Skip to main content

Dei malviventi stanno cercando di prosciugare il tuo conto bancario? Forse i tuoi dipendenti stanno attingendo dalla cassa (o dall'equivalente digitale) per concedersi bonus improvvisati? Come può un CFO tenere sotto controllo i costi con così tante falle nel sistema?

Insieme al ransomware, il maggiore rischio di cybersicurezza per le aziende con fatturato inferiore ai 500 milioni è rappresentato dai truffatori, con gran parte di questo pericolo che si concentra nella contabilità fornitori (AP) tramite frodi sui pagamenti.

Ma ho buone notizie. Oggi, le tecniche di prevenzione delle frodi più efficaci contro bande criminali esterne e dipendenti disonesti sono perlopiù le stesse. Illustrerò i modi migliori per farlo, partendo da qualche contesto necessario prima di entrare nelle strategie e nelle tattiche che manterranno al sicuro i fondi della tua azienda.

Want more from The CFO Club?

Create a free account to finish this piece and join a community of modern CFOs and finance executives accessing proven frameworks, tools, and insights to navigate AI-driven finance.

This field is for validation purposes and should be left unchanged.
Name*
This field is hidden when viewing the form

Una breve storia dei controlli finanziari

Dall’inizio degli scambi, le persone hanno imbrogliato tra loro. La diffusione della contabilità a partita doppia, della contabilità forense e delle regolamentazioni commerciali raccontano tutte la stessa storia umana: ci saranno sempre persone pronte a rubare tutto ciò che non è ben protetto.

Nell’ultimo secolo, i registri contabili sono diventati sempre più complessi grazie alla tecnologia, alla globalizzazione e a un contesto legale più articolato. Con l’aumentare della complessità, si sono moltiplicati anche i metodi per i dipendenti senza scrupoli di appropriarsi di denaro. I professionisti della contabilità e gli organismi di regolamentazione hanno risposto sviluppando controlli interni, intensificando tali pratiche già dagli anni ‘60 fino a renderle oggi un elemento critico di ogni azienda ben gestita. 

Negli ultimi 15 anni, le minacce esterne sono cresciute in modo esponenziale. L’aumento della sofisticazione criminale, la crescente importanza della tecnologia in azienda e il passaggio a pagamenti elettronici sempre più rapidi hanno contribuito all’espansione su scala globale di truffe, riscatti e furti ai danni delle imprese.

La minaccia arriva dall’interno

Il modo più efficace per prevenire queste nuove minacce esterne è rafforzare la governance sui tuoi dipendenti, perché credimi, la minaccia maggiore proviene proprio da “dentro casa”. 

“Mi stai dicendo che il mio personale non è affidabile?”

No – non sempre e non di proposito.

Una volta, il rischio di frode nei pagamenti derivava soprattutto da un mix di opportunità, necessità e accesso da parte dei dipendenti. Un dipendente con accesso ai fondi aziendali può essere tentato di approfittarne, specialmente se ciò gli risolve un grosso problema personale. Così, può truffare l’azienda e, se non viene scoperto, spesso diventa un’abitudine dalla quale è difficile uscire.

L’aumento delle frodi esterne aggiunge un altro fattore: la vulnerabilità del tuo personale in buona fede ad essere ingannato. “Hackerare” non è una magia tecnologica che può far sparire il denaro da un conto bancario; consente semplicemente a un truffatore già malintenzionato di ottenere accesso ingannando persone o sistemi.

Se è vero che puoi formare i dipendenti per essere più attenti agli attacchi, estendere il controllo finanziario sulle loro attività e sui sistemi è uno dei modi migliori per affrontare le frodi da entrambe le fonti.

Strategie generali

Poiché l’andamento delle frodi si evolve, i controlli tradizionali e interni si sono fusi in tre strategie principali per combattere le frodi sui pagamenti.

Come per qualsiasi investimento, parti sempre da una solida gestione del rischio: Quali minacce sono più probabili e più dannose per la tua azienda?

1. Riduci i punti singoli di fallimento

Questa è la versione ingegneristica del nostro vecchio amico, la Segregazione delle Mansioni (SoD), che estende il concetto oltre le persone per includere anche sistemi e strumenti. Considera il caso classico della SoD: se un singolo dipendente può sia disporre i pagamenti che modificare le scritture contabili, il rischio è alto; rappresenta un singolo punto di fallimento per le frodi. Bastano infatti una sola cosa (loro e la loro etica) a mancare, e la frode si realizza.

Con le minacce moderne, qualunque cosa possa impersonarli costituisce anch’essa un punto singolo di fallimento: la loro password, il loro portatile o anche la compromissione della loro email.

Risolvi i punti singoli di fallimento condividendoli tra un team e aggiungendo passaggi di controllo.

Questa disciplina è profonda. Nelle tattiche che illustrerò più avanti in questo articolo, affronterò alcuni dei punti di fallimento più comuni e come gestirli.

2. Riduci l’esposizione

Ci sono due componenti principali per ridurre la tua esposizione alle frodi sui pagamenti: individuare le fonti e limitare il potenziale impatto. 

Affrontare la fonte delle minacce funziona riducendo la probabilità che la minaccia si verifichi; l'impatto minimizza la perdita potenziale se dovesse accadere. 

Considera due esempi classici nel controllo delle frodi: i limiti di approvazione riducono la perdita potenziale derivante da spese fraudolente (impatto), mentre il principio del privilegio minimo riduce la probabilità di frode limitando il numero di persone che potrebbero avviarla (fonti).

Il settore informatico ha un concetto analogo chiamato superficie di attacco, solitamente usato per descrivere i sistemi. È una combinazione di quanto sia vulnerabile un sistema e di quante cose possano connettersi a esso e dunque attaccarlo. I team informatici solitamente comprendono meglio come vengono attaccati i sistemi; la loro sfida, di solito, è collegare questa idea alle effettive perdite finanziarie. In tal senso, i progressi si sono accelerati nell’ultimo decennio.

Nella mia esperienza, implementare questa strategia rappresenta spesso l’opportunità più semplice per la maggior parte delle organizzazioni per migliorare la propria sicurezza. La maggior parte delle truffe comprende almeno cinque passaggi e i truffatori devono riuscire in tutti per avere successo; per fermarli, basta bloccarli in uno qualsiasi di questi step. Per ogni fase di uno scenario di frode potenziale, pensa a come ridurre le fonti e l'impatto. Di solito esistono varie opportunità, spesso gratuite (o quasi) lungo tutto il processo.

Il successo di questa strategia richiede rigore (nell’identificare e documentare i processi) e creatività (nel trovare soluzioni). L’esercizio si presta bene come attività di team-building facilitata e spesso porta anche a guadagni di efficienza.

3. Crea Avvisi Azionabili

Integrare avvisi e indicatori nei processi e nei sistemi può fermare le frodi prima che sia troppo tardi. In un certo senso, è il trucco più vecchio del manuale: la contabilità a partita doppia, la verifica dei dati tra fonti diverse e la maggior parte dei GAAP sfruttano meccanismi indipendenti di registrazione per rivelare i problemi. 

Questo approccio ha portato a trasformazioni monumentali in molti altri settori nell’ultimo secolo – dalla rivoluzione produttiva di Toyota alla gestione moderna del prodotto – con le aziende tech in prima linea a sostenere questo approccio negli ultimi 15 anni. Dalla mia esperienza e da quella dei leader di pensiero in ambito finanziario, questa tendenza è appena arrivata al mainstream. Negli ultimi 5 anni, molte PMI hanno adottato la gestione tramite metriche, solitamente affidando al CFO la guida di questa trasformazione. Che fortuna.

Ma procedi con attenzione: esiste anche un lato oscuro delle metriche, delle dashboard e degli avvisi. Nel mondo aziendale di oggi, i dati abbondano. KPI, SLA e status sono disponibili già pronti su belle dashboard. Ma se una metrica o un avviso non porta ad azioni concrete (o peggio, induce all’azione sbagliata), è peggio che inutile.

Questo può accadere in due modi. Innanzitutto, se ci sono troppi falsi avvisi, i team diventeranno insensibili e li ignoreranno.

In secondo luogo, alcuni scelgono metriche che non portano ad azioni concrete. Queste sono spesso chiamate vanity metrics e, nel peggiore dei casi, possono dare un falso senso di sicurezza, distraendo dai veri problemi. Come dicono gli avvocati...

"Dati che non utilizzi sono solo una passività", falsa citazione di "Gli Avvocati"

Quando costruisci avvisi, scegli eventi che probabilmente indichino un vero problema. Una regola generale è monitorare e avvisare solo su quelle metriche per cui tutti gli stakeholder concordano che il rischio valga il tempo necessario ad approfondire. 

Join North America’s most innovative collective of Tech CFOs.

Join North America’s most innovative collective of Tech CFOs.

This field is for validation purposes and should be left unchanged.
Name*
This field is hidden when viewing the form

Tattiche per Prevenire Frodi nei Pagamenti

Nonostante ci sia ancora un valore enorme nei controlli interni convenzionali più collaudati, alcuni risultano proibitivi tranne che per le organizzazioni più grandi. Ho riscontrato che i seguenti meccanismi sono particolarmente efficaci nel contrastare le frodi moderne nelle organizzazioni più piccole, spesso con sforzi sorprendentemente ridotti. Questi controlli sono ordinati per priorità approssimativa, ma valore ed effort variano significativamente tra le aziende. 

1. Segmenta i Conti

Strategia: Riduci l'Esposizione

È una pratica fondamentale ma ancora poco sfruttata nelle aziende in crescita. Isolare i conti bancari per i pagamenti può prevenire perdite ingenti. Mantieni un conto dedicato per i pagamenti una tantum, un altro conto per le spese mensili prevedibili e un conto di tesoreria per gli altri fondi. 

Tieni un saldo basso sul conto per le spese previste, trasferisci manualmente i fondi sul conto per operazioni una tantum e non pagare mai dal conto di tesoreria. Qualsiasi frode che colpisca i conti pagabili comporterà solo perdite minime o fallirà completamente.

Questo controllo può essere facilitato con le piattaforme di automazione AP.

2. Registrazione presso Agenzie di Credito Aziendale

Strategia: Riduci l’Esposizione

Questa è semplice e affronta un diverso tipo di frode: il furto d’identità per la tua azienda. Falsi crediti possono essere richiesti a nome della tua azienda e rimediare può diventare un problema. Registrarsi in anticipo presso le agenzie di credito aziendale può rendere molto più difficile ai criminali approfittare di te in questo modo.

3. Spostarsi fuori dall’Email

Strategia: Riduci i Punti di Fallimento Unici

L’email permette una grande quantità di frodi e reati. Non c’è da stupirsi, visto che molte aziende fanno quasi tutto tramite posta elettronica. Se questa descrizione calza anche per la tua azienda, l’email rappresenta probabilmente un punto di fallimento unico: se un truffatore accede alla tua posta elettronica, potrebbe causare molti danni mentre copre le proprie tracce.

Risolvere è facile: usa solo sistemi dedicati per svolgere attività ad alto rischio.  

4. Single Sign-On e Autenticazione a Più Fattori

Strategia: Riduci i Punti di Fallimento Unici

Questa è un po’ più tecnica, ma ne vale davvero la pena. Il modo migliore per gestire le password, la federazione, elimina una grande quantità di punti di fallimento unico per l’impersonificazione criminale nei tuoi sistemi. L’ideale è avere un sistema centrale e moderno che funzioni come fornitore d’identità per il tuo staff; potrai poi istruire ogni sistema che utilizzi a fidarsi di esso. I lavoratori effettuano l’accesso al fornitore d’identità e poi ogni altra cosa si connette automaticamente. 

Come detto, è una questione tecnica, quindi il tuo team IT dovrà occuparsi delle integrazioni.

Le password sono un punto debole molto comune, quindi richiedere una forte autenticazione a più fattori (MFA) elimina questo rischio. Qualsiasi provider di federazione serio ti consiglierà vivamente anche di richiederla.

5. Honeypot

Strategia: Allerta Azionabili

Gli honeypot (chiamati anche canary token) sono un approccio che ti avvisa se un cybercriminale è riuscito a superare tutte le tue difese entrando dove non dovrebbe. Gli honeypot sono esche che inviano notifiche automatiche quando vengono utilizzati. Sono molto diffusi nell’ambito tecnologico, ma possono essere creati anche per i dettagli di pagamento. Funzionano particolarmente bene in congiunzione con le piattaforme finanziarie automatizzate, di cui parlo nella tattica n. 10.

I tecnici possono facilmente configurare honeypot gratuiti

6. Esternalizza a un Servizio

Strategia: Riduci i Punti di Fallimento Unici

Affidarsi a un fornitore non è spesso solo meno costoso rispetto a quanto potresti fare internamente, ma anche più resiliente. L’esternalizzazione può eliminare molti punti di fallimento unico distribuendo le esigenze della tua azienda su un team e un sistema più ampi. 

Molte aziende scoprono che un servizio di gestione dei conti da pagare diventa l’opzione più economica quando le AP occupano metà del tempo di un dipendente. Poiché questa valutazione non considera il costo delle frodi, spesso consiglio alle aziende di pensarci ben prima di arrivare a quel punto. Alcune piattaforme di automazione consentono a un team finance di aumentare il volume di lavoro di 100 volte senza aggiungere personale o perdere il controllo. 

L’esternalizzazione dei sistemi informatici verso una piattaforma web può essere un altro modo efficace per eliminare punti di fallimento unico. Queste piattaforme gestiranno molto meglio di quanto tu possa fare internamente la crittografia, l’individuazione di malware e vulnerabilità, la resistenza alle violazioni dei dati e la prevenzione del phishing.

Tutto ciò funziona solo se ciò che esternalizzi non presenta punti di fallimento unici, o ne ha pochissimi. Molti fornitori di servizi finanziari offrono un contabile "tuttofare" dedicato e frazionato che lavora nei tuoi sistemi e con i tuoi processi - non una buona opzione se vuoi ridurre i rischi. Allo stesso modo, molte piattaforme web continuano a essere costruite con gli stessi design fragili usati nel 2006, aggiungono parole alla moda come "cloud" al marketing e sperano che nessuno guardi sotto la superficie. Inutile dirlo, nessuno di questi casi offre benefici in termini di sicurezza. 

7. Carte Virtuali

Strategia: Riduci l’Esposizione

Utilizzare un fornitore di carte virtuali permette un controllo granulare su chi paghi e quanto puoi pagarlo. Ho già parlato delle carte virtuali nel mio articolo su come rendere sicuri i pagamenti B2B. La maggior parte delle piattaforme AP automatizzate offre carte virtuali.

8. Validazione dei Fornitori e Controllo a Tre Vie

Strategia: Ridurre l’Esposizione

Limitare i pagamenti a un elenco di fornitori autorizzati, convalidare le informazioni di pagamento e abbinare le fatture agli ordini di acquisto può aiutare a eliminare molte delle frodi meno sofisticate. Molti provider offrono confronti con un elenco di fornitori verificati; questa soluzione può essere sorprendentemente economica.

9. Positive Pay

Strategia: Ridurre l’Esposizione

Questa funzione ti permette di inviare ogni mese alla tua banca un elenco di ordini di acquisto autorizzati. La banca poi blocca i pagamenti ACH e gli assegni che non corrispondono e avvisa l’azienda quando accade. Questo meccanismo si era fatto la reputazione, vent’anni fa, di essere molto oneroso da gestire, ma oggi molte soluzioni hanno risolto la maggior parte delle problematiche.

10. Finanza Automatizzata

Strategia: Avvisi Attuabili & Ridurre i Punti di Fallimento Singoli

Una piattaforma di finanza automatizzata può offrirti un controllo estremamente granulare su come il denaro si muove all'interno della tua organizzazione, con una minima parte del personale necessario. Può essere estremamente preziosa ma spesso rappresenta una transizione costosa. Considera:

  • Pagamenti automatici a fornitori affidabili e di lunga data. Di solito puoi configurare i dettagli di pagamento all’interno dell’anagrafica del fornitore.
  • Fatturazione automatica e solleciti
  • Trasferimenti automatizzati e crediti da incassare
  • Avvisi per transazioni e saldi inaspettati
  • Elaborazione automatica delle fatture e verifica a 3 vie o a 2 vie
  • Rilevamento AI/Anomalie (informazioni di seguito)

Alcune piattaforme ti avvisano in modo intelligente su transazioni a rischio, basandosi sulle minacce del settore e su ciò che appare normale per l’attività generale della tua azienda. Il mio consiglio? Se desideri acquistare un prodotto grazie alla funzione di rilevamento anomalie, provalo prima. I prodotti basati su AI sono sempre delle scatole nere, quindi non puoi misurare oggettivamente la qualità. Inoltre, l’efficacia dei prodotti scatola nera tende a degradarsi negli anni, via via che cambiano minacce e condizioni.

Prodotti Tecnologici per i Conti da Pagare

Questa è una selezione di nuove e consolidate piattaforme AP, con le funzionalità che ho citato in questo articolo. Le banche forniscono anche AP esternalizzato e AR esternalizzato (spesso denominato Remittance Processing), solitamente offerto in white label da provider specializzati.

tech products for accounts payable graphic

La Frode si Può Evitare

Puoi eliminare gran parte dei danni derivanti dai crimini informatici implementando solidi controlli interni sui conti da pagare. Sebbene le minacce esterne siano aumentate esponenzialmente nell’ultimo decennio, anche gli strumenti per rilevarle e prevenirle sono progrediti (uno dei vantaggi delle app di pagamento mobile è che possono aiutare proprio in questo).

Per altri consigli agli operatori finanziari, incluso come proteggere la tua attività dalle minacce online, abbonati oggi stesso alla newsletter The CFO Club.

Mi piacerebbe sapere la tua opinione: quali controlli si sono dimostrati più efficaci nel prevenire la frode? Ne hai già implementati alcuni? Scrivilo nei commenti o sui social.