Cyber Due Diligence in M&A: Prima di Firmare
Valutazione cyber dell'azienda target: vulnerabilità sfruttabili, esposizione di dati, incidenti storici, compliance, contingenze finanziarie da multa.
Perché ora
Il dolore reale
L'acquirente scopre dopo il closing che il target ha un dump di 3M clienti sul deep web, una multa LGPD in corso e un ransomware avvenuto 6 mesi fa non divulgato. L'earn-out diventa azione legale. La cyber due diligence pre-firma protegge l'acquirente e diventa materiale di trattativa sul prezzo.
Contesto e regolamentazione
/superficie-di-attacco
Due Diligence M&A
Ogni ingaggio è progettato per il vostro ambiente. I punti seguenti fanno parte del nostro playbook standard per questo settore — lo scope finale è adattato al vostro stack e contratto.
Inventario di superficie esterna
ASM completo del target: domini, sottodomini, cloud asset, esposizioni WAN.
Pentest campionato di produzione
Sotto NDA: pentest focalizzato sui sistemi che sostengono il fatturato dichiarato nella DD.
Threat intel: incidenti storici
Verifica in deep/dark web, forum criminali, base di breach. Il target ha già subito fughe?
Maturità di SOC e compliance
Esistenza di pentest pregresso, SOC, EDR, policy di sicurezza, formazione. Capacità reali.
Analisi di processi LGPD/GDPR/ANPD
Multa in corso, TAC con ANPD, class action — passività cyber contingenti.
Analisi di third-party
Quali fornitori critici usa il target, contratti, SLA, rischio ereditato dall'acquirente.
Raccomandazione di clausole contrattuali
Cyber rep & warranty, indennizzo specifico, retention di earn-out condizionata a remediation.
/metodologia
Pentest manuale vero
Gli scanner automatici trovano ciò che è documentato. Gli attaccanti veri trovano ciò che non lo è. Il 90% del lavoro è manuale — eseguito da specialisti con OSCP, CISSP, CRTO e GPEN.
01 · Ricognizione
Mapping del target, OSINT, footprint, threat modeling specifico del settore.
02 · Scoperta
Enumerazione approfondita, scansione complementare, identificazione manuale dell'esposizione.
03 · Sfruttamento
Validazione manuale con PoC controllata, concatenamento di finding, escalation.
04 · Report
Esecutivo + tecnico, replica passo-passo, mappato alla regolamentazione applicabile.
/perche-fidarsi
Chi si è già fidato del nostro lavoro
Lavoro confidenziale in transazioni nel settore finanziario, sanitario e SaaS B2B.
Valutazione tecnica riconosciuta in ambienti regolamentati ad alta criticità — il pentest che trova ciò che nessuno aveva trovato prima.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · programma di integrità
dei candidati pentester non supera il nostro Crivo
Sai chi avrà accesso al tuo ambiente?
L'NDA vale in tribunale. Non vale nel quotidiano. Prima del primo accesso, ogni nostro pentester passa background, profilo psicometrico e test di integrità.
- Verifica criminale, fiscale e professionale approfondita
- Valutazione psicometrica e profilo di rischio
- Test di integrità pratico con scenari controllati
- Team fisso — non rotativo, niente "sconosciuto a ogni ingaggio"
/faq
FAQ — Due Diligence M&A
L'azienda target sa di essere auditata?
Dipende dalla struttura. In green-light DD, sì — collaborativa con data room. In DD avversariale (rara fuori da hostile takeover), solo con asset pubblici via ASM/OSINT.
Quanto dura e quanto costa?
3-6 settimane per DD completa. R$ 80-250k a seconda della dimensione del target. Tipicamente 0,5-2% dell'enterprise value, ritorno 5-50x in trattativa.
Il risultato può bloccare il deal?
Tecnicamente sì, ma raro. Più comunemente alimenta aggiustamento di prezzo, retention di earn-out, indennizzo specifico o clausola di remediation post-closing.
Parlate con lo studio legale del deal?
Sì. Spesso coordiniamo deliverable con Pinheiro Neto, Mattos Filho, Demarest, BMA, Veirano.
/contatti
DD cyber confidenziale
Fissa una riunione riservata. Entro 48h inviamo la proposta con scope, tempi e prezzo.