Nos últimos anos, a cibersegurança emergiu como um dos fatores críticos para o sucesso de fusões e aquisições (M&A). Empresas que negligenciam a cyber due diligence podem enfrentar não apenas perdas financeiras, mas também impactos reputacionais e sanções regulatórias. A crescente sofisticação das ameaças digitais e a interconectividade de tecnologias e dados tornam imperativo que conselhos e comitês avaliem profundamente os riscos cibernéticos antes de concluir uma transação corporativa.

Em muitos casos, aquisições tornam-se um vetor para que riscos digitais passem de uma organização para outra, ampliando a superfície de ataque e expondo a empresa compradora a riscos até então desconhecidos. Empresas adquiridas podem ter falhas de segurança latentes, desde vulnerabilidades não corrigidas até práticas inadequadas de gestão de identidade e acesso. Além disso, em alguns casos, ataques cibernéticos podem estar em andamento sem o conhecimento da empresa-alvo, tornando a due diligence cibernética essencial para mitigar esses riscos.

Por outro lado, empresas em processo de compra podem sofrer um devaluation caso tenham fragilidades em sua cibersegurança. Quando verificada a maturidade de um negócio e seus riscos atuais, podem ser identificadas vulnerabilidades que, na visão do comprador, resultarão na necessidade de realizar ainda mais investimentos a fim de mitigar estes riscos e evitar perdas.

Em um dos casos mundiais mais emblemáticos, a Verizon reduziu sua oferta inicial de US$ 4,8 bilhões pela Yahoo em US$ 350 milhões após a descoberta tardia de duas brechas massivas de segurança que expuseram dados de mais de 3 bilhões de usuários.

Após a aquisição da Starwood, a Marriott descobriu que sistemas comprometidos antes da fusão resultaram no vazamento de dados de 500 milhões de clientes. O incidente gerou investigações regulatórias e multas milionárias, além de impactos na confiança dos clientes.

A Equifax sofreu uma das maiores violações de dados da história devido a uma falha de segurança não identificada durante a integração com sistemas herdados da empresa adquirida. O incidente expôs informações pessoais de 147 milhões de pessoas e resultou em um impacto financeiro bilionário.

Esses exemplos demonstram como a falta de cyber due diligence pode transformar fusões e aquisições em pesadelos financeiros e regulatórios.

Conselhos de administração e comitês desempenham um papel fundamental na identificação e mitigação dos riscos cibernéticos durante processos de M&A. Algumas práticas essenciais incluem:

O conselho deve garantir que a cibersegurança seja um componente-chave da análise pré-aquisição, identificando vulnerabilidades potenciais na empresa-alvo. Importante considerar que não apenas os riscos da infraestrutura da empresa poderão resultar em perdas, mas também os riscos provenientes de terceiros, prestadores de serviços à empresa em aquisição, que são especialmente difíceis de identificar aos olhos do comprador.

Auditores e consultores especializados devem conduzir uma análise detalhada da estrutura de segurança, políticas e histórico de incidentes da empresa adquirida.

A aquisição de uma empresa com falhas de conformidade pode resultar em sanções severas. Conselheiros devem exigir uma avaliação completa da aderência da empresa-alvo às regulações, como a LGPD e o GDPR para a proteção de dados pessoais, regulações setoriais, avaliando também a aplicabilidade de regulações internacionais.

Através de descuidos se iniciam mais de 90% dos incidentes cibernéticos. O conselho deve fomentar que programas de educação cibernética compreendam colaboradores de empresas que passaram por um processo de M&A.

O comitê de auditoria deve acompanhar os resultados da integração e verificar eventuais inconformidades.

Após a aquisição, é fundamental supervisionar a integração dos sistemas e garantir que a segurança seja reforçada para prevenir novos riscos.

A due diligence tradicional não é mais suficiente para garantir o sucesso de fusões e aquisições. Os riscos cibernéticos, muitas vezes invisíveis, podem comprometer significativamente o valor de um negócio, expor a empresa compradora a ameaças inesperadas, e a vendedora a uma desvalorização. Conselhos de administração e comitês de auditoria devem atuar de forma proativa, incorporando cyber due diligence em suas avaliações estratégicas para garantir que aquisições sejam seguras e sustentáveis no longo prazo.

*Paulo Barbosa é associado do IBGC. Cofundador e CEO da Segurança em Jogo, empresa de educação gamificada de cibersegurança. Empreendedor no agronegócio sustentável liderando a Drachen Orgânicos. Advisor independente e conselheiro consultivo especializado em riscos digitais, estratégias de cibersegurança, resiliência cibernética, compliance e inovação. Possui mais de 25 anos de experiência no mercado brasileiro e europeu, incluindo 15 anos como CISO, atuando em empresas como Telefônica, Vodafone, Banco Digi+ e Unicred. Professor em programas de especialização, formando líderes em cibersegurança, gestão de riscos e continuidade do negócio. Coautor do livro Cibersegurança e Proteção de Dados: Como pensam os líderes?