Skip to main content

Senza la sicurezza dei pagamenti online, potresti contribuire a un programma di armi nucleari. 

Pensi che sia una follia? Ripensaci. Se sei mai stato vittima di una truffa online, è molto probabile che i fondi rubati siano finiti in Corea del Nord

Mentre i media raccontano storie sensazionali di super hacker e spionaggio informatico, i rischi quotidiani per le aziende in crescita sono molto più banali: i criminali informatici vogliono soldi.

Want more from The CFO Club?

Create a free account to finish this piece and join a community of modern CFOs and finance executives accessing proven frameworks, tools, and insights to navigate AI-driven finance.

This field is for validation purposes and should be left unchanged.
Name*
This field is hidden when viewing the form

A volte, rubano segreti da trasformare in denaro: proprietà intellettuale, punteggi di credito o dettagli delle carte di credito.

A volte chiedono riscatti alle aziende.

La maggior parte dei crimini informatici inizia ingannando le persone e prosciugando denaro: ecco perché hai bisogno di una solida sicurezza nei pagamenti online, oggi più che mai.

L'AFP, l'FBI e Verizon pubblicano ogni anno report dettagliati che mostrano una minaccia crescente per le imprese. Tutti dipingono lo stesso scenario: i crimini più comuni sono truffe e furti, molti causano danni ingenti alle aziende colpite e il rischio aumenta anno dopo anno.

Il moderno CFO si trova a gestire responsabilità crescenti: KPI aziendali, pianificazione strategica e anche la gestione del rischio a livello organizzativo. Come bilanci tutto questo e metti al sicuro la tua azienda con lo stesso personale e budget di prima?

Descriverò i modi più rapidi, semplici ed efficaci per affrontare il maggiore rischio informatico in azienda: i pagamenti online. Inizio con le strategie tecnologiche e poi passo ai pagamenti.

Tecnologie di Sicurezza – Ne vale la pena?

Se cerchi su Google "sicurezza pagamenti online", troverai normalmente delle top-10 che ricalcano da anni i consigli classici sulla sicurezza: password difficili, autenticazione a più fattori (MFA), crittografia, antivirus (AV), firewall e simili.

Questi elenchi derivano da una filosofia di difesa e di scarico delle responsabilità. Chi riesce a ricordarsi password lunghe, complicate e del tutto uniche per ogni sistema? Tecnica sarebbe sicuro, ma in realtà consente soprattutto al consulente di sicurezza di dire “te lo avevo detto!” ben sapendo che il consiglio non verrà seguito. 

Inoltre, firewall, multifattore e AV non sono più quelli di 15 anni fa. Oggi i più esperti dicono che una solida difesa tecnologica è guidata da XDR e cloud federato da WebAuthN con un SIEM AI. O qualcosa del genere; cambierà entro il 2026, te lo prometto.

Cosa non va in una checklist tecnologica?

Invecchiano troppo velocemente. Oggi tutto è già crittografato, l’antivirus gratuito e di default è pari o migliore di quello commerciale, la MFA tradizionale è facilmente aggirabile e l’identità zero trust ha praticamente sostituito i firewall.

Tre principi di sicurezza che continueranno a funzionare

Ci sono tre principi che hanno sempre retto (e continueranno) nel proteggere la tecnologia: Delegare, Processi e Misurazione.

1. Delegare

Aziende di tutto il mondo stanno capendo che la strategia IT più sicura, resiliente ed economica è fare meno IT. Passare alle piattaforme Software-as-a-Service (SaaS) è il modo più diffuso – elimina quasi tutta l’infrastruttura tecnica. Affidati a fornitori esterni di servizi IT per gestire la sicurezza di ciò che non puoi eliminare.

2. Processo

La tua più grande forza e debolezza sono le persone. Individuare, semplificare e proteggere le attività a rischio è di solito il modo più facile ed efficace per migliorare la sicurezza generale. Serve anche a chiarire le priorità dei tecnici: proteggere il tuo ERP è molto più importante di una app di grafica.

3. Misurazione

Come fai a essere sicuro che i tuoi delegati ti proteggano davvero? Delega anche questo! Esistono modi gratuiti e semplici per misurare la sicurezza dei pagamenti online di una piattaforma, e rimarranno sempre aggiornati. Di solito basta una ricerca su Google di 20 minuti: vale sicuramente la pena per prodotti importanti.

  • Cerca una cronologia di violazioni della sicurezza e delle violazioni dei dati presso l’azienda del fornitore.
  • Verificali su una piattaforma di valutazione della sicurezza. SecurityScorecard e RiskRecon offrono una versione gratuita.
  • Controlla l’esistenza di un programma di bug bounty; è un buon segno. Bugcrowd, Synack e Hackerone sono piattaforme comuni.

Se desideri una maggiore accuratezza, molte società di consulenza in sicurezza informatica possono effettuare valutazioni più approfondite a un prezzo ragionevole. Tieni presente: la valutazione non è un’attività da eseguire una sola volta. Le aziende cambiano e così anche la loro sicurezza. 

Join North America’s most innovative collective of Tech CFOs.

Join North America’s most innovative collective of Tech CFOs.

This field is for validation purposes and should be left unchanged.
Name*
This field is hidden when viewing the form

Pagamenti

Pagare i fornitori è una trattativa: alcuni metodi avvantaggiano te o loro. Gran parte di queste considerazioni non riguarda la sicurezza: pagare tramite assegno e insistere su termini NET30 ti offre maggiore controllo sul flusso di cassa. La comodità delle carte di credito comporta un costo significativo per il fornitore. Questi sono fattori importanti e ampiamente discussi

Oggi spiego come le opzioni di sicurezza dei pagamenti online influenzano il tuo rischio di frode. Valuto i principali metodi di pagamento online per livello di rischio per te, spiego il motivo e propongo i modi migliori per ridurlo.

Carta di Credito

Rischio: Minimo

I pagamenti tramite carta di credito sono costantemente il modo più sicuro per pagare. Quasi tutti gli emittenti coprono completamente le frodi — a volte fino a un anno dopo; senza fare domande. Ancora meglio, poiché queste società hanno questo incentivo, investono considerevolmente nel rilevamento delle frodi a beneficio dei loro clienti. Questo può variare in qualità secondo la banca, ma spesso è superiore a qualsiasi soluzione commerciale disponibile.

I dati delle carte vengono spesso rubati, sia tramite la manomissione di un sistema Point-of-Sale (detto skimmer), sia rubando tutto da un sistema centrale di elaborazione dei pagamenti. Questo tipo di furto sta diminuendo ogni anno poiché il Payment Card Industry Security Standards Council applica regole molto severe a chi processa carte di credito.

L’aspetto negativo è il costo per i fornitori: la maggior parte dei processori applica una commissione del 2,7% per ogni transazione, con sconti per volumi elevati che possono scendere fino all’1,5%. Questa commissione serve principalmente a coprire le frodi e i premi delle carte.

Protezione

Utilizza Carte Aziendali

Assicurati che i pagamenti aziendali avvengano su carte di credito legalmente intestate all’azienda, non ai titolari o ai dipendenti. Separare finanza personale e aziendale non solo rende contabilità più semplice, ma protegge la salute finanziaria di proprietari e dipendenti se accade qualcosa di negativo all’impresa.

Bonus: utilizzare le carte costruisce anche il credito per l’azienda, migliorando sostanzialmente le condizioni e i tassi disponibili per i prestiti. Sebbene il credito personale sia legato ai SSN, il credito aziendale si basa sull’EIN. Le principali agenzie di credito negli Stati Uniti sono Dun & Bradstreet, Creditsafe, Experian Business ed Equifax Business.

Carte Virtuali

E se potessi creare tutte le carte di credito desiderate con un clic?  Avresti un controllo incredibilmente dettagliato sulle frodi: ogni fornitore avrebbe una carta dedicata e potresti impostarne il limite secondo le necessità. Quando interrompi i servizi, potresti smettere di pagare senza dover dipendere dal fatto che siano loro a sospendere gli addebiti.

Un numero sempre crescente di fintech e banche permette proprio questo. Da un portale web puoi creare, gestire e rimuovere un numero (virtualmente) illimitato di carte. Tutte addebitano su un conto comune, permettendo così una panoramica centralizzata delle spese. Il leader in questo ambito è Ramp, che ha investito in un motore di regole personalizzate che consente un controllo estensivo.

La principale fonte di frodi sulle carte di credito è il furto delle informazioni della carta. Esiste un’ampia filiera di malintenzionati che rubano dati, altri li acquistano e producono duplicati, mentre i money mule li usano per addebiti fraudolenti. La maggior parte di noi lo ha sperimentato: la carta va bloccata, ne viene inviata una nuova e tutti i servizi che la utilizzavano vanno aggiornati.

Con le carte virtuali, la situazione diventa banale. I pagamenti inattesi sono più evidenti e la modifica dei dati di pagamento serve solo presso un fornitore. Sai esattamente quale fornitore ha subito il furto: gli addebiti non autorizzati sono sulla sua carta dedicata.

Reti di Pagamento

Rischio: Basso

Una rete di pagamento è un registro di aziende con informazioni di pagamento verificate. Invece di scambiarsi manualmente i dati di pagamento, si seleziona il proprio fornitore dall’elenco, si imposta l’importo e il pagamento viene trasferito automaticamente. Spesso, queste reti sono gestite da grandi banche e integrate come parte di un servizio AP gestito. Esistono alcune reti pubblicamente accessibili come Bottomline Paymode-X negli Stati Uniti e EFTsure in Australia. Se si utilizza un servizio AP fornito da una banca, occorre assicurarsi che includa la verifica dei fornitori. Alcune banche inviano assegni alla cieca a qualsiasi indirizzo tu specifichi e, inutile dirlo, non proteggono contro le frodi.

Le fintech rivolte alle piccole imprese stanno sviluppando rapidamente queste reti e gli esperti nella mia rete prevedono una crescita significativa in questo settore nei prossimi anni.

L’uso costante di una rete di pagamento riduce sensibilmente le frodi (questo è anche un vantaggio chiave delle app di pagamento mobile). Una delle principali fonti di frode B2B è l’intercettazione dei pagamenti tra aziende legittime, solitamente ingannandole nell’usare informazioni di pagamento errate. Le reti di pagamento eliminano questa fonte di errori: garantiscono che i dettagli di pagamento siano corretti e cercano di impedire che impostori si uniscano alla piattaforma.

Raramente tutti i fornitori saranno presenti su una rete, quindi questa tecnica non può funzionare da sola.

ACH

Rischio: Basso-Medio

Le transazioni Automated Clearing House (comunemente ACH, chiamate anche bonifici diretti) presentano il tasso di frode più basso rispetto ad altri metodi di pagamento online commerciali. Tuttavia, la maggior parte di queste transazioni sono trasferimenti automatizzati tra grandi aziende con controlli antifrode autonomi e sofisticati. Il rischio per loro non è lo stesso che per un’azienda più piccola. Pagare tramite ACH è comunque abbastanza sicuro, soprattutto se il tuo fornitore utilizza una piattaforma di pagamento dedicata con un portale di pagamento self-service.

L’ACH funziona tramite il sistema di conto corrente, con tempi di compensazione di 3-5 giorni in base a indicatori di frode come l’importo del pagamento e l’attività precedente. Come il sistema delle carte di credito, non dispone di un meccanismo di autorizzazione: conoscere un numero di conto permette di addebitare quell’account. Mentre l’industria delle carte di credito cerca di mantenere segreti i loro numeri, per i conti bancari non c’è alcuna speranza di riservatezza: il numero è disponibile per chiunque abbia in mano uno dei tuoi assegni o veda i dettagli di pagamento ACH.

Inoltre, la copertura antifrode per le aziende è minima. Le banche sono obbligate a recuperare il denaro solo entro 24 ore dalla transazione.

La maggiore protezione dalle frodi ACH consiste nel fatto che deve essere avviata da un’istituzione finanziaria affidabile. Negli Stati Uniti, le normative Know Your Customer (KYC), Anti-Money Laundering (AML) e altri regolamenti bancari della FFIEC impongono requisiti rigorosi alle banche affinché verifichino clienti e transazioni sospette. Sebbene la regolamentazione sia sempre un passo indietro rispetto alla criminalità, le banche sono fortemente incentivate a impedire ai criminali di usare i loro servizi.

Protezione

Questi metodi funzionano sia per ACH che per assegni.

Segmentare Conti & Avvisi

La creazione di più conti per usi diversi può offrire un’ottima protezione a costi contenuti. Creare un conto dedicato per l’incasso, per la tesoreria e per i pagamenti può limitare l’esposizione alle frodi. I conti incasso dovrebbero essere svuotati frequentemente sul conto di tesoreria, e i fondi necessari per i pagamenti previsti vengono trasferiti dal conto tesoreria a quelli per i pagamenti. Imposta avvisi per tutti i conti per situazioni impreviste come saldi bassi. 

Così facendo, agli estranei sono noti solo i conti con fondi limitati, quindi eventuali tentativi di frode avranno un impatto limitato se dovessero avere successo. Le diverse banche offrono vari gradi di automazione per questa strategia e molte la propongono come servizio integrato per clienti di grandi dimensioni, solitamente chiamato Treasury Management.

Fornitori Autorizzati (solo ACH)

Alcune banche permettono ai conti correnti aziendali di limitare gli addebiti ACH a una lista autorizzata di conti. Questo può eliminare la possibilità di transazioni ACH fraudolente, ma richiede monitoraggio e può risultare fastidioso da gestire.

Evita ACH e Assegni per Fornitori che elaborano i Pagamenti Manualmente

Poiché il rischio di frode via ACH e assegni è direttamente proporzionale al numero di persone che hanno accesso ai tuoi assegni, puoi ridurlo utilizzandoli solo tramite processori di pagamento automatici e self-service.

Per ACH, cerca un portale web in cui puoi accedere e inserire il tuo metodo di pagamento. Spesso è possibile sapere se tale piattaforma è fornita dal venditore: Quickbooks, Stripe e Paypal sono scelte popolari. Le soluzioni sviluppate in casa sono meno propense a essere processate automaticamente e dunque rappresentano rischi maggiori.

Per gli assegni, questa funzione è svolta da una lockbox facility che processa automaticamente gli incassi per molte aziende. Puoi scoprire se un indirizzo è una lockbox facility cercandolo su una mappa. Se si tratta della tua banca o di un fornitore lockbox riconosciuto, è quello che cerchi.

Non Scrivere i Tuoi Assegni

Una discreta parte delle frodi su assegni e ACH deriva dal semplice furto di assegni inviati con la posta in uscita.

Puoi evitare questo utilizzando un servizio di pagamento che stampi e spedisca assegni per conto tuo. Spesso questa opzione è inclusa in una rete di pagamento. Molte banche offrono questo servizio con diversi gradi di automazione. Tali assegni sono stampati in una struttura centrale, rendendo il furto difficile.

Cambia banca

Se sospetti che la tua banca non abbia investito in sistemi di protezione contro le frodi tramite assegno o ACH, cambia banca. Anche se non esistono classifiche indipendenti e oggettive delle banche in questo ambito e probabilmente non hai il potere di verificarle, ci sono alcuni principi da seguire:

  • Spesso più grande è meglio. Le istituzioni più grandi possono generalmente permettersi di spendere di più nella prevenzione delle frodi online.
  • La competenza è spesso meglio. Una storia di frodi, cattiva gestione o semplice disorganizzazione sono segnali negativi.
  • Spesso più nuovo è meglio. La gestione bancaria è spesso conservatrice rispetto ai cambiamenti, compresi i modi emergenti di combattere le frodi per i loro clienti.

Assegni

Rischio: Medio

Secondo il rapporto annuale dell’AFP, la frode tramite assegno è la fonte più comune di frodi nei pagamenti B2B. Come per l’ACH, gli assegni forniscono una finestra di 24 ore per contestare una transazione. Inoltre, è facile stampare assegni se si conosce il numero di conto. Ogni persona che vede i tuoi assegni rappresenta un’opportunità in più per tentare una frode tramite assegno o ACH (e, tra l’altro, ci sono pochi vantaggi per la sicurezza dei pagamenti online quando non stai effettivamente pagando online).

La maggior parte delle frodi sull’assegno può essere rilevata dalle banche, ma non tutte investono allo stesso modo, quindi la qualità della banca fa una grande differenza rispetto a questo rischio.

Protezione

(vedi le tecniche sopra sotto ACH)

Sistemi di pagamento proprietari

Rischio: Alto

Zelle, Cash App, Venmo, PayPal e i bonifici bancari sono strumenti preferiti per attività criminali e garantiscono poca sicurezza nei pagamenti online. Le transazioni sono istantanee e irreversibili. Queste piattaforme non sono sottoposte a controllo normativo o a tutele per il consumatore e quindi hanno poco incentivo a rilevare e prevenire le frodi.

Queste piattaforme sono più adatte a consumatori e per piccoli importi – ad esempio restituire i soldi della cena o pagare il ragazzo che ha tagliato il prato.

Protezione

Sii prudente

Se un fornitore deve essere pagato attraverso una di queste piattaforme, fai attenzione. Ricontrolla i dettagli del pagamento e usale solo per transazioni che puoi permetterti di perdere. Metti in sicurezza la piattaforma il più possibile: se qualcuno si intrufola e si invia dei soldi, potresti avere seri problemi. 

Combina con la segmentazione degli account

Finanziare queste piattaforme di pagamento tramite conti dedicati e limitati è un modo facile ed efficace per ridurre la tua esposizione. 

Carte di debito

Rischio: Cattiva idea

Le carte di debito hanno tutti gli svantaggi delle carte di credito, gli svantaggi degli assegni e nessun vantaggio di entrambi. Poiché una carta di debito viene utilizzata nel circuito delle carte di credito, i numeri delle carte vengono spesso rubati e usati per frodi. Tuttavia, le transazioni con carta di debito non prevedono copertura contro le frodi: come per gli assegni, devi contestare una transazione fraudolenta entro 24 ore. 

Ancora peggio, gli strumenti e il livello di maturità sviluppati dalle banche per combattere le frodi tramite assegno non funzionano sulle transazioni con carta, e le banche che forniscono carte di debito difficilmente investono nei sistemi di rilevamento frodi comuni delle società di carte di credito.

Protezione

Annullale

Le carte di debito sono pericolose e non c’è nessuna situazione d’uso in cui una carta di credito non possa sostituirle con vantaggi maggiori. I premi aggiuntivi non ne valgono la pena. 

Criptovaluta

Rischio: Follia

Questo è l'opposto della sicurezza nei pagamenti online.

Secondo me, le uniche imprese che devono farsi pagare in criptovaluta sono le organizzazioni criminali. La criptovaluta ha tutti gli svantaggi delle piattaforme di pagamento proprietarie (istantanea, nessuna prevenzione delle frodi, nessun incentivo normativo) e è più vulnerabile agli attacchi tecnici, alla manipolazione del mercato e a una cultura di frode all'interno delle sue istituzioni. Si presta al riciclaggio di denaro e ai furti.  

Protezione

Non Farlo

A meno che tu non sia un'organizzazione criminale. 

Rimani Intelligente, Rimani Protetto

Mentre la frode nei pagamenti online è la più grande minaccia informatica per la maggior parte delle aziende, affrontarla può essere rapido, facile ed efficace. Esternalizzare con intelligenza la tecnologia e attenersi a metodi di pagamento online più sicuri eliminerà gran parte di questo rischio.  

La maggior parte dei rischi residui nei pagamenti ai fornitori è anch'essa facilmente evitabile. Iscriviti per ricevere una notifica alla prossima puntata, dove discuterò come la strategia e i processi per i pagamenti ai fornitori possano anche fermare hacker e criminali.

Pensieri, opinioni o domande? Scrivimi, unisciti alla conversazione qui sotto o partecipa sui social media.