M&A em Risco: A Bomba-Relógio do Software Não Contabilizado
Destaques
- •1 em cada 4 M&As sofreu incidente cibernético pós-fechamento.
- •42% dos afetados viram o valuation cair e 58% comprometeram metas financeiras.
- •Due diligence de software é falha e regulamentação brasileira (BCB 538/CMN 5.274) agrava o risco.
Atenção, compradores de empresas: uma bomba-relógio de software está detonando em 1 em cada 4 fusões e aquisições (M&A), e o problema não está no valuation.
A due diligence tradicional foca no financeiro, mas ignora o passivo de software, como código desatualizado e vulnerabilidades herdadas. 42% dos negócios afetados viram o valuation cair e 58% tiveram metas financeiras comprometidas.
A situação é ainda mais crítica no Brasil, com as resoluções BCB 538 e CMN 5.274, que transformam a cadeia de software dos fornecedores em responsabilidade das instituições financeiras.
A pergunta chave agora não é só sobre vulnerabilidades abertas, mas se a empresa consegue provar a conformidade da sua cadeia de software com o regulador. Ignorar isso significa herdar um passivo regulatório que pode custar caro.
O ideal é que a due diligence técnica passe a incluir verificação de SBOM, histórico de CVEs e rastreabilidade de proveniência como insumo de valuation, e não apenas um checklist. Quem não fizer isso, vai descobrir o problema depois de pagar o preço. 📉
