OSINT per due diligence pre-acquisizione

Settore

Tecnologia B2B · acquirente con operazioni in Europa occidentale · target startup in fase di crescita · operazione M&A non ancora pubblica.

Situazione iniziale

Il team M&A dell'acquirente doveva integrare la due diligence finanziaria e legale con una lettura tecnica indipendente del target, senza contatto diretto con il suo team sicurezza e prima che l'operazione diventasse pubblica. La finestra di consegna era stretta e la riservatezza assoluta.

Approccio

Abbiamo progettato una due diligence OSINT strutturata in cinque blocchi: postura tecnica esterna (sottodomini, certificati, servizi esposti, configurazioni deboli), igiene del codice e dei segreti nei repository pubblici, esposizione di credenziali in violazioni storiche associate al dominio aziendale e ai fornitori noti, reputazione e tracciabilità del personale tecnico chiave, e postura di compliance dichiarata rispetto alle evidenze pubbliche. Tutta l'attività è stata passiva o a basso profilo, senza contatto con asset del target.

Risultato

Abbiamo consegnato un report con 8 rilievi critici (3 con impatto diretto sulla valutazione dell'operazione) e 14 rilievi medi. I rilievi critici hanno portato a specifiche clausole di rappresentazioni e garanzie nell'accordo finale, oltre a un piano di integrazione di 90 giorni post-closing.

Insegnamento

La superficie pubblica di un'azienda dice di più sulla sua reale maturità di sicurezza di qualunque questionario auto-dichiarativo.

Tempo e impegno

2-3 settimane · 40-60 ore di consulenza · report esecutivo + report tecnico + matrice dei rilievi.

Tag

OSINT · Due diligence · M&A · Analisi esterna · Gestione del rischio · Intelligence da fonti aperte