Kroll: la cybersecurity pesa sui deal di private equity, impatto medio 2.1 milioni di dollari

Kroll ha pubblicato i risultati del report globale "Cyber Risk at Scale: Safeguarding Portfolio Value in Private Equity", basato su un sondaggio di 325 executive di società di private equity. La ricerca evidenzia che i cyberattacchi generano distruzione di valore lungo l'intero ciclo di vita delle operazioni e sono in aumento.

In media, le società hanno subito 2,1 milioni di dollari di impatto finanziario per incidente, con una probabilità del 53% di perdite superiori a 500.000 dollari e del 13% di superare i 5 milioni. Il 94% delle società ha registrato un impatto finanziario legato al rischio cyber, tra cui: riduzione della valutazione o del prezzo di uscita (26%), aumento dei costi continuativi di conformità o formazione in materia di cybersecurity (62%) e costi indiretti di remediation o consulenza (46%).

L'80% delle società di private equity ha sperimentato disagi dovuti ad attacchi durante il periodo di detenzione, e il 27% ha subito vere e proprie interruzioni operative o downtime. Altri effetti includono costi di remediation imprevisti (44%), contenziosi legati a compliance o regolamentazione (29%) e attività di integrazione dei sistemi IT (30%). Quasi il 68% segnala un aumento degli incidenti nel corso del periodo di detenzione.

Dave Burg, global group head of cyber and data resilience di Kroll, dichiara: "La cybersecurity è diventata un rischio transazionale rilevante, con un impatto diretto su pipeline e valutazioni nel private equity. Non sorprende che quasi il 70% degli intervistati abbia registrato incidenti durante il periodo di detenzione. Gli attaccanti sincronizzano sempre più spesso i loro colpi e utilizzano l'AI generativa per amplificarne efficacia e impatto. L'impatto medio è di 2,1 milioni di dollari, ma è solo la parte visibile: i costi reali emergono in indagini regolatorie, ritardi nelle tempistiche dei deal e veicoli di continuazione attivati da carenze di governance post-incidente. Occorre monitorare e mettere in discussione le assunzioni lungo tutto il perimetro di sicurezza, inclusi compliance, reputazione e difese."

La ricerca evidenzia una netta differenza negli approcci alla gestione del rischio cyber tra operatori di maggiori dimensioni (oltre 25 miliardi di dollari di AUM) e operatori più piccoli (meno di 25 miliardi): il 55% dei grandi governa il rischio con un mandato formale ai manager delle partecipate, contro il 12% dei piccoli; l'81% dei grandi include la due diligence cyber come parte standard del processo di transazione, contro il 29% dei piccoli; il 58% dei grandi utilizza piattaforme dedicate di risk management, contro il 9% dei piccoli, che si affidano in misura elevata al monitoraggio manuale (50%) e a managed service provider (53%), risultando più esposti a costi di remediation significativi e a interruzioni dei deal; il 52% dei grandi dispone di un responsabile dedicato al rischio cyber, contro il 15% dei piccoli.

Eric Hasty, managing director di cyber and data resilience di Kroll: "Gli incidenti di cybersecurity possono incidere in modo significativo sui portafogli di private equity di qualsiasi dimensione, rendendo essenziale un approccio focalizzato e disciplinato. Le società che adottano un set conciso di controlli richiesti, utilizzano piattaforme dedicate per il monitoraggio del rischio, conducono diligence standardizzate e definiscono responsabilità chiare sono più efficaci nel proteggere il valore dall'esposizione cyber in maniera efficiente sui costi. Con una base clienti che copre l'intero spettro del private equity, abbiamo riscontrato che servono modelli di governance strutturati e prassi coerenti e pragmatiche; è il momento per i fondi di anticipare la sfida in vista della ripresa e di una nuova ondata di attività"

Outlook 2026: il 96% delle società di private equity si attende un aumento dell'importanza della cybersecurity di portafoglio nei prossimi 12 mesi. Oltre la metà (53%) prevede che l'impatto finanziario degli attacchi crescerà nell'anno a venire e il 54% ritiene che gli incidenti saranno più impegnativi da gestire.