I mercati finanziari e le catene di produzione del valore sono sempre più globali, interconnessi e interdipendenti. Si tratta di un fatto – incontrovertibile e certo nell’era della globalizzazione – che comporta mutamenti radicali e repentini anche nelle strutture societarie.
Le aziende sono sempre più attive nello stringere accordi, stipulare partnership o lanciare operazioni di M&A sia all’interno che all’esterno dei confini nazionali per accrescere la competitività e conquistare nuovi mercati. Ciò comporta che i network imprenditoriali, definiti da legami di varia natura fra imprese, persone fisiche, enti governativi, etc, sono in continua evoluzione, si arricchiscono ogni giorno di nuove “entità” collegate più o meno formalmente fra di loro.
I network sono estremamente fluidi, complessi e ramificati e spesso le aziende medesime non li conoscono a fondo: non per negligenza ma per l’obiettiva difficoltà di monitorarli. Tracciare costantemente le relazioni fra l’azienda e altre entità (interne ed esterne) è però una prassi sempre più centrale nell’ottica di gestire il rischio-controparte e si traduce spesso in un vantaggio competitivo.
Normalmente, quando si parla di due diligence, non ci si riferisce alla dimensione “relazionale” o reputazionale, bensì a quella prettamente economico-finanziaria che afferisce all’opportuna valutazione degli asset aziendali e della struttura patrimoniale.
Ma condurre una due diligence investigando il network in cui è “immersa” un’impresa, un cliente o un partner potenziale è cruciale per salvaguardare la reputazione aziendale e, di riflesso, la performance economica. Per estremizzare, addirittura nella sfera matrimoniale si usa sempre più spesso ricorrere a diverse fattispecie di verifiche prima di contrarre nuove nozze: nella peggiore delle ipotesi, il partner potrebbe celare informazioni rilevanti e pregiudizievoli.
Da ciò scaturisce l’opportunità per le aziende, definita anche dalla normativa di riferimento e dalle best practice di mercato, di fare studi approfonditi sui propri partner, clienti, fornitori.
La Due Diligence reputazionale
Dopo aver chiarito che parliamo di “due diligence reputazionale” è necessario definire brevemente il concetto di reputazione aziendale. Cosa è la reputazione? Da cosa è determinata? Come si misura? Se ne potrebbe parlare a lungo ma, in buona sostanza, la reputazione di un’azienda consiste nella considerazione che il pubblico ha dell’azienda stessa. Ovviamente la reputazione è sedimentata in maniera diversa in ciascuna categoria di stakeholder e non è necessariamente detto che sia espressa o misurabile. La funzione di una due diligence reputazionale è proprio quella di sondare la reputazione di un cliente/partner presso il pubblico o rilevare eventuali fattori che possano incidere negativamente sulla stessa.
La finalità è tendenzialmente preventiva/difensiva, di riduzione del rischio, ma può avere anche risvolti economici nell’ambito di una trattativa.
Riscontrare elementi critici (o potenzialmente tali) su un fornitore o un’impresa non necessariamente comporta la cessazione del rapporto, ma può ricondurre la contrattazione su ordini di grandezza differenti in termini monetari: è questo il caso in cui una due diligence reputazionale può garantire un vantaggio competitivo ed economico.
Il contesto normativo
La due diligence non è sempre citata esplicitamente nei diversi ordinamenti, anche se di fatto l’attività di controllo su partner, fornitori e clienti è prevista da numerose fonti normative nazionali e sovranazionali.
Il termine “due diligence” torna quindi utile per circoscrivere e delimitare quell’insieme di attività di controllo interno ed esterno previste dalle leggi vigenti, la cui finalità è garantire la correttezza delle operazioni finanziarie, disincentivare gli episodi di corruzione, di finanziamento ad attività illecite e dimostrare la “buona fede” dei soggetti imprenditoriali. Vi sono in particolare alcuni pilastri normativi dai quali, per osmosi, sono germogliate diverse best practice adottate prima a livello sovranazionale e recepite in seguito dai singoli ordinamenti. Già nel 1977 negli Stati Uniti (con il Foreign Corrupt Practices Act – FCPA) si tendeva a generare, all’interno delle aziende, forme di responsabilità diffusa. Qui già si faceva menzione esplicita della due diligence e la portata del provvedimento era tale che un singolo episodio corruttivo poteva configurare ben tre diversi capi di imputazione. Un altro aspetto fondamentale del FCPA risiede nel fatto che si prevedeva la necessità di aggiornare periodicamente la verifica sui clienti. Quest’ultima diventa quindi un ciclo continuo di monitoraggio delle relazioni, un’attività dinamica in costante divenire, non un adempimento una tantum. Ciò, a maggior ragione, è valido e sempre più necessario oggi che viviamo nell’era dei big data e dei social network, che amplificano la portata e l’efficacia del monitoraggio.
Nel Regno Unito invece il “Bribery Act” (2010) prevede la responsabilità degli amministratori non solo in caso di responsabilità diretta, ma anche qualora la struttura organizzativa non si sia dotata di un framework efficace di controlli interni atti a ridurre il rischio corruttivo.
In ambito internazionale sono molteplici le linee guida emesse e periodicamente aggiornate dalle diverse organizzazioni (OCSE, OECD) per definire standard operativi atti non solo a ridurre la corruzione ma anche a stabilire rapporti di filiera rispettosi dei diritti umani e dei più elevati standard ambientali. La due diligence viene citata talora esplicitamente, a volte si utilizzano terminologie differenti (è il caso della “background investigation” raccomandata dalla ACFE – Association of Certified Fraud Examiners), mentre la FATF – Financial Action Task Force, fondata durante il G7 di Parigi del 1989, definisce gli standard internazionali, emana raccomandazioni e analizza le vulnerabilità dei singoli paesi nel contrasto alla corruzione e al finanziamento delle organizzazioni terroristiche. La FATF, soprattutto, raccomanda che la due diligence sia utilizzata non solo per i nuovi clienti/partner, ma anche per i rapporti già in essere.
Molto importante, nel caso del FATF, anche la formalizzazione del concetto di “Persona esposta politicamente”, peraltro richiamato anche dalla legislazione comunitaria. Diverse convenzioni internazionali (Palermo, Vienna) e risoluzioni delle Nazioni Unite definiscono gli applicativi della due diligence mentre a livello europeo almeno 5 direttive hanno normato il tema. Nella quinta direttiva antiriciclaggio, si prevede che ogni stato implementi un registro degli Ultimate Beneficial Owner delle imprese: l’obiettivo è quello di un albo unico europeo che garantisca la tracciabilità dei soggetti che, a vario titolo, detengono l’effettivo controllo di un’attività imprenditoriale. Cruciale anche la disposizione di misure specifiche per la formazione dei dipendenti atte a contrastare i reati finanziari nelle organizzazioni. In Italia le innovazioni normative sono in gran parte derivate dalla trasposizione nel nostro ordinamento della normativa comunitaria. Vale la pena citare il D.Lgs 231/2007, che dispone la “adeguata verifica della clientela” imponendo di verificare l’identità dei clienti, la titolarità effettiva dei partner/fornitori, la natura dei rapporti continuativi e il controllo costante durante l’intera durata della collaborazione.
Le competenze tecniche necessarie per verificare la clientela
Se le differenti normative stabiliscono chiaramente che la due diligence è una prassi cogente, non possiamo certo dire che siano definite con altrettanta chiarezza le modalità operative, il perimetro d’azione, gli standard qualitativi. In buona sostanza, la qualità di una due diligence è la variabile dipendente mentre quelle indipendenti sono molteplici: il know-how del soggetto che investiga, lo stato di avanzamento tecnologico, la ricchezza di informazioni disponibili, su fonti aperte, relativamente all’oggetto dell’indagine.
L’impianto concettuale della due diligence reputazionale rimane infatti quello dell’OSINT (Open Source Intelligence), quell’insieme di tecniche – anche se c’è chi considera l’OSINT una vera e propria dottrina – finalizzate a generare conoscenza strutturata a partire dal reperimento, analisi ed elaborazione di dati spesso disseminati sul web o su altri supporti non classificati. La figura dell’analista OSINT che redige il rapporto di due diligence è centrale e in costante evoluzione, così come cambia frequentemente il contesto ambientale, il vero vincolo alla reperibilità delle informazioni. Se è vero che fino all’80-90{75e7d0dc4051139c388b1063bf9b83ded1e0bc723497d9a30ec1dafa647d05a3} dei dati utili ai fini dell’intelligence è reperibile su fonti aperte, quindi teoricamente accessibile a tutti, ciò non significa che acquisire le informazioni sia agevole. Spesso è necessario fare ricorso a tecniche avanzate di estrazione di dati e metadati, di analisi delle infrastrutture informatiche e di visualizzazione dei network con tecniche derivate dalla sociologia, come la social network analysis.
Insomma, l’analisi OSINT, altamente interdisciplinare, è la base di ogni buona due diligence ed è uno skill che si arricchisce continuamente di nuovi strumenti anche grazie alla condivisione di “tool” e software spesso open-source. La comunità internazionale degli analisti OSINT è infatti molto aperta e attiva nel favorire la diffusione della conoscenza settoriale e anche la medesima attività di analisi e investigazione fa sempre più spesso ricorso a forme di “intelligence crowdsourcing”, dove pubblici indistinti possono contribuire a fornire informazioni utili attraverso piattaforme digitali o di natura collaborativa.
Per concludere, possiamo certamente sostenere che la metodologia OSINT applicata a una due diligence circolare, periodica e strutturata sulla dimensione interna ed esterna di un’azienda rappresenta un asset sempre più necessario per strutturare le procedure di controllo interne, salvaguardare la reputazione e assicurare un decision-making più efficiente e consapevole.
di Roberta Bianchi, Amministratore Delegato IFI Advisory