M&A: O Risco Invisível do Software Que Custa Caro no Fechamento
Destaques
- •1 em cada 4 M&A sofreu incidentes cibernéticos pós-fechamento.
- •Due diligence tradicional falha em mapear passivos de software.
- •Regulamentação brasileira (BCB 538 e CMN 5.274) eleva risco de cadeia de software a passivo regulatório.
Pois é, parece que a festa do M&A anda tendo um convidado indesejado: incidentes cibernéticos. Acontece que 1 em cada 4 transações já foi impactada por problemas de segurança, e a due diligence que a gente conhece não tá dando conta do recado.
O pulo do gato é que o chamado passivo de software – aquele monte de código com histórico obscuro, dependências desatualizadas e vulnerabilidades escondidas – raramente aparece no valuation. E quando aparece, o estrago já tá feito: 42% dos afetados viram o valuation cair e 58% tiveram metas financeiras comprometidas.
E a coisa fica ainda mais séria por aqui.
As novas regras do BCB 538 e CMN 5.274 transformaram a cadeia de software dos fornecedores em responsabilidade direta das instituições financeiras. Ou seja, comprar uma fintech sem provar a integridade do software é herdar um belo passivo regulatório. A pergunta agora não é só sobre CVEs abertas, mas se você consegue provar a conformidade de cada componente. Quem não souber fazer essa verificação antes do fechamento, vai acabar pagando caro depois. 📉
