W ubiegły czwartek Mirosław Kachniewski opublikował felieton o sytuacjach kryzysowych w spółkach publicznych, o których rozmawialiśmy na XV Kongresie Relacji Inwestorskich. Postawił w nim tezę, z którą nie sposób się nie zgodzić, że spółki publiczne są wymarzonym obiektem ataku wszelakiej maści podmiotów, które chciałyby tym spółkom zaszkodzić, czy to poprzez rozpowszechnianie nieprawdziwych informacji, fizyczny atak na ich majątek czy też szantaż związany z cyberatakiem. W felietonie tym chciałbym pokazać, jak spółki dotknięte takim atakiem poradziły sobie informacyjnie.
W piątek 15 marca tuż przed rozpoczęciem sesji giełdowej wywiadownia Hindenburg Research opublikowała raport, w którym oskarżyła spółkę LPP o pozorowaną sprzedaż swoich aktywów w Rosji i dalszą działalność na tamtym rynku. Jak się należało spodziewać, kurs akcji runął i spółka z WIG20 traciła w trakcie sesji ponad 38 proc. przy kolejnych zawieszeniach obrotu na coraz niższych widełkach statycznych. Taki lawinowy spadek kursu akcji spowodował natychmiastową reakcję emitenta. Po niecałych dwu godzinach spółka opublikowała informację poufną, że raport Hindenburga jest elementem ataku dezinformacyjnego obliczonego na spadek kursu akcji LPP. Bezpośrednio zatem spółka nie odcięła się od zarzutów wywiadowni, ale dała sygnał rynkowi o celach publikacji raportu. Po niespełna 2,5 godzinie spółka opublikowała drugą informację poufną, w której w 9 punktach zaprzeczyła doniesieniom zawartym w raporcie Hindenburga. I w końcu po kolejnych 2 godzinach opublikowała trzecią, w której upubliczniła informację o kolejnych działaniach i odniosła się do kolejnych aspektów raportu Hindenburga.
W niedzielę 12 maja chyba wszystkie media w Polsce od rana relacjonowały przebieg pożaru w centrum handlowym Marywilska 44. Prześcigały się one w podawaniu informacji o tragedii kupców, o utracie przez nich dobytku życia, spekulowano o przyczynach pożaru. Zdarzenie to miało charakter nadzwyczajny, a wątków w sprawie robiło się z biegiem czasu coraz więcej. Centrum handlowe, które uległo pożarowi, jest własnością spółki Marywilska 44 sp. z o.o., która z kolei jest spółką zależną od spółki giełdowej firmy Mirbud. Wieczorem, gdy wiedza wszystkich była już bardziej kompletna, Mirbud opublikował raport o samym fakcie pożaru, podjętych i zamierzonych działaniach oraz ustalonych na koniec dnia skutkach. Przede wszystkim wskazał, że budynek centrum handlowego był ubezpieczony, przychody i wynik działalności Marywilska 44 sp. z o.o. nie mają znaczącego wpływu na bieżącą działalność jego grupy kapitałowej i że podjął decyzję o odbudowie centrum handlowego. Znalazło się tam też enigmatyczne stwierdzenie, że wszelkie okoliczności zdarzenia są badane przez odpowiednie organy. Jakie to organy, wszyscy dowiedzieliśmy się o wiele później.
I w końcu hipotetyczne wydarzenie. Fikcyjna spółka X stała się przedmiotem cyberataku. Hakerzy weszli do jej zasobów informatycznych, ale nie wiadomo, jakie dane wykradziono. Prawdopodobnie żadne istotne, ale pewności nie ma. Po jakimś czasie ktoś zgłasza się z żądaniem wypłacenia okupu, a jak to nie nastąpi, to szantażysta opublikuje pełne „wykradzione” dane osobowe klientów spółki X. Zarząd spółki X staje przed podstawowym dylematem – płacić czy nie płacić. Podejmuje decyzję, że nie ulegnie szantażyście, co rodzi kolejne pytanie – co jeżeli szantażysta ma te dane i je upubliczni? Czy uprzedzając to zagrożenie reputacyjne, opublikować informację o tym ryzyku? Finalnie spółka X nie publikuje takiego raportu, ale informuje o tym fakcie KNF.
W mojej ocenie wszystkie trzy ww. spółki w sposób prawidłowy wywiązały się z obowiązku niezwłocznej publikacji informacji poufnej. W pierwszym przypadku spółka LPP w sytuacji, gdy na sesji lała się krew w notowaniach jej akcji, systematycznie odkrywała kolejne pewne ustalone okoliczności. Spółka nie czekała na wyjaśnienie wszystkich detali, tylko na bieżąco informowała rynek, co wie. W drugim przypadku spółka Mirbud miała więcej czasu na publikację raportu. Była niedziela, sesja giełdowa się nie odbywała, więc w zasadzie żaden racjonalnie działający inwestor nie mógł wykorzystać tej informacji. Sprawdzenie skutków pożaru, jej przyczyn (a badały ją „odpowiednie organy”) oraz analiza umowy ubezpieczenia i jej wyłączeń nie trwa chwilę. I w końcu ostatni przypadek, hipotetyczny. Tu spółka X uznała, że nie powstała informacja poufna, stąd nie powstał też obowiązek jej publikacji. Podjęła ryzyko i się opłaciło. Szantażysta nie dostał okupu i nie opublikował wykradzionych rzekomo danych.
