Hai aperto una cartella condivisa su Dropbox per gestire i documenti del deal. Il buyer ha caricato le sue domande in una sottocartella, il tuo legale sta lavorando su una versione del contratto che non sai se è l'ultima, e qualcuno ha condiviso il link con un indirizzo email che non riconosci.
Questo e’ il momento in cui Dropbox smette di essere uno strumento di lavoro e diventa un rischio legale.
La domanda non è se Dropbox sia un buon prodotto, la domanda è se sia lo strumento giusto per una due diligence M&A.
La risposta è no, per ragioni tecniche, legali e operative che questa guida documenta con dati verificati.
Cosa distingue una Virtual Data Room da Dropbox: il confronto diretto
La differenza sta nell'architettura: Dropbox è ideale per la condivisione di file, una Virtual Data Room (VDR) è costruita per la governance di un processo documentale in un contesto ad alto rischio legale.
Di seguito è riportata una tabella esplicativa pensata per aiutarti a comprendere meglio le principali differenze.
Funzionalita’ | Dropbox | Virtual Data Room (VDR) |
Audit trail difendibile in tribunale | ✗ Non disponibile | ✓ Export legal-grade certificato |
Permessi granulari per documento | ✗ Solo per cartella | ✓ Per documento, utente e ruolo |
Watermark dinamico (nome + IP) | ✗ Non disponibile | ✓ Su ogni documento visualizzato |
NDA tracking integrato | ✗ Non disponibile | ✓ Accesso condizionato alla firma NDA |
Versioning automatico dei documenti | Parziale (cronologia base) | ✓ Versioning M&A-grade con alert |
Scadenza automatica degli accessi | ✗ Non disponibile | ✓ Data di scadenza per singolo utente |
Protezione da screenshot | ✗ Non disponibile | ✓ Fence view integrato |
GDPR compliance documentata (art. 32) | ✗ Non certificata per M&A | ✓ ISO 27001 + SOC2 + GDPR EU |
Modulo Q&A integrato | ✗ Non disponibile | ✓ Thread gestiti per buyer |
Prezzi verificabili pubblicamente | ✓ Si’ | Dipende dal provider |
Il problema dell’audit trail: la domanda che non vuoi sentirti fare
In una due diligence c’è sempre un momento decisivo: la firma, il closing e, talvolta, una contestazione post-closing.
Poi arriva la domanda che ogni avvocato M&A teme: “Chi ha avuto accesso a quel documento, e quando?”
Con Dropbox, la risposta è incompleta. La piattaforma registra alcune attività di base, ma non produce un audit trail in formato legal-grade:
- non certifica il timestamp di apertura di ogni singolo file,
- non registra il numero di visualizzazioni,
- non distingue tra visualizzazione e download,
- non e’ esportabile in un formato allegabile a un documento contrattuale
Una VDR genera un log completo e certificato: chi ha aperto cosa, quando, per quanti minuti, da quale IP. Quel log è esportabile in PDF e allegabile agli atti del closing. Dropbox non lo fa.
Permessi granulari: chi vede cosa, e perché conta
In una due diligence tipica, ci sono almeno cinque categorie di utenti con esigenze di accesso diverse:
il buyer e il suo team di advisor (accesso ai documenti, non in modifica);
il legale del venditore (accesso pieno, con diritto di commento);
• il management del target (accesso limitato alla propria area funzionale);
• i consulenti esterni come commercialista e notaio (accesso temporaneo a cartelle specifiche);
• gli osservatori come advisor finanziario e banca (accesso in sola lettura, con o senza download).
Dropbox gestisce i permessi a livello di cartella: condividi la cartella, e chi la riceve ha accesso all’intera cartella. Per differenziare, devi creare cartelle separate, gestire manualmente chi ha accesso a cosa, e sperare che nessuno condivida un link sbagliato.
Una VDR gestisce i permessi a livello di singolo documento, per singolo utente, con scadenza programmabile.
Il responsabile HR del venditore vede solo la cartella HR. Il consulente tecnico vede solo i brevetti. Il buyer vede quello che tu hai deciso di mostrargli, e solo finche’ non hai deciso diversamente.
Ma cosa prevede la normativa per un'azione di due diligence?
GDPR e due diligence: cosa prevede la normativa
Il Regolamento UE 2016/679 (GDPR) stabilisce obblighi precisi per il trattamento dei dati personali. In una due diligence M&A, i documenti scambiati contengono quasi sempre dati personali: contratti con dipendenti, dati HR, informazioni su clienti e fornitori.
L’art. 32 GDPR impone che il titolare adotti “misure tecniche e organizzative adeguate” a garantire un livello di sicurezza appropriato al rischio.
Dropbox non è certificato ISO 27001 per contesti M&A, non garantisce che i dati siano ospitati su server EU, e non produce la documentazione necessaria a dimostrare la conformita’ ex art. 28 GDPR (accordo con il responsabile del trattamento).
Dropbox e’ uno strumento eccellente per quello per cui è stato progettato: la condivisione di file tra persone che si fidano reciprocamente, senza requisiti di tracciabilita’ legale.
Una due diligence M&A è un processo in cui documenti riservati vengono condivisi con controparti terze, in cui l’accesso deve essere tracciato e certificato, in cui il GDPR impone misure specifiche, e in cui un audit trail mancante puo’ diventare un problema legale dopo il closing.
Usare Dropbox per una due diligence non e’ una scelta economica: e’ una scelta che trasferisce il rischio dal costo dello strumento al costo di una contestazione post-closing.
Una VDR come SimpleVDR parte da 99 euro al mese. Il costo di un accordo di riservatezza violato è un altro ordine di grandezza.