Il legame tra il valore azionario delle aziende e i cyber attacchi

Il legame tra il valore azionario delle aziende e i cyber attacchi

Il valore di un metodo, Alessandra Colonna
23 Giugno 2020
The link between the equity value of companies and cyber attacks
24 Giugno 2020

Quantificare economicamente il danno causato da un attacco cyber con annessa, magari, una perdita di dati è oggetto di studio da parte di tutti gli stakeholder in tutti i settori produttivi.

La Banca Centrale Europea (BCE), nel report pubblicato all’inizio del 2019 e svolto in stretta collaborazione con le Autorità Nazionali Competenti (ANC) e con il contributo dei Gruppi di Vigilanza Congiunti (GVC), identifica fra i tre fattori di rischio più importanti il cyber crime e le disfunzioni dei sistemi informatici.

A fronte del fatto oggettivo che il rischio Cyber sta diventando sempre di più uno dei fattori rilevanti, è giusto domandarsi se un attacco cyber possa avere impatti sul valore azionario di una società e in quale misura. Se si riuscisse ad identificare tale effetto, l’impresa non solo potrebbe valutare al meglio i rischi da gestire, ma anche identificare le modalità di trattamento del rischio più adatte e attuare le migliori strategie contenitive in caso di evento.

A costituire il valore di un titolo non è solo l’impresa, ma il mercato stesso e, come qualunque mercato si rispetti, vige la legge della domanda e dell’offerta tale per cui, se improvvisamente iniziassero delle vendite massive di un titolo, il prezzo dello stesso diminuirebbe improvvisamente e questo annullerebbe qualunque beneficio nel breve periodo. È necessario quindi comprendere quale sia il momento adatto per effettuare delle operazioni di “sell or buy” in base alla portata dell’evento che ha colpito l’azienda.

Qualora si dimostrasse che un attacco cyber potrebbe influenzare il valore azionario, quest’ultimo si dimostrerebbe anche un eccezionale strumento per acquisizioni massicce di titoli a prezzi vantaggiosi.

La misurazione dell’effetto sul valore di un evento economico di un’impresa è, per molti, un’attività impegnativa, ma tale misurazione può essere effettuata attraverso il ricorso a un’analisi di natura Event Study (Studio d’evento). Questa tecnica, basata su un metodo di analisi di tipo econometrico, è finalizzata alla valutazione dell’impatto esercitato da uno specifico evento sul valore di un’azienda attraverso l’uso di dati di natura finanziaria, ossia verificando le variazioni del corso delle azioni in seguito ad un evento inatteso. Se sono valide le ipotesi di efficienza dei mercati, ovvero che i prezzi riflettono istantaneamente le nuove informazioni disponibili, l’analisi della variazione dei prezzi dei titoli rappresenta un riflesso della variazione dei futuri cash flow attesi dell’azienda. Quindi, osservando i prezzi dei titoli in un periodo circoscritto nel quale si rendono disponibili le informazioni in merito ad un determinato evento inatteso ed analizzando l’ampiezza della performance inattesa, si può inferire la significatività statistica su tale evento e il suo impatto.

A differenza di altre tecniche di analisi, questa è effettuata ex-post, dopo l’annuncio di un evento. In questo modo, è possibile comprendere al meglio, grazie a dati certi, quale sia stato l’effettivo impatto di un evento sul corso dei titoli. Nonostante essa sia effettuata successivamente al verificarsi di un dato evento, ha valore previsionale, in quanto, se si registrassero delle regolarità nei risultati, sarebbe possibile aspettarsi in futuro un impatto quantomeno simile. Utilizzando questo modello, la fondazione Global Cyber Security Center (www.gcsec.org) ha condotto uno studio per comprendere possibili cause effetto tra attacchi cyber e valore azionario di un’azienda.

Il campione, preso in considerazione dallo studio, conta 221 aziende/enti/istituzioni finanziarie colpite da attacchi informatici rilevanti tra il 2011 e il 2019 appartenenti a quattro regioni geografiche differenti: NORAM (Canada, Stati Uniti e Messico), EMEA (Europa, Medio Oriente e Africa del Nord), JAPAC (Asia Pacifica, Giappone, Cina), LATAM (America Latina). Di queste, quelle utilizzate per l’analisi Event Study sono state 60, in quanto quotate. La minaccia considerata nello studio è unicamente quella relativa allo scenario di attacco informatico. Non sono stati contemplati errori umani o catastrofi naturali. Nel campione

selezionato sono presenti solo quegli eventi che sono stati resi di pubblico dominio in via ufficiale e con una quantificazione ufficiale delle perdite superiore ad un milione di dollari. Gli eventi, che non hanno rispettato questi criteri, non sono stati inclusi nel campione per non incorrere nel rischio di contaminazione dei risultati.

Lo studio è stato coordinato da Massimo Cappelli ed è frutto di un progetto di tesi svolto presso la Fondazione GCSEC dalla dottoressa Marika Mazza laureata magistrale in Analisi Economica presso l’Università degli Studi di Roma “La Sapienza” e attualmente analista finanziaria presso una importante banca depositaria su scala globale.

A questo punto non mi resta che suggerivi la lettura.

Impatto del cyber risk su valore azionario (Download PDF)

Condividi su:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

EnglishFrenchGermanItalianRussianSpanish