La frode nei pagamenti può minacciare le finanze aziendali e la privacy dei clienti e per prevenirla sono necessarie delle soluzioni difensive sofisticate e flessibili quanto le tattiche usate dagli attori fraudolenti.
La frode nei pagamenti può assumere diverse forme, dal furto dei numeri delle carte di credito a un lettore di carte non protetto a email false dannose. Ad esempio, una ricerca del 2021 di Tessian ha rilevato che i dipendenti negli Stati Uniti ricevono in media 14 email all’anno che li invitano a compiere azioni finanziarie fraudolente. In alcuni settori, il numero è molto più alto, come per i lavoratori del commercio al dettaglio che ogni anno ricevono in media 49 email fraudolente.
Il phishing è uno dei tipi di frode nei pagamenti più comuni e costituisce il 44% di tutte le violazioni di dati nel 2020. Lo skimming, con cui gli attori fraudolenti acquisiscono informazioni sulle carte da sportelli bancomat o terminali di pagamento, costa alle aziende approssimativamente 1 miliardo di dollari l’anno. Il furto di identità, ovvero quando le informazioni personali vengono rubate e utilizzate per effettuare acquisti fraudolenti, nel 2021 costituiva il 24% di circa 6 milioni di denunce di frode, secondo FTC. Queste sono solo alcune delle tipologie di frodi nei pagamenti che le aziende devono combattere.
La frode nei pagamenti è una minaccia grave, ma le aziende possono mitigarla con una serie di efficaci tattiche di difesa. Ecco quello che devi sapere sulle tipologie comuni di frodi nei pagamenti, come funzionano e cosa puoi fare per proteggere te, la tua attività e i tuoi clienti.
Contenuto dell'articolo
- Che cos’è la frode nei pagamenti?
- Tipologie di frodi nei pagamenti
- Vantaggi della protezione contro le frodi
Che cos’è la frode nei pagamenti?
La frode nei pagamenti è un tipo di frode finanziaria che prevede l’utilizzo di informazioni di pagamento false o rubate per ottenere denaro o beni. La frode nei pagamenti può avvenire in una serie di modi, ma spesso è attuata da attori fraudolenti che sottraggono informazioni su carte di credito o conti bancari, falsificano assegni o usano informazioni sull'identità rubate per effettuare transazioni non autorizzate.
Tipologie di frodi nei pagamenti
Ci sono diversi metodi che gli attori fraudolenti usano per commettere una frode nei pagamenti. Ecco alcune delle tattiche più comuni:
Phishing
Che cos’è:
Il phishing è un tipo di attacco di social engineering, ovvero una tattica che mira a ingannare le persone attraverso la manipolazione tecnologica, in cui gli attori fraudolenti usano email, SMS o siti web fraudolenti per indurre le persone a rivelare informazioni sensibili come credenziali di accesso e dati della carta di credito.
Gli attacchi di phishing in genere si servono di email che sembrano provenire da una fonte affidabile, come una banca o un commerciante online rinomato. L’email potrebbe chiedere al destinatario di fare clic su un link per aggiornare le informazioni sull’account, verificare una transazione recente o riscuotere un premio. Quando il destinatario fa clic sul link, viene indirizzato a un sito web falso in cui viene richiesto di inserire le credenziali di accesso, i dati della carta di credito o altre informazioni sensibili.
Gli attacchi di phishing possono anche avvenire tramite gli SMS, forma nota come “smishing”, o tramite le piattaforme di social media, nota come “pharming”. In questi casi, l'aggressore invia un messaggio o un link a un sito web fraudolento che appare identico a quello legittimo, per rubare informazioni personali o infettare il dispositivo con malware.
Come prevenirlo:
Per proteggerti dagli attacchi di phishing, presta attenzione prima di fare clic sui link o aprire gli allegati provenienti da fonti sconosciute o sospette. Impara a riconoscere le tattiche frequentemente usate dagli attori fraudolenti, come linguaggio intimidatorio o minaccioso, parole con errori di ortografia o link sospetti. Anche l’utilizzo di software antivirus può contribuire a proteggerti dagli attacchi di phishing.
Come per altri tipi di frode nei pagamenti, le truffe di phishing tendono a evolversi nel tempo, diventando sempre più avanzate e credibili. Le persone fisiche e le aziende devono informarsi ed educare i propri dipendenti sul phishing e su come riconoscere ed evitare questi attacchi.
Skimming
Che cos’è:
Lo skimming si verifica quando un attore fraudolento usa un dispositivo, detto skimmer, per rubare i dati di carte di credito o di debito. L’attore fraudolento collega uno skimmer al lettore di carte di sportelli bancomat o terminali POS come pompe di benzina, casse automatiche e altri terminali di pagamento. Lo skimmer acquisisce i dati della banda magnetica della carta, che possono essere usati per creare carte contraffatte o effettuare acquisti fraudolenti.
Oltre agli skimmer, gli attori fraudolenti possono anche usare microtelecamere o congegni posizionati sopra la tastiera dello sportello bancomat o del terminale di pagamento per acquisire il PIN del cliente. Queste informazioni vengono quindi usate con i dati della carta rubati per effettuare prelievi o acquisti non autorizzati.
Come prevenirlo:
Rilevare lo skimming può essere difficile poiché i dispositivi utilizzati sono spesso minuscoli e poco visibili, ma non è impossibile. Esistono alcuni segnali che possono indicare la presenza di un dispositivo di skimming, come lettori di carte allentati o danneggiati, dispositivi aggiuntivi o insoliti collegati al terminale di pagamento oppure dispositivi che sembrano diversi dagli altri terminali di pagamento in zona.
Per proteggerti dallo skimming, fai attenzione quando utilizzi terminali di pagamento e sportelli bancomat e ispeziona il dispositivo per individuare eventuali segni di manomissione. Anche coprire con la mano la tastiera quando si digita il PIN può aiutare a proteggerti dallo skimming con telecamera.
Controlla regolarmente gli estratti conto bancari e delle carte di credito per verificare che non vi siano transazioni sospette e segnala qualsiasi presunto skimming alla banca o alla società emittente della carta il prima possibile.
Pagare con i wallet o carte abilitate con chip EMV può essere un altro modo per proteggersi dallo skimming poiché questa tecnologia è più sicura delle carte con banda magnetica. Predisporre la tua attività per accettare queste modalità di pagamento sicure è una salvaguardia potente contro lo skimming.
Furto di identità
Che cos’è:
Il furto di identità è un tipo di frode nei pagamenti in cui un attore fraudolento ruba le informazioni personali di una persona, come nome, codice fiscale o numero della carta di credito, e le utilizza per effettuare acquisti non autorizzati o aprire conti a nome della vittima. Il furto di identità può avere serie conseguenze legali e finanziarie per la vittima e causare notevole stress e ansia.
Furto di identità è un termine generico che descrive diverse tattiche di frode. Ad esempio, gli attacchi di phishing sono una forma di furto di identità. Anche le violazioni dei dati, in cui un hacker ottiene accesso al database di un’azienda e ruba informazioni personali su larga scala, sono un furto di identità. Tra gli altri metodi per rubare l’identità sono compresi il furto di posta, portafogli o borse e il dumpster diving. Una volta che un attore fraudolento è entrato in possesso delle informazioni personali di un individuo, può usarle per aprire nuovi conti di carte di credito, richiedere prestiti o addirittura fare false dichiarazioni dei redditi.
Come prevenirlo:
Per prevenire il furto di identità, le aziende possono intraprendere una serie di azioni. Innanzitutto, assicurati che i dati dei clienti siano conservati in modo sicuro, usando la crittografia e altre misure di sicurezza per impedire accessi non autorizzati. Le aziende dovrebbero limitare l’accesso ai dati dei clienti solo ai dipendenti che ne hanno bisogno per lavoro e richiedere password complesse e autenticazione a due fattori per tutti gli account e sistemi che contengono dati dei clienti.
La formazione dei dipendenti è importante per prevenire il furto di identità e deve comprendere pratiche ottimali per la sicurezza quali il modo di identificare le email di phishing e creare password sicure.
Il monitoraggio degli account dei clienti per attività sospette, come accessi non autorizzati o modifiche alle informazioni dell’account, può aiutare le aziende a rilevare precocemente un furto di identità e ridurre i danni. La scelta del giusto stack tecnologico per i pagamenti può evitare che il rilevamento e la prevenzione delle frodi prosciughino tempo e risorse. Stripe Radar è una tecnologia sofisticata per il rilevamento e la prevenzione delle frodi integrata in tutti i prodotti per i pagamenti di Stripe, compreso Terminal.
Infine, le aziende devono mettere in atto un piano per rispondere alle violazioni dei dati, incluse la notifica ai clienti interessati e l’offerta di servizi di protezione dai furti di identità.
Frode di storno
Che cos’è:
La frode di storno, nota anche come "frode amichevole", si verifica quando un cliente contesta una transazione legittima, sostenendo di non aver effettuato personalmente l’acquisto o di non aver ricevuto il prodotto o servizio pagato. In alcuni casi, il cliente potrebbe ricevere un rimborso pur tenendo il prodotto o servizio, causando una perdita finanziaria all’azienda. La frode di storno può avere conseguenze finanziarie significative per le aziende, che potrebbero perdere i ricavi della vendita ed essere soggette a commissioni e penali per lo storno.
Ci sono vari modi in cui la frode di storno si può verificare. Il metodo più comune è quando un cliente effettua un acquisto legittimo ma successivamente contesta l’addebito con la società emittente della carta di credito, sostenendo che l’articolo non corrispondeva alla descrizione o che non l’ha mai ricevuto. Un altro metodo è quando un cliente utilizza intenzionalmente una carta di credito rubata per effettuare un acquisto e quindi contesta l’addebito come non autorizzato.
Come prevenirla:
Per proteggersi dalla frode di storno, le aziende dovrebbero verificare l’identità del cliente e assicurarsi che è il legittimo titolare della carta di credito usata per effettuare l’acquisto. Questo può comprendere la richiesta di una firma o del codice CVV per le transazioni con carta non presente oppure l’implementazione di strumenti per il rilevamento delle frodi come la verifica dell’indirizzo o la geolocalizzazione IP. Le aziende dovrebbero anche avere una politica chiara per resi e rimborsi e una procedura per la gestione delle contestazioni degli storni. Inoltre, le aziende dovrebbero tenere traccia in modo chiaro di tutte le transazioni, incluse ricevute, informazioni per la spedizione e comunicazioni con il cliente, nel caso debbano fornire delle prove per una contestazione dello storno.
Compromissione della posta elettronica aziendale
Che cos’è:
La compromissione della posta elettronica aziendale (BEC o Business Email Compromise) è un tipo di frode nei pagamenti in cui le email inducono i dipendenti a trasferire denaro su conti fraudolenti. In una truffa BEC, gli attori fraudolenti ottengono l’accesso a un account email aziendale, spesso tramite phishing o tattiche di social engineering, e lo usano per inviare email a dipendenti o fornitori richiedendo bonifici bancari o altri pagamenti.
Le truffe BEC possono assumere varie forme. Spesso un attore fraudolento impersona un dirigente di alto livello o un fornitore e richiede un pagamento o trasferimento urgente. L’email può sembrare legittima poiché utilizza il branding dell’azienda e un indirizzo email noto. Ma se il dipendente segue le istruzioni nell’email, trasferirà il denaro in un conto bancario controllato dagli attori fraudolenti.
Le truffe BEC possono essere difficili da individuare poiché spesso utilizzano tattiche di social engineering che sfruttano la fiducia umana nell’autorità. Tuttavia, ci sono alcuni segnali che indicano che si tratta di una truffa BEC, come:
- Richieste urgenti di pagamento
- Istruzioni di pagamento insolite
- Email che contengono strani errori di ortografia o grammatica
Come prevenirla:
La protezione contro le truffe BEC comprende molte delle tattiche e pratiche ottimali che le aziende dovrebbero già usare per proteggersi da altri tipi di frode. Forma i dipendenti su come riconoscere e segnalare email sospette e implementare protocolli di sicurezza delle email solidi, come l’autenticazione a due fattori e la crittografia.
Le aziende devono anche avere un processo di approvazione dei pagamenti ben definito che includa la verifica delle istruzioni di pagamento tramite un canale secondario, come una telefonata o una conversazione di persona. È buona norma avere linee guida chiare per le richieste interne, soprattutto se implicano il trasferimento di denaro.
Infine, come per tutti i tipi di frode, è importante controllare regolarmente i conti bancari per attività sospette e avere in atto un piano per rispondere a una truffa BEC, che includa contattare le forze dell’ordine e informare i clienti o partner che potrebbero essere coinvolti.
Frode con carta non presente
Che cos’è:
La frode con carta non presente (CNP) è un tipo di frode nei pagamenti che si verifica quando un attore fraudolento usa i dati rubati di una carta di credito per effettuare acquisti senza presentare fisicamente la carta, in genere online o al telefono. La frode CNP è diventata sempre più comune con l’espansione dell’e-commerce e può avere conseguenze finanziarie significative per le aziende, che possono essere responsabili per storni o acquisti fraudolenti.
La frode CNP si verifica in genere quando un attore fraudolento ottiene informazioni rubate su una carta di credito attraverso violazioni dei dati o altri mezzi e usa quelle informazioni per effettuare acquisti non autorizzati online. Un altro metodo è quando un attore fraudolento usa tattiche di social engineering, come il phishing, per ottenere i dati della carta direttamente dalla vittima.
Come prevenirla:
Per proteggersi dalle frodi CNP, le aziende possono intraprendere diverse azioni, tra cui:
- L’utilizzo di strumenti per il rilevamento delle frodi, come la verifica dell’indirizzo o la geolocalizzazione IP, per verificare l’identità del cliente e rilevare attività sospette
- L’implementazione di protocolli di autenticazione sicuri, incluse l’autenticazione a due fattori e la tokenizzazione, per proteggere i dati delle carte
- Una registrazione chiara e accessibile di tutte le transazioni, incluse le informazioni di spedizione e le comunicazioni con i clienti, in caso di contestazioni degli storni
- La creazione di una politica per resi e rimborsi completa che venga comunicata in modo chiaro ai clienti, oltre a un processo per la gestione degli storni e delle transazioni fraudolente
Vantaggi della protezione contro le frodi
Le misure di protezione contro le frodi possono offrire tranquillità alle aziende, proteggere le risorse finanziarie e i dati dei clienti, migliorare la reputazione con la clientela e aumentare la conformità alle normative. Ma i vantaggi non finiscono qui. Ecco una panoramica dei principali vantaggi che le aziende possono trarre dall’implementazione di misure di protezione contro le frodi:
Protezione delle risorse finanziarie
La protezione contro le frodi aiuta a proteggere le risorse finanziarie di un’azienda. La frode nei pagamenti può rivelarsi costosa in incidenti isolati, ma, man mano che le aziende crescono, il potenziale di frodi su larga scala può costituire una minaccia ancora maggiore. Implementando misure di protezione contro le frodi, le aziende possono ridurre il rischio di perdite finanziarie e pianificare il futuro in modo più affidabile.Protezione dei dati dei clienti
Le aziende non proteggono solo se stesse quando investono in misure potenti per il rilevamento e la prevenzione delle frodi, ma salvaguardano anche i loro clienti. La frode nei pagamenti spesso implica il furto dei dati dei clienti, come i numeri delle carte di credito e le informazioni personali. Implementando misure di protezione contro le frodi, le aziende possono proteggere i dati dei loro clienti e guadagnarne la fiducia e la fedeltà.Riduzione degli storni
Per le aziende, gli storni possono causare non solo una perdita di ricavi e merce, ma anche commissioni e penali aggiuntive, oltre al dispendio di tempo ed energie per risolvere il problema. Le misure di protezione contro le frodi possono evitare gli storni rilevando e prevenendo le transazioni fraudolente ed evidenziando tendenze e punti deboli degli storni.Tutela della reputazione e fidelizzazione dei clienti
Facendo tutto il possibile per ridurre al minimo le frodi aumenterai la fiducia dei clienti nella tua attività. Anche casi sporadici di frode nei pagamenti possono danneggiare la reputazione di un’azienda, talvolta in modo irreparabile. Implementando misure di protezione contro le frodi, le aziende dimostrano il loro impegno verso la sicurezza. Questo vale in modo particolare per le piattaforme e i marketplace, poiché i clienti mettono a rischio a loro volta clienti e reputazione.Conformità alle normative
Molti settori sono soggetti a requisiti normativi in ambito di sicurezza e privacy dei dati. Implementando misure di protezione contro le frodi, le aziende possono mantenere la conformità con tali normative ed evitare multe e penali.
Fortunatamente, misure solide di protezione contro le frodi sono incluse di serie nella maggior parte dei software e hardware moderni per accettare ed elaborare i pagamenti, tenere traccia degli ordini dei clienti e gestire i dati finanziari di un’azienda, inclusi quelli offerti da Stripe. In genere, risulta meno costoso implementare queste misure che subire i costi potenziali delle frodi nei pagamenti.
Per ulteriori informazioni sul modo in cui Stripe Radar protegge i prodotti Stripe usando dati provenienti da milioni di aziende globali per combattere le frodi in modo intelligente su tutti i canali, inizia qui.
I contenuti di questo articolo hanno uno scopo puramente informativo e formativo e non devono essere intesi come consulenza legale o fiscale. Stripe non garantisce l'accuratezza, la completezza, l'adeguatezza o l'attualità delle informazioni contenute nell'articolo. Per assistenza sulla tua situazione specifica, rivolgiti a un avvocato o a un commercialista competente e abilitato all'esercizio della professione nella tua giurisdizione.