La frode nei pagamenti può minacciare le finanze aziendali e la privacy dei clienti e per prevenirla sono necessarie delle soluzioni difensive sofisticate e flessibili quanto le tattiche usate dagli attori fraudolenti.
La frode nei pagamenti può assumere diverse forme, dal furto dei numeri delle carte di credito a un lettore di carte non protetto a email false dannose. Ad esempio, una ricerca del 2021 di Tessian ha rilevato che i dipendenti negli Stati Uniti ricevono in media 14 email all’anno che li invitano a compiere azioni finanziarie fraudolente. In alcuni settori, il numero è molto più alto, come per i lavoratori del commercio al dettaglio che ogni anno ricevono in media 49 email fraudolente.
Il phishing è uno dei tipi di frode nei pagamenti più comuni e costituisce il 44% di tutte le violazioni di dati nel 2020. Lo skimming, con cui gli attori fraudolenti acquisiscono informazioni sulle carte da sportelli bancomat o terminali di pagamento, costa alle aziende approssimativamente 1 miliardo di dollari l’anno. Il furto di identità, ovvero quando le informazioni personali vengono rubate e utilizzate per effettuare acquisti fraudolenti, nel 2021 costituiva il 24% di circa 6 milioni di denunce di frode, secondo FTC. Queste sono solo alcune delle tipologie di frodi nei pagamenti che le aziende devono combattere.
La frode nei pagamenti è una minaccia grave, ma le aziende possono mitigarla con una serie di efficaci tattiche di difesa. Ecco quello che devi sapere sulle tipologie comuni di frodi nei pagamenti, come funzionano e cosa puoi fare per proteggere te, la tua attività e i tuoi clienti.
Contenuto dell'articolo
- Che cos’è la frode nei pagamenti?
- Tipologie di frodi nei pagamenti
- Vantaggi della protezione contro le frodi
Che cos’è la frode nei pagamenti?
La frode nei pagamenti è un tipo di frode finanziaria che prevede l’utilizzo di informazioni di pagamento false o rubate per ottenere denaro o beni. La frode nei pagamenti può avvenire in una serie di modi, ma spesso è attuata da attori fraudolenti che sottraggono informazioni su carte di credito o conti bancari, falsificano assegni o usano informazioni sull'identità rubate per effettuare transazioni non autorizzate.
Types of payment fraud
There are several methods that fraudulent actors use to commit payment fraud. Here are some of the most common tactics:
Phishing
Che cos'è
Il phishing è un tipo di attacco di ingegneria sociale, una tattica che consiste nell'ingannare le persone attraverso la manipolazione psicologica, in cui gli attori fraudolenti utilizzano e-mail, messaggi di testo o siti Web falsi per indurre le persone a divulgare informazioni sensibili come credenziali di accesso e i dati della carta di credito.
Gli attacchi di phishing vengono solitamente effettuati tramite messaggi di posta elettronica che sembrano provenire da una fonte attendibile, come una banca o un rivenditore online affidabile. L'e-mail può chiedere al destinatario di fare clic su un link per aggiornare le informazioni del proprio account, verificare una transazione recente o riscattare un premio. Quando il destinatario fa clic sul link, viene indirizzato a un sito Web falso in cui gli viene richiesto di inserire le credenziali di accesso, i dati della carta di credito o altri dati sensibili.
Gli attacchi di phishing possono essere effettuati anche tramite messaggi di testo, noti come "smishing", o attraverso piattaforme di social media, note come "pharming". In questi casi, l'aggressore invia un messaggio o un link a un sito Web fraudolento che sembra essere legittimo, al fine di rubare informazioni personali o infettare il dispositivo con malware.
Come evitarlo
Per proteggerti dagli attacchi di phishing, fai attenzione quando fai clic sui link o apri allegati da fonti sconosciute o sospette. Fai attenzione alle tattiche più comuni utilizzate da soggetti fraudolenti, come urgenza o parole minacciose, errori di ortografia o link sospetti. L'utilizzo di un software antivirus può anche aiutare a proteggersi dagli attacchi di phishing.
Come per altri tipi di frodi nei pagamenti, le truffe di phishing tendono a evolvere nel tempo, diventando più avanzate e dall'aspetto legittimo. Gli individui e le aziende dovrebbero educare se stessi e i propri dipendenti sul phishing e su come riconoscere ed evitare questo tipo di attacchi.
Skimming
Che cos'è
Lo skimming si verifica quando un malintenzionato utilizza un dispositivo, chiamato skimmer, per rubare informazioni su carte di credito o di debito. Il malintenzionato collega lo skimmer a un lettore di carte presso sportelli bancomat o terminali POS come pompe di benzina, caselli autostradali self-service e altri terminali di pagamento. Lo skimmer acquisisce i dati dalla banda magnetica della carta e li utilizza per creare carte contraffatte o per effettuare acquisti fraudolenti.
Oltre agli skimmer, i truffatori possono anche utilizzare piccole telecamere o coperture che si adattano alla tastiera di un bancomat o di un terminale di pagamento per acquisire il PIN del cliente. Queste informazioni vengono poi utilizzate insieme ai dati della carta rubata per effettuare prelievi o acquisti non autorizzati.
Come evitarlo
Lo skimming può essere difficile da rilevare, poiché i dispositivi applicati sono spesso piccoli e poco appariscenti, ma non è impossibile. Sono presenti segnali che possono indicare la presenza di un dispositivo di skimming, come lettori di carte staccati o danneggiati, dispositivi insoliti o aggiuntivi collegati al terminale di pagamento o dispositivi che hanno un aspetto diverso da altri terminali di pagamento nella zona.
Per evitare lo skimming, presta attenzione quando utilizzi terminali di pagamento e bancomat e ispeziona il dispositivo per individuare eventuali segni di manomissione. Copri la tastiera quando digiti il PIN per contribuire a proteggerti dallo skimming basato su telecamera.
Monitora regolarmente gli estratti conto della banca e della carta di credito per eventuali transazioni sospette e segnala qualsiasi sospetto di skimming alla banca o al circuito emittente della carta di pagamento il prima possibile.
Anche i pagamenti tramite wallet o carte abilitate per chip EMV possono proteggere dallo skimming, poiché questa tecnologia è più sicura delle carte con banda magnetica. Assicurati che la tua attività possa accettare queste modalità di pagamento sicure, così potrai proteggerti contro lo skimming.
Furto d'identità
Che cos'è
Il furto di identità è un tipo di frode nei pagamenti in cui un malintenzionato ruba le informazioni personali di una persona, come il nome, il numero di previdenza sociale o il numero di carta di credito, e le utilizza per effettuare acquisti non autorizzati o aprire conti a nome della vittima. Il furto di identità può avere gravi conseguenze finanziarie e legali per la vittima e causare stress e ansia significativi.
Il furto di identità è un termine generico che descrive una serie di tattiche di frode, come gli attacchi di phishing. Anche le violazioni dei dati, in cui un hacker ottiene l'accesso al database di un'azienda e ruba informazioni personali su larga scala, sono furti di identità. Altri metodi di furto di identità includono il furto della posta, la ricerca nei cassonetti dei rifiuti o il furto di portafogli o borse. Una volta che un malintenzionato ha ottenuto le informazioni personali di una vittima, può utilizzarle per aprire nuovi conti per carte di credito, richiedere prestiti o persino presentare false dichiarazioni dei redditi.
Come evitarlo
Per prevenire il furto di identità, le aziende possono adottare una serie di misure. Innanzitutto, possono assicurarsi che i dati dei clienti siano archiviati in modo sicuro, utilizzando la crittografia e altre misure di sicurezza per impedire l'accesso non autorizzato. Le aziende dovrebbero limitare l'accesso ai dati dei clienti solo ai dipendenti che ne hanno bisogno per il loro lavoro e richiedere password complesse e autenticazione a più fattori per tutti gli account e i sistemi che contengono dati dei clienti.
La formazione dei dipendenti è importante per prevenire il furto di identità e dovrebbe includere le migliori pratiche di sicurezza, ad esempio come identificare le e-mail di phishing e creare password complesse.
Il monitoraggio degli account dei clienti per rilevare eventuali attività sospette, come accessi non autorizzati o modifiche alle informazioni dell'account, può aiutare le aziende a rilevare tempestivamente i furti di identità e a ridurne i danni. La scelta della gamma di tecnologie per i pagamenti appropriata può impedire che il rilevamento e la prevenzione delle frodi consumino tempo e risorse. Stripe Radar è una sofisticata tecnologia per il rilevamento e la prevenzione delle frodi integrata in tutti i prodotti di pagamento Stripe, incluso Terminal.
Infine, le aziende dovrebbero disporre di un piano per rispondere alle violazioni dei dati, compresa la notifica ai clienti interessati e l'offerta di servizi di protezione contro il furto di identità.
Frode sullo storno
Che cos'è
La frode sullo storno, nota anche come "frode amichevole", si verifica quando un cliente contesta una transazione legittima, sostenendo di non aver effettuato personalmente l'acquisto o di non aver ricevuto il prodotto o servizio acquistato. In alcuni casi, il cliente può ricevere un rimborso tenendo il prodotto o usufruendo del servizio, con una conseguente perdita finanziaria per l'attività. Le frodi sullo storno possono avere conseguenze finanziarie significative per le aziende, che possono perdere i ricavi derivanti dalla vendita ed essere soggette a penali e commissioni per gli storni.
Esistono diversi modi in cui possono verificarsi le frodi sullo storno. Il metodo più comune è quello in cui un cliente effettua un acquisto legittimo, ma successivamente contesta l'addebito con il circuito della carta di credito, sostenendo che l'articolo non era come descritto o che non l'ha mai ricevuto. Un altro metodo riguarda i casi in cui un cliente utilizzi intenzionalmente una carta di credito rubata per effettuare un acquisto e poi contesta l'addebito come non autorizzato.
Come evitarlo
Per proteggerti dalle frodi sullo storno, le aziende devono verificare l'identità del cliente e assicurarsi che sia il legittimo titolare della carta di credito utilizzata per effettuare l'acquisto. Può trattarsi della richiesta di una firma o di un codice CVV per le transazioni con carta non presente o l'implementazione di strumenti di rilevamento delle frodi come la verifica dell'indirizzo o la geolocalizzazione dell'IP. Le aziende dovrebbero anche disporre di una chiara politica di rimborso e reso e di una procedura per gestire le contestazioni circa gli storni. Le aziende devono tenere una rendicontazione chiara di tutte le transazioni, comprese le ricevute, i dati di spedizione e le comunicazioni con i clienti, nel caso in cui debbano fornire prove in una contestazione circa uno storno.
Compromissione delle email aziendali
Che cos'è
La compromissione delle email aziendali è un tipo di frode nei pagamenti in cui le email inducono i dipendenti a trasferire denaro su conti fraudolenti. In una truffa con compromissione delle email aziendali, i malintenzionati ottengono l'accesso a un account di posta elettronica aziendale, spesso attraverso tattiche di phishing o ingegneria sociale, e lo utilizzano per inviare e-mail a dipendenti o fornitori che richiedono bonifici bancari o altri pagamenti.
Le truffe con compromissione delle email aziendali possono assumere molte forme. Spesso coinvolgono un malintenzionato che si spaccia per un dirigente o un fornitore e richiede un pagamento o un bonifico urgente. L'email può sembrare legittima, poiché utilizza il marchio dell'azienda e un indirizzo email conosciuto. Ma se il dipendente segue le indicazioni contenute nell'email, trasferirà il denaro su un conto bancario controllato dai malintenzionati.
Le truffe con compromissione delle email aziendali possono essere difficili da rilevare, poiché spesso coinvolgono tattiche di ingegneria sociale che sfruttano la fiducia umana nell'autorità. Tuttavia, ci sono alcuni segnali che indicano una truffa di questo tipo, come ad esempio:
- Richieste urgenti di pagamento
- Istruzioni di pagamento insolite
- Email che contengono errori grammaticali o ortografici insoliti
Come evitarlo
La protezione contro la compromissione delle email aziendali implica molte delle stesse tattiche e delle stesse best practice che le aziende dovrebbero già utilizzare per proteggersi da altri tipi di frode. Istruisci i dipendenti su come riconoscere e segnalare le email sospette e implementa solidi protocolli di sicurezza per la posta elettronica, come l'autenticazione a due fattori e la crittografia.
Le attività dovrebbero anche disporre di una procedura chiara di approvazione dei pagamenti che includa la verifica delle istruzioni di pagamento attraverso un canale secondario, come una telefonata o una conversazione di persona. È buona norma avere un manuale chiaro per le richieste interne, in particolare se riguardano la movimentazione di denaro.
Infine, come per tutte le frodi, è importante monitorare regolarmente i conti bancari per attività sospette e disporre di un piano per rispondere a una truffa con compromissione delle email aziendali, ad esempio contattare le forze dell'ordine e avvisare i clienti o i partner che potrebbero essere interessati.
Frode con carta non presente
Che cos'è
Le frodi con carta non presente si verificano quando un malintenzionato utilizza i dati di una carta di credito rubata per effettuare acquisti senza presentare fisicamente la carta, di solito online o per telefono. Le frodi con carta non presente sono diventate sempre più comuni con l'avvento dell'e-commerce e possono avere conseguenze finanziarie significative per le attività, che potrebbero essere responsabili di storni o acquisti fraudolenti.
Queste frodi di solito si verificano quando un malintenzionato recupera informazioni su carte di credito rubate attraverso violazioni di dati o altri mezzi e utilizza tali informazioni per effettuare acquisti online non autorizzati. Un altro metodo è quando un attore fraudolento utilizza tattiche di ingegneria sociale, come il phishing, per ottenere le informazioni della carta direttamente dalla vittima.
Come evitarlo
Per proteggersi dalle frodi con carta non presente, le attività possono adottare diversi provvedimenti, tra cui:
- Utilizzo di strumenti di rilevamento delle frodi, come la verifica dell'indirizzo o la geolocalizzazione dell'IP, per verificare l'identità del cliente e rilevare attività sospette
- Implementazione di protocolli di autenticazione avanzati, tra cui l'autenticazione a due fattori e la tokenizzazione, per proteggere i dati delle carte
- Rendicontazione chiara e accessibile di tutte le transazioni, comprese le informazioni sulla spedizione e le comunicazioni ai clienti, in caso di contestazioni
- Creazione di una politica di rimborso e restituzione completa e chiaramente comunicata ai clienti, nonché di una procedura per la gestione degli storni e delle transazioni fraudolente
Vantaggi della protezione contro le frodi
Le misure di protezione contro le frodi possono offrire tranquillità alle aziende, proteggere le risorse finanziarie e i dati dei clienti, migliorare la reputazione con la clientela e aumentare la conformità alle normative. Ma i vantaggi non finiscono qui. Ecco una panoramica dei principali vantaggi che le aziende possono trarre dall’implementazione di misure di protezione contro le frodi:
Protezione delle risorse finanziarie
La protezione contro le frodi aiuta a proteggere le risorse finanziarie di un’azienda. La frode nei pagamenti può rivelarsi costosa in incidenti isolati, ma, man mano che le aziende crescono, il potenziale di frodi su larga scala può costituire una minaccia ancora maggiore. Implementando misure di protezione contro le frodi, le aziende possono ridurre il rischio di perdite finanziarie e pianificare il futuro in modo più affidabile.Protezione dei dati dei clienti
Le aziende non proteggono solo se stesse quando investono in misure potenti per il rilevamento e la prevenzione delle frodi, ma salvaguardano anche i loro clienti. La frode nei pagamenti spesso implica il furto dei dati dei clienti, come i numeri delle carte di credito e le informazioni personali. Implementando misure di protezione contro le frodi, le aziende possono proteggere i dati dei loro clienti e guadagnarne la fiducia e la fedeltà.Riduzione degli storni
Per le aziende, gli storni possono causare non solo una perdita di ricavi e merce, ma anche commissioni e penali aggiuntive, oltre al dispendio di tempo ed energie per risolvere il problema. Le misure di protezione contro le frodi possono evitare gli storni rilevando e prevenendo le transazioni fraudolente ed evidenziando tendenze e punti deboli degli storni.Tutela della reputazione e fidelizzazione dei clienti
Facendo tutto il possibile per ridurre al minimo le frodi aumenterai la fiducia dei clienti nella tua attività. Anche casi sporadici di frode nei pagamenti possono danneggiare la reputazione di un’azienda, talvolta in modo irreparabile. Implementando misure di protezione contro le frodi, le aziende dimostrano il loro impegno verso la sicurezza. Questo vale in modo particolare per le piattaforme e i marketplace, poiché i clienti mettono a rischio a loro volta clienti e reputazione.Conformità alle normative
Molti settori sono soggetti a requisiti normativi in ambito di sicurezza e privacy dei dati. Implementando misure di protezione contro le frodi, le aziende possono mantenere la conformità con tali normative ed evitare multe e penali.
Fortunatamente, misure solide di protezione contro le frodi sono incluse di serie nella maggior parte dei software e hardware moderni per accettare ed elaborare i pagamenti, tenere traccia degli ordini dei clienti e gestire i dati finanziari di un’azienda, inclusi quelli offerti da Stripe. In genere, risulta meno costoso implementare queste misure che subire i costi potenziali delle frodi nei pagamenti.
Per ulteriori informazioni sul modo in cui Stripe Radar protegge i prodotti Stripe usando dati provenienti da milioni di aziende globali per combattere le frodi in modo intelligente su tutti i canali, inizia qui.
I contenuti di questo articolo hanno uno scopo puramente informativo e formativo e non devono essere intesi come consulenza legale o fiscale. Stripe non garantisce l'accuratezza, la completezza, l'adeguatezza o l'attualità delle informazioni contenute nell'articolo. Per assistenza sulla tua situazione specifica, rivolgiti a un avvocato o a un commercialista competente e abilitato all'esercizio della professione nella tua giurisdizione.