I pagamenti ACH (Automated Clearing House) sono pagamenti elettronici che trasferiscono fondi tra conti bancari utilizzando la rete ACH negli Stati Uniti. Questo sistema è gestito da Nacha e consente una serie di modalità di pagamento, tra cui depositi diretti dai datori di lavoro, pagamenti a favore di appaltatori, pagamenti automatici delle bollette e trasferimenti peer-to-peer.
Al pari di altri tipi di pagamenti elettronici, i bonifici ACH sono esposti alle frodi. Il 30% delle organizzazioni ha riferito di aver subito questo tipo di attività fraudolenta nel 2022, in aumento rispetto al 24% del 2021. Questa guida spiega tutto quello che devi sapere sulle frodi ACH, compresi i metodi antifrode più comuni, la responsabilità in caso di frode ACH e come prevenire e rilevare le frodi ACH.
Di cosa tratta questo articolo?
- Tipi di frode ACH
- Come tracciare i pagamenti ACH
- Responsabilità nelle frodi ACH
- Rilevamento di frodi ACH
- Prevenzione delle frodi ACH
Tipi di frode ACH
Le frodi ACH includono una serie di tattiche che sfruttano il trasferimento elettronico di fondi nella rete ACH. Ecco i vari tipi di frode ACH e i metodi più comuni utilizzati per perpetrare le frodi ACH.
Tipi di transazioni ACH fraudolente
La maggior parte delle frodi ACH si verifica quando i truffatori utilizzano gli addebiti ACH per trasferire fondi su conti che controllano o a cui possono accedere. Per farlo, accedono senza autorizzazione ai dati bancari della vittima o manipolano i sistemi di pagamento esistenti per inviare fondi non autorizzati ai propri conti. I truffatori potrebbero anche adottare tattiche a lungo termine per evitare di essere scoperti, integrandosi lentamente nei flussi di lavoro o nei sistemi finanziari.
Addebiti non autorizzati
I truffatori possono disporre addebiti non autorizzati quando ottengono il numero di conto bancario e il numero di routing bancario di una vittima, che possono utilizzare per prelevare fondi da quel conto. Possono acquisire queste informazioni tramite attacchi di phishing, violazioni dei dati o intercettando documenti fisici come gli assegni.
Esecuzione: una volta ottenute le informazioni del conto, i soggetti fraudolenti possono disporre addebiti ACH fingendo di essere il titolare del conto o altre entità legittime autorizzate a prelevare fondi. Potrebbero essere transazioni di importo ridotto per evitare di essere scoperte.
Rilevamento e prevenzione: i clienti e le banche possono utilizzare strumenti come i filtri e i blocchi ACH che consentono ai titolari dei conti di specificare quali persone fisiche o giuridiche sono autorizzate a effettuare addebiti. I clienti devono monitorare regolarmente i conti per individuare eventuali transazioni non autorizzate.
Acquisizione dell'account
Il furto di account si verifica quando i truffatori accedono senza autorizzazione alle piattaforme digitali di un conto bancario. I criminali informatici potrebbero utilizzare malware, phishing o keylogging per rubare le credenziali di accesso.
Esecuzione: utilizzando le credenziali di accesso, il truffatore può accedere a un conto bancario e disporre bonifici ACH a favore di altri conti sotto il suo controllo.
Rilevamento e prevenzione: riduci al minimo il rischio di furto dell'account implementando l'autenticazione a più fattori per l'accesso alle piattaforme bancarie e misure di sicurezza avanzate come la biometria comportamentale, oltre a formare i dipendenti sulle pratiche di sicurezza informatica.
Kiting di transazioni ACH
Il kiting di transazioni ACH si verifica quando i truffatori sfruttano il ritardo tra la disposizione del trasferimento ACH e quando i fondi vengono addebitati o accreditati, creando di fatto un falso saldo.
Esecuzione: i truffatori trasferiscono fondi tra conti che controllano presso banche diverse per aumentare artificialmente il saldo prima che le transazioni vengano liquidate, in modo da poter prelevare o spendere denaro che non esiste.
Rilevamento e prevenzione: le banche possono utilizzare strumenti per analizzare i modelli che potrebbero indicare il kiting, come trasferimenti frequenti tra banche di importi consistenti. Possono anche implementare una verifica avanzata per il rilascio dei fondi.
Pagamenti falsi
Questo schema prevede l'invio di fatture fraudolente alle attività o la manipolazione di istruzioni di pagamento esistenti per dirottare i pagamenti su conti controllati da truffatori.
Esecuzione: fingendosi fornitori legittimi o creando ordini del tutto fittizi, i truffatori convincono le attività a effettuare pagamenti ACH su conti errati.
Rilevamento e prevenzione: le aziende devono verificare le modifiche dei dati di pagamento con i contatti noti tramite un canale di comunicazione sicuro e separato. Per prevenire questo tipo di frode, i dipendenti ricevono una formazione regolare sulla verifica delle fatture e sulle richieste di pagamento.
Tattiche diffuse per frodi ACH
I truffatori possono utilizzare i seguenti metodi per ottenere l'accesso ai dati necessari per commettere frodi o convincere le parti autorizzate a disporre addebiti sui loro conti. I truffatori potrebbero anche sfruttare i punti deboli di diversi sistemi (banche, email, archiviazione dati) per orchestrare un attacco su più fronti, rendendo più difficile per le attività e le banche monitorare e prevenire le frodi.
Furto di dati
Un truffatore intercetta o ruba informazioni sui clienti che può utilizzare per disporre transazioni fraudolente. Potrebbe trattarsi di hacking nei database di un'azienda, furti fisici come il furto di documenti o tecniche di ingegneria sociale per raccogliere dati sensibili.
Esecuzione: una volta che i truffatori hanno raccolto dati a sufficienza, possono utilizzarli per disporre transazioni ACH fraudolente o vendere i dati sul mercato nero.
Rilevamento e prevenzione: le attività possono proteggersi dal furto di dati crittografando i dati sensibili, mantenendo rigorose pratiche di sicurezza IT ed eseguendo regolarmente audit di sicurezza. Le attività dovrebbero assicurarsi che i documenti fisici vengano archiviati e smaltiti in modo sicuro.
Truffe di phishing
Il phishing si verifica quando i truffatori convincono con l'inganno a rivelare informazioni sensibili, come le credenziali di accesso e i numeri di conto, di solito tramite email o siti web falsi che imitano entità legittime.
Esecuzione: una volta ottenute le informazioni, i truffatori possono utilizzarle per l'accesso e le transazioni non autorizzate, inclusi gli addebiti ACH.
Rilevamento e prevenzione: educare gli utenti a riconoscere i tentativi di phishing e verificare l'autenticità delle richieste di informazioni sensibili può ridurre il rischio. Le attività dovrebbero anche prendere in considerazione l'implementazione di filtri email e protocolli di sicurezza per rilevare e bloccare le email di phishing.
Compromissione di email aziendali (BEC)
In questa frode sofisticata, i truffatori utilizzano tattiche di phishing per impersonare dirigenti o fornitori dell'azienda.
Esecuzione: i truffatori potrebbero falsificare o intercettare email che invitano il personale finanziario a modificare le informazioni del conto per i pagamenti ACH, reindirizzando tali pagamenti su conti controllati dai truffatori o invitandoli a disporre trasferimenti verso conti fraudolenti.
Rilevamento e prevenzione: le procedure di verifica, come le approvazioni secondarie da parte di un altro dipendente, possono aiutare a prevenire questo tipo di frode. I dipendenti dovrebbero essere in grado di riconoscere il phishing e diffidare di richieste di modifica dei dati di pagamento comunicate solo via email.
Minacce interne
A volte, persone che operano all'interno di un'organizzazione, come dipendenti o appaltatori, potrebbero abusare dei loro privilegi per ottenere vantaggi personali.
Esecuzione: gli infiltrati potrebbero disporre transazioni non autorizzate o alterare le informazioni del conto per dirottare fondi.
Rilevamento e prevenzione: audit regolari, segregazione dei compiti e monitoraggio di attività insolite possono aiutare a mitigare questo rischio. È anche importante diffondere una cultura della sicurezza e un comportamento etico.
Come tracciare i pagamenti ACH
Il tracciamento dei pagamenti ACH può aiutare a risolvere problemi come il mancato ricevimento dei fondi, errori o frodi sospette. Quanto prima si avvia il monitoraggio, tanto più facile è tracciare i dettagli della transazione in modo accurato.
Raccogli le informazioni
Per tracciare un pagamento ACH, inizia raccogliendo tutte le informazioni pertinenti sulla transazione ACH, tra cui l'importo, la data, l'ID o il numero di riferimento della transazione e i numeri di conto e i nomi delle banche di origine e di destinazione.
Contatta la banca
Contatta la banca presso cui è stata disposta la transazione (se sei il mittente) o la banca presso cui sono stati inviati i fondi (se sei il destinatario). Le telefonate possono essere più efficaci delle email per questioni urgenti. Fornisci alla banca tutti i dettagli della transazione.
Avvia il tracciamento
Probabilmente la tua banca ti chiederà di compilare un modulo per richiedere formalmente il tracciamento. Invierà questo modulo tramite la rete ACH all'altra banca coinvolta nella transazione e verificherà se la transazione è stata elaborata correttamente da ogni banca, lo stato attuale della transazione e dove si sono verificati eventuali discrepanze o errori. Alcune banche potrebbero addebitare commissioni per i servizi di tracciamento.
Per completare i tracciamenti ACH possono essere necessari più giorni lavorativi. Continua a controllare regolarmente lo stato di avanzamento del tracciamento.
Rivedi i risultati
Una volta completato il tracciamento, le banche coinvolte forniranno un report dettagliato del percorso della transazione e degli eventuali problemi emersi. Se si è verificato un errore, le banche possono correggerlo rielaborando la transazione o apportando le modifiche necessarie ai saldi del conto. Documenta tutte le comunicazioni e i risultati del tracciamento. Questa documentazione può aiutare a risolvere le contestazioni e servire come prova in caso di azioni legali.
Responsabilità nelle frodi ACH
La questione della responsabilità nelle frodi ACH dipende dalle specificità di ogni caso, anche le leggi sono generalmente favorevoli ai consumatori e hanno requisiti più severi per le attività e le banche. Leggi come l'Electronic Fund Transfer Act (EFTA) negli Stati Uniti limitano notevolmente la responsabilità del consumatore per le transazioni elettroniche non autorizzate, a condizione che i titolari dei conti agiscano entro i termini stabiliti. Alle attività potrebbe essere richiesto di sostenere il costo delle frodi, se non sono in grado di dimostrare di aver messo in atto controlli adeguati, e le banche potrebbero essere responsabili se le loro procedure di sicurezza sono ritenute inadeguate o se non seguono i protocolli concordati.
In molti casi, la risoluzione della responsabilità in scenari di frode ACH può comportare negoziati tra le parti interessate e potrebbe richiedere l'intervento legale per determinare la colpa. L'implementazione di misure preventive rigorose e il mantenimento di procedure chiare e documentate per la gestione delle transazioni elettroniche possono contribuire a ridurre i rischi e a chiarire le responsabilità in caso di frode.
Ecco come viene assegnata di solito la responsabilità in scenari comuni come addebiti non autorizzati, BEC o acquisizione di un conto.
Addebiti non autorizzati
In base a normative come l'EFTA degli Stati Uniti, la banca del cliente è tenuta a rimborsare il cliente per gli addebiti non autorizzati, a condizione che il cliente segnali la transazione non autorizzata entro 60 giorni dall'estratto conto che mostra l'addebito.
Compromissione di email aziendali (BEC)
Nei casi di BEC, la responsabilità ricade spesso sull'attività il cui dipendente ha autorizzato il trasferimento fraudolento, soprattutto se il dipendente è stato negligente e non ha seguito le procedure di sicurezza interna.
Furto dell'account
In genere, i clienti non sono responsabili per le transazioni fraudolente derivanti dal furto dell'account se lo comunicano tempestivamente alla banca. Le banche potrebbero assumersi la responsabilità se non hanno implementato misure di sicurezza ragionevoli.
Furto di dati
In caso di violazione dei dati, l'attività può essere ritenuta responsabile se ha agito con negligenza nel proteggere i propri dati. Per negligenza si può intendere il mancato rispetto degli standard di sicurezza del settore o la mancata adozione di misure preventive adeguate.
Truffe di phishing
Se un cliente è vittima di una truffa di phishing e segnala tempestivamente le transazioni non autorizzate, in genere la banca copre le perdite. Se il cliente è stato gravemente negligente (ad esempio ha condiviso il PIN o la password), potrebbe sostenere una parte o tutta la perdita.
Minacce interne
L'organizzazione in cui opera l'infiltrato in genere è responsabile di queste perdite, soprattutto nel caso in cui controlli o supervisioni inadeguati abbiano facilitato la frode. In alcuni casi, le banche potrebbero intraprendere azioni contro il singolo autore del reato.
Kiting di transazioni ACH
L'autore del kiting di transazioni ACH può essere ritenuto responsabile di frode. Anche le banche potrebbero essere responsabili se non sono riuscite a rilevare e fermare l'attività sospetta a causa della mancanza di sistemi di monitoraggio adeguati.
Pagamenti falsi
La responsabilità potrebbe ricadere sull'entità che non ha verificato l'autenticità della richiesta di pagamento o della fattura, in particolare se non ha prestato la dovuta attenzione. In linea di principio, le banche non sono responsabili se hanno elaborato la transazione in conformità con le istruzioni ricevute.
Rilevamento di frodi ACH
Per individuare le frodi ACH, è necessario monitorare, esaminare e condividere le informazioni in modo diligente. Ecco cosa c'è da sapere.
Monitoraggio delle transazioni
Implementa un software specializzato che analizzi continuamente le tue transazioni ACH rispetto a valori di riferimento e modelli storici predefiniti. Il machine learning e l'intelligenza artificiale sono in grado di apprendere il comportamento di pagamento tipico della tua attività e segnalare le transazioni potenzialmente sospette sulla base di modelli complessi che potrebbero sfuggire agli esseri umani. Di seguito sono elencati alcuni indicatori di una potenziale frode.
Indirizzi IP o dispositivi insoliti associati a transazioni
Scostamenti nel volume o negli importi delle transazioni rispetto alle medie storiche
Pagamenti a nuovi beneficiari, in particolare quelli che si trovano in aree geografiche ad alto rischio
Orari anomali delle transazioni (al di fuori del normale orario di lavoro)
Richieste urgenti (ad esempio email o chiamate che richiedono un'azione immediata) che spingono le attività ad accelerare i pagamenti o a inviare denaro a conti sconosciuti
Incongruenze nei nomi, nei numeri di conto o in altri dettagli di una richiesta di pagamento
Procedure di revisione
Controllo manuale delle transazioni ad alto rischio: esamina attentamente le transazioni segnalate dai tuoi strumenti di monitoraggio. Il personale dedicato dovrebbe verificare la presenza di irregolarità nei dettagli dei beneficiari, nella cronologia dei pagamenti e in eventuali comunicazioni associate.
Controlli a campione: esegui controlli casuali su un sottoinsieme di transazioni ACH. Anche se non si scopre alcuna frode, alcuni truffatori potrebbero essere scoraggiati se sanno che un'attività esamina attentamente le transazioni in qualsiasi momento.
Analisi dei resi con ACH: monitora attentamente i resi con ACH. Tassi di resi elevati possono indicare addebiti non autorizzati o informazioni fraudolente sui beneficiari. Analizza i motivi dei resi e cerca modelli.
Pratiche di adeguata verifica della clientela
Verifica del cliente: Prima di disporre pagamenti ricorrenti o aggiungere nuovi beneficiari, agisci con la dovuta diligenza. Verifica gli indirizzi e la legittimità dell'attività e confrontali con gli elenchi delle sanzioni e i database delle frodi.
Monitoraggio delle relazioni: controlla regolarmente se ci sono cambiamenti nel comportamento dei destinatari, nello stile di comunicazione o nelle informazioni aggiornate sul conto bancario che potrebbero indicare che un conto è stato compromesso.
Condivisione delle informazioni
Collaborazione con le banche: Comunica regolarmente con il reparto di prevenzione delle frodi della tua banca. Può segnalarti i modelli di frode emergenti e collaborare alle indagini.
Reti di settore: entra a far parte di associazioni di settore e reti per la prevenzione delle frodi. La condivisione delle informazioni sulle minacce e delle best practice aiuta tutti a stare un passo avanti rispetto ai truffatori.
Piano di risposta alle frodi
Non aspettare che si verifichi un incidente per decidere cosa fare. Crea in modo proattivo un piano che preveda i seguenti passaggi.
Persona a cui rivolgersi in banca
Report interni e protocolli di indagine
Misure per mitigare ulteriori danni (ad es. blocco degli account, modifica delle credenziali)
Requisiti per il coinvolgimento delle forze dell'ordine
Prevenzione delle frodi ACH
Le frodi ACH rappresentano una minaccia significativa per le attività, tra cui perdita di fondi e danni alla reputazione. Ecco come rafforzare le difese e prevenire i tentativi di frode ACH.
Autenticazione a più fattori: applica l'autenticazione a più fattori per tutti gli accessi e le transazioni finanziarie. Richiedi un passaggio di verifica aggiuntivo oltre a nome utente e password. In questo modo si riduce il rischio di accesso non autorizzato anche se le credenziali di accesso sono compromesse.
Pagamenti preautorizzati: questo sistema di verifica degli addebiti ACH consente alle attività di preautorizzare i destinatari legittimi e gli importi degli addebiti ACH. Eventuali deviazioni attivano avvisi da esaminare prima dell'elaborazione al fine di evitare prelievi fraudolenti.
Formazione del personale: addestra il personale a riconoscere i tentativi di phishing, le tattiche di ingegneria sociale e gli indicatori di allarme associati alle frodi ACH. Insegna le procedure corrette per la gestione delle transazioni ACH e la segnalazione di attività sospette.
Segregazione dei compiti: implementa un sistema in cui mansioni quali la disposizione dei pagamenti, l'approvazione delle transazioni e la riconciliazione dei conti sono gestite da dipendenti diversi. In questo modo si riduce il rischio che un singolo dipendente manipoli il sistema per scopi fraudolenti.
Monitoraggio in tempo reale: utilizza gli strumenti di monitoraggio delle transazioni in tempo reale per identificare anomalie e attività sospette e bloccarle prima che vengano elaborate.
Procedure di riconciliazione: definisci procedure di riconciliazione dettagliate per confrontare i pagamenti previsti con i debiti e i crediti effettivi. Controlla regolarmente gli estratti conto bancari e identifica eventuali discrepanze che potrebbero indicare attività fraudolente.
Crittografia dei dati: assicurati che tutti i dati sensibili, tra cui le informazioni sugli account e i record finanziari, siano crittografati a riposo e in transito. In questo modo è molto più difficile per i truffatori rubare informazioni preziose anche se violano i tuoi sistemi.
Controlli degli accessi: implementa rigorosi controlli degli accessi ai dati finanziari e ai sistemi di elaborazione ACH. Concedi l'accesso solo se necessario e utilizza criteri per password efficaci che prevedano cambi di password regolari.
Servizi di prevenzione delle frodi: prendi in considerazione la possibilità di collaborare con specialisti della prevenzione delle frodi che offrono servizi avanzati di monitoraggio e threat intelligence. Questi servizi possono fornire ulteriori livelli di sicurezza e competenza nel rilevamento di tentativi di frode sofisticati.
Partecipazione alla rete ACH: partecipa alle iniziative di mitigazione del rischio della rete ACH. Queste iniziative offrono risorse e strumenti per identificare le minacce emergenti e le migliori pratiche per combattere le frodi ACH.
I contenuti di questo articolo hanno uno scopo puramente informativo e formativo e non devono essere intesi come consulenza legale o fiscale. Stripe non garantisce l'accuratezza, la completezza, l'adeguatezza o l'attualità delle informazioni contenute nell'articolo. Per assistenza sulla tua situazione specifica, rivolgiti a un avvocato o a un commercialista competente e abilitato all'esercizio della professione nella tua giurisdizione.