di esclusione per la raccolta dati soddisfa i regolatori californiani. Il GDPR richiede invece che un’organizzazione ottenga il consenso esplicito e documentato dei consumatori prima di archiviare qualsiasi dato personale. Un’organizzazione pienamente conforme al CCPA potrebbe essere completamente non conforme al GDPR, esponendo un’azienda europea acquirente a rischi legali e reputazionali devastanti.
6. Le minacce interne durante la transizione – Esse costituiscono il quinto rischio sistematicamente sottovalutato. Combinare dipendenti in partenza con controlli di accesso ambigui o poco chiari crea le condizioni ideali per il sabotaggio. Durante un accordo M&A, l’ansia e le emozioni intense sono pervasive. Le persone temono concretamente di perdere il lavoro e alcuni potrebbero cercare un piano di riserva utilizzando i dati della propria azienda come leva negoziale o fonte di reddito alternativa.

Strategie di gestione proattiva del rischio

Le organizzazioni devono adottare misure proattive per gestire sistematicamente il rischio informatico e proteggere efficacemente dati e sistemi critici, tra cui:

• Implementazione di controlli di accesso rigorosi – Essa garantisce che solo gli individui con necessità operativa legittima abbiano accesso a sistemi o dati sensibili. Il monitoraggio attento dell’attività dei dipendenti, particolarmente quelli con accesso privilegiato, permette di rilevare tempestivamente comportamenti insoliti che potrebbero indicare intenzioni malevole o compromissione degli account. Gli audit di cybersecurity regolari prima, durante e dopo la transizione identificano vulnerabilità emergenti e permettono di affrontarle rapidamente prima che vengano sfruttate.
• Procedure di offboarding approfondite –È necessario assicurarsi che ai dipendenti che lasciano l’azienda venga completamente revocato l’accesso a sistemi sensibili.
• Valutazione rigorosa dei fornitori terzi p – È necessario verificare la conformità alla sicurezza informatica e il monitoraggio continuo dell’integrazione dei sistemi esterni per ridurre significativamente i rischi della supply chain.
• Mantenimento della trasparenza con i dipendenti – È fondamentale durante tutto il processo di M&A, essere trasparenti con i dipendenti per ridurre paura, incertezza e insoddisfazione che alimentano le minacce interne.

Fase pre-accordo, l’azienda acquirente deve:

• Accertare la sicurezza dell’ambiente dell’organizzazione target attraverso valutazioni approfondite.
• Valutare la cultura della cybersecurity dell’organizzazione target è essenziale perché la maggior parte delle violazioni dei dati comporta errori umani evitabili. Di fatto, prima di formulare un’offerta, l’acquirente dovrebbe effettuare due diligence completa sulla cybersecurity per valutare lo stato legale dell’azienda target riguardo alla conformità normativa, alle politiche di sicurezza implementate e al rischio di quarta parte derivante dalla supply chain.
• Determinare la propria tolleranza al rischio e identificare se l’acquisizione rientra entro limiti accettabili è fondamentale per decisioni informate. Durante il processo di M&A, stabilire ruoli e responsabilità concordati all’interno delle organizzazioni facilita la collaborazione efficace. Standardizzare le procedure di sicurezza delle informazioni tra le due organizzazioni rende la gestione del rischio più efficiente ed efficace.
• Scoprire violazioni dei dati non divulgate durante le valutazioni di sicurezza è un problema grave che mette in discussione l’integrità dell’azienda ed espone l’acquirente a danni reputazionali e problemi di sicurezza imprevisti.

Dopo la firma dell’accordo – Quando l’accordo viene firmato legalmente, l’azienda acquirente può:

• Intraprendere azioni più intrusive – Si tratta di test di penetrazione approfonditi e caccia attiva alle minacce. La protezione e la risposta degli endpoint combinata con il monitoraggio continuo delle reti sono essenziali in questa fase critica e forniscono la vigilanza necessaria contro cybercriminali e concorrenti che sfruttano le vulnerabilità temporanee create dall’integrazione.
• Definire Key Risk Indicators (KRI) e monitorarli costantemente per assicurarsi che i livelli di rischio rimangano entro limiti accettabili.
• Svolgere un monitoraggio continuo e l’intelligence sulle minacce aiutano le organizzazioni a mantenere operazioni di sicurezza capaci di adattarsi a minacce impreviste.
• Effettuare l’integrazione completa dei sistemi di cybersecurity – Si tratta, per la resilienza organizzativa, di disporre di piani di risposta agli incidenti completi e aggiornati con istruzioni chiare.

Vulnerabilità post-transazione e pressioni regolatorie – I rischi cibernetici non scompaiono magicamente una volta concluso formalmente l’accordo. Durante la complessa integrazione post-transazione, le vulnerabilità persistono e spesso si intensificano, mentre le nuove entità fuse faticano ad allineare protocolli di sicurezza sviluppati indipendentemente secondo filosofie diverse. Inoltre, i sistemi potrebbero non essere completamente integrati per mesi o addirittura anni, creando lacune di sicurezza continue che gli attaccanti monitorano pazientemente.

È fondamentale considerare che il panorama normativo si evolve rapidamente e il mancato controllo rigoroso dei dati durante queste transizioni comporta sanzioni potenzialmente devastanti. Il GDPR impone requisiti estremamente rigorosi sulla protezione dei dati personali e il mancato rispetto può tradursi in multe fino al 4% del fatturato globale annuale, oltre a conseguenze reputazionali che erodono permanentemente la fiducia dei clienti.

Inoltre, il crescente controllo normativo esercita pressione continua sulle organizzazioni affinché diano priorità assoluta alla sicurezza informatica durante le M&A, riconoscendo che le ripercussioni legali e finanziarie possono facilmente superare i benefici economici previsti dall’operazione.

I rischi più critici e trascurati

Il processo di M&A richiede collaborazione aperta tra le aziende in ogni fase. In particolare, l’organizzazione acquirente deve definire chiaramente cinque aree fondamentali, quali:

1. Governance che stabilisce la struttura organizzativa e le responsabilità per la gestione della sicurezza.
2. Politiche che definiscono gli standard minimi per la protezione delle informazioni.
3. Processi manageriali che sono utilizzati per gestire e per monitorare continuamente i rischi di sicurezza;
4. Strumenti e tecnologie da utilizzare per rafforzare e da adottare quando necessario;
5. Metriche di rischio che permettono di misurare il rischio in modo standardizzato, facilitando la comunicazione efficace con tutti i livelli di leadership.

Conclusione: la cybersecurity come imperativo strategico

Nel panorama digitale contemporaneo, la cybersecurity è una componente vitale e non negoziabile per le transazioni di M&A di successo. Di fatto, trascurare questo aspetto genera conseguenze molto impattanti, quali: multe regolamentari che possono raggiungere percentuali significative del fatturato globale; responsabilità legali estese che persistono per anni; perdita irreversibile della fiducia dei clienti; erosione sostanziale del valore dell’accordo; danni reputazionali che compromettono la posizione competitiva nel mercato.

È quanto mai fondamentale rendersi conto, prima dell’acquisizione, che un’azienda presenta vulnerabilità significative e non dopo quando le opzioni di rimedio sono limitate e costose. Inoltre, il livello di minaccia informatica aumenta drammaticamente non appena si diffonde pubblicamente la notizia di discussioni per una fusione, rendendo la cybersecurity un fattore critico che deve parte integrante della strategia aziendale complessiva, riconoscendo che i problemi di sicurezza possono facilmente compromettere le operazioni quotidiane e minare completamente i profitti previsti dall’operazione di M&A.

Cybsec-news.it vi invita alla terza edizione della CYBSEC-EXPO, in programma a Piacenza dal 9 all’11 Giugno 2026.