Protocollo per pagamenti in sicurezza
Il pagamento di fatture su Internet è prassi comune a livello aziendale. Questa situazione si presta a comportamenti truffaldini sempre più sofisticati, perlopiù con meccanismi consistenti in genere nella sostituzione e/o falsificazione di una vera fattura o nel fingere l’identità di un cliente. Poiché tutti diamo per scontato di avere a bordo del PC un efficace sistema anti-virus, indirizziamo l’attenzione sulle modalità pratiche di protezione aziendale e sul protocollo di formazione per il personale addetto a tali mansioni.
TRUFFA DELLA FATTURA | ESEMPIO: un’azienda viene contattata da qualcuno che finge di rappresentare un fornitore, un prestatore di servizi, un creditore. Il truffatore richiede che vengano modificate le coordinate bancarie per il pagamento delle fatture. Il nuovo account è controllato dal truffatore | – Possono essere utilizzati vari tipi di approccio: telefono, lettera, e-mail;
– Il truffatore può anche inserirsi in uno scambio di e-mail tra 2 aziende dirottando i pagamenti verso IBAN a lui graditi |
PROTOCOLLO AZIENDALE | La prima cura dell’azienda è assicurarsi che i dipendenti siano consapevoli ed informati sulle frodi connesse alle fatture e su come evitarle:
– Istruire il personale responsabile del pagamento delle fatture perché verifichi sempre eventuali irregolarità; – stabilire una procedura per verificare la legittimità delle richieste di pagamento; – assicurarsi che il personale limiti la propria attività sui social media, per quanto riguarda aspetti relativi all’azienda. |
TRE AZIONI PER IL PERSONALE | Il personale adibito al pagamento deve prestare la massima attenzione ai TRE seguenti aspetti:
– verificare tutte le richieste che sostengono di provenire dai creditori. Soprattutto se chiedono di modificare i loro dati bancari per le future operazioni; – per i pagamenti superiori ad una determinata soglia, impostare una procedura di ulteriore controllo, poi confermare la correttezza del conto bancario(IBAN) e del destinatario (esempio un contatto con il soggetto creditore); – non utilizzare i dettagli di contatto indicati sulla lettera/fax/e-mail che richiede la modifica. Utilizzare invece quelli della corrispondenza precedente. |
L’evoluzione nei tempi della frode, ha portato a combinare le tecniche tradizionali con la potenza del web, che consente la smaterializzazione dell’identità dell’autore della tentata frode.
Una delle combinazioni più insidiose, consiste nella creazione di una identità Internet, partendo dai dati veri di un’ignara vittima. Dando per scontato un’adeguata protezione tecnologica (sistemi antivirus, filtri, etc.) un’impresa deve proteggere i seguenti aspetti che, presumibilmente, saranno gli stessi a finire sotto attacco: SISTEMI DI COMUNICAZIONE AZIENDALE, POSTA INTERNA, CHI RISPONDE ALLE E-MAIL, ORGANIGRAMM AZIENDALE, GIORNI E ORARI DI PULIZIA, ETC.
Azioni per l’azienda: sarebbe utile un protocollo delle azioni da mettere in pratica. Innanzi tutto assicurarsi che i dipendenti siano consapevoli ed informati sulle frodi connesse alle fatture e su come evitarle:
- istruire il personale responsabile del pagamento delle fatture affinché verifichi sempre eventuali irregolarità;
- stabilire una procedura per verificare la legittimità delle richieste di pagamento;
- confrontarsi con la propria Banca per capire se vi sono modalità di alert/blocco per operazioni sospette;
- rivedere le informazioni pubblicate sul sito web della propria azienda, in particolare contratti e fornitori;
- assicurarsi che il personale limiti ciò che condivide sull’azienda attraverso i propri social media.
Azioni per il personale: I dipendenti nel loro insieme ed anche singolarmente devono verificare tutte le richieste che sostengono di provenire dai creditori, soprattutto se chiedono di modificare i loro dati bancari per le future fatture;
- per i pagamenti superiori a determinate soglie, impostare una procedura per confermare che il conto bancario ed il destinatario siano corretti;
- non utilizzare i dettagli del contatto indicati nella lettera, fax o mail che richiede la modifica. Utilizzare invece quelli della corrispondenza precedente;
- quando si paga una fattura inviare una e-mail per informare il destinatario. Includere il nome della banca del beneficiario e le ultime 4 cifre dell’account designato;
- definire i punti di contatto con le società verso cui si effettuano pagamenti regolari;
- limitare le informazioni relative al proprio datore di lavoro che si condividono sui social media;
- contattare sempre la polizia in caso di tentativi di frode, anche se non si è rimasti vittima della truffa e il tentativo non andato a buon fine.