Creare una Cultura di Prevenzione delle Frodi: è Responsabilità di Tutti

Sembra che ogni giorno ci sia la notizia di una nuova frode. Di conseguenza, le imprese stanno imparando che la prevenzione delle frodi debba rappresentare una responsabilità di tutti i dipendenti all’interno dell’organizzazione. Per prevenire le frodi, un’azienda deve concentrarsi sulla formazione attraverso corsi, controlli standardizzati e politiche IT, e dotarsi al contempo di una soluzione tecnologica forte. 

La minaccia di frodi è cresciuta vertiginosamente negli ultimi anni. Infatti, secondo l’AFP Fraud and Control Study 2021, nel complesso il 74% delle imprese ha subito una frode o un tentativo di frode. La tua azienda deve essere preparata a far fronte a questo rischio e le attività di tesoreria devono supportare l’identificazione e la prevenzione delle frodi. Recentemente, ho avuto una conversazione con un Tesoriere che mi ha detto: “Se [il rischio di frodi] non è al centro dei tuoi pensieri nelle attività di tesoreria, hai già perso.” Ha poi continuato spiegando quanto più difficile sia gestire le frodi quando si dispone di un team di tesoreria decentralizzato. 

La migliore prevenzione delle frodi consiste nell’instaurare un ecosistema, una cultura e una tecnologia forti e resistenti: essi rappresentano il tessuto di un’organizzazione. La prevenzione delle frodi deve essere una priorità per tutti all’interno dell’impresa. Una formazione specifica dovrebbe essere inclusa nell’orientamento introduttivo, nonché nei processi di formazione continua e nelle campagne annuali di sensibilizzazione. Ogni individuo deve essere in grado di identificare potenziali campagne di phishing e di Compromissione delle Email Aziendali (Business Email Compromise – BEC – in inglese), per assicurarsi di non diventarne vittima. Basta solo una persona per effettuare una valutazione sbagliata e consentire l’accesso all’interno del sistema aziendale. È anche importante considerare le differenze culturali per gli uffici in altre parti del mondo. Gli autori delle frodi, infatti, stanno approfittando delle norme culturali. In alcuni Paesi asiatici, in particolare, è naturale affidarsi a persone con anzianità. Per esempio, la ricezione di un messaggio dal CFO per effettuare un pagamento non verrebbe normalmente messa in discussione. Di conseguenza, assicurati che tutte le persone abbiano un modo per condividere, intensificare e/o interrompere una transazione quando potrebbero esserci potenziali problemi. 

Le procedure standardizzate sono essenziali. Con la BEC, gli autori delle frodi assumono che utilizzando il nome e le email dei membri senior del gruppo dirigenziale, come il CEO o il CFO, indurranno i dipendenti che occupano una posizione inferiore nella scala gerarchica a fare come indicato senza domande. Per impedire che ciò accada, è imperativo che le procedure stabilite vengano rigorosamente osservate, e che i vertici aziendali offrano un ambiente in cui i membri meno senior del gruppo si sentano a proprio agio nel chiedere se un pagamento sia legittimo. Se esistono più sistemi ERP, è necessario assicurarsi che siano in atto processi di approvazione coerenti attraverso tutti i sistemi. Per gli uffici regionali più piccoli, bisogna impostare procedure e approvazioni per garantire la separazione dei compiti e la completa visibilità delle attività anche negli uffici più remoti. Alcuni autori di frodi preferiscono prendere di mira gli uffici regionali nella speranza di aggirare alcuni dei processi più rigorosi in vigore presso la sede centrale. 

È anche essenziale avere un focus IT sulla prevenzione delle frodi e sulle politiche che supportano questi sforzi. Il dipartimento IT dovrebbe assicurarsi che i dipendenti siano protetti da password e che le loro password non siano facilmente indovinabili. Dovrebbero mantenere firewall forti e tenersi aggiornati sulle ultime soluzioni tecnologiche per identificare potenziali attività di hacker. Inoltre, è utile mettere casualmente alla prova i dipendenti con email di phishing per aiutarli a riconoscere le email fraudolente. 

Infine, le soluzioni tecnologiche per identificare le frodi sono una componente fondamentale della prevenzione delle frodi. Le soluzioni dovrebbero includere un rilevamento delle frodi regolamentato per identificare più scenari, per esempio situazioni in cui il numero di conto bancario di un fornitore è cambiato. Transazioni di questo tipo devono essere segnalate e trasmesse per la convalida. Per esempio, un individuo dovrebbe chiamare l’impresa utilizzando un numero di telefono inserito nel sistema di registrazione. Oppure la transazione dovrebbe essere trasmessa per la verifica dell’account, in modo da confermare che il conto bancario sia di proprietà dell’azienda che deve essere pagata e non di una qualche organizzazione fraudolenta. La verifica dell’account è un nuovo strumento che è stato messo a disposizione dei cosiddetti rules engines. Esso permette di aumentare il grado di certezza che l’account sia di proprietà dell’entità con la quale l’impresa ha una relazione, senza bisogno di contattare direttamente l’entità per verificare (un processo molto dispendioso in termini di tempo). La verifica è rapida e non rallenta i pagamenti leciti. La tua soluzione tecnologica antifrode dovrebbe anche identificare altre situazioni di frode che tu e il tuo gruppo di colleghi avete già sperimentato o considerato. 

Anche il machine learning è fondamentale per identificare le anomalie di pagamento sulla base della cronologia delle transazioni passate. Consente infatti di identificare degli schemi ricorrenti nell’immensa mole di dati sulle transazioni che la tua organizzazione ha accumulato, e quindi di abbinarli in tempo reale alle tue transazioni specifiche, per identificare potenziali frodi. Questo ulteriore livello di protezione cerca comportamenti che potrebbero non essere identificati dall’occhio umano (tempi di ricezione della fattura o variazioni nella frequenza delle richieste di pagamento). Il sistema si adatta continuamente in base alle informazioni che sta monitorando e fornisce suggerimenti quando identifica comportamenti potenzialmente fraudolenti. 

Gli autori delle frodi continuano ad attaccare poiché hanno solo bisogno di trovare quell’unico anello debole, quell’unico giorno, con quell’unica persona all’interno dell’organizzazione. Sta a te assicurarti che gli individui della tua azienda siano preparati per l’attacco. Assicurati di avere un programma di formazione che aiuti i tuoi dipendenti a identificare potenziali tentativi di frode. Definisci, monitora e applica politiche che supportino la separazione dei compiti e l’implementazione di processi coerenti in tutta l’organizzazione. Verifica che il tuo reparto IT sia all’avanguardia della tecnologia per identificare e prevenire l’azione degli hacker, supportando le migliori pratiche quando si stabiliscono politiche e processi all’interno dell’organizzazione. Ultimo, ma certamente non meno importante, assicurati di utilizzare la migliore tecnologia per identificare i pagamenti potenzialmente fraudolenti, in modo da impedire a tali pagamenti di uscire dall’impresa. Alcuni fornitori di soluzioni di tecnologia utilizzano gli strumenti di rilevamento delle frodi nel linguaggio per riferirsi alla presenza di strumenti di screening delle sanzioni o di flussi di lavoro, mentre altri ti informano di un elemento fraudolento solo dopo che la transazione è stata inviata alla banca. Una soluzione tecnologica di prima categoria combina strumenti di approvazione e flussi di lavoro oltre ad un solido rules engine e a processi di machine learning per identificare transazioni potenzialmente fraudolente in tempo reale. Offrendo l’opportunità di interrompere qualsiasi transazione prima che lasci l’azienda. 

La prevenzione delle frodi è qualcosa a cui tutti nella tua organizzazione devono impegnarsi, in modo da impedire ai truffatori di avere successo.