Conoscenze, best practice e strategie per contrastare le frodi

Costituita negli USA e diffusasi rapidamente in tutto il mondo, ACFE (Association of Certified Fraud Examiners) è un network internazionale di professionisti che ha come finalità la promozione della cultura antifrode. Un osservatorio privilegiato, dunque, su una tematica che occupa uno dei primi posti nelle priorità delle aziende attive nei più diversi settori economici.

Qual è oggi lo scenario del fenomeno? Quali sono le strategie messe in atto dalle imprese? E, soprattutto i sistemi di contrasto sono adeguati alle minacce incombenti? Abbiamo intervistato in proposito Fabio Tortora, Presidente del Chapter Italiano di ACFE.

Esistono delle tendenze emergenti nel panorama internazionale delle frodi?

Devo dire innanzitutto che tracciare uno scenario internazionale delle frodi è un'operazione estremamente complessa, sia per la varietà delle fenomenologie sia per una difficoltà oggettiva di rilevazione. Anche perché le aziende mostrano spesso una certa reticenza nel rivelare gli eventi frodatori, che avvertono come frutto di una loro mancanza. Detto questo, si registra una forte crescita delle fenomenologie frodatorie a livello internazionale, favorita dalla accentuata virtualizzazione delle transazioni e dei processi, oltreché dalla maggiore sensibilizzazione sul tema. Giusto per dare un ordine di grandezza, una nostra recente ricerca mostra che il valore delle frodi si attesta mediamente al 5% del turnover globale.

Quali sono le tipologie più diffuse?

Metterei ai primi posti in classifica i furti di dati, siano essi password, indirizzi mail, identità di clienti o database sensibili. A pari merito, la falsificazione delle poste di bilancio, l'appropriazione indebita di asset aziendali e i fenomeni corruttivi. Al di là di queste distinzioni nominalistiche, c'è però un elemento chiave da sottolineare e cioè che la frode, rispetto ad altre minacce criminali, è essenzialmente un reato di opportunità. Intendo dire che il frodatore solo raramente conduce attacchi mirati, ma si limita per lo più ad approfittare delle vulnerabilità che via via si presentano. Per fare un esempio in ambito bancario, il frodatore può sottrarre le informazioni sui clienti da rivendere all'esterno oppure aprire conti di comodo per lucrare interessi: la scelta dipende soltanto dall'occasione e dal grado di audit interno. Analogamente, e questo è uno schema emergente, il frodatore che opera nell'ambito delle Risorse Umane può appropriarsi dei dati sensibili dei dipendenti oppure creare false posizioni a cui accreditare mensilmente lo stipendio. Come dicevo, la scelta dipende dal minor rischio associato all'una o all'altra attività.

E quali sono i settori più esposti al rischio frode?

Per quanto concerne il panorama internazionale, ma la situazione italiana non è molto diversa, il settore più colpito è sicuramente quello bancario e finanziario, seguito a ruota dalle telecomunicazioni, dal retail, dalla Pubblica Amministrazione e dal comparto sanitario. Anche in questo caso, c'è una caratteristica comune evidenziata dalle nostre ricerche e cioè che il rischio frode è più elevato là dove maggiore è il grado di burocratizzazione. Contrariamente a quello che si potrebbe pensare, le strutture più burocratiche, che teoricamente dovrebbero assicurare il maggior grado di controllo, sono quelle che presentano le maggiori vulnerabilità perché la tortuosità dei processi moltiplica le falle e le occasioni di frode.

Come si attrezzano in genere le aziende per fronteggiare il rischio frode?

Sostanzialmente, potenziando le funzioni già esistenti di controllo e di internal auditing. Questo tipo di approccio, per così dire generico, presenta però qualche rischio. Da un lato, la frode è un tema molto specialistico e il suo contrasto richiede competenze specifiche, o quanto meno un focus particolare. Dall'altro l'auditing, con la sua ripetitività a cadenze prefissate ben note ai frodatori, può costituire una deterrenza e ridurre le opportunità di frode, ma non è in grado di risolvere il problema alla radice.

Qual è a suo parere la migliore strategia di contrasto?

In primo luogo, occorre promuovere in azienda una cultura antifrode, che sensibilizzi le persone, soprattutto se coinvolte nell'ambito della prevenzione, sia a guardare i fenomeni con gli occhi del frodatore, sia a cogliere i possibili segnali di rischio. In stretta connessione con questo tema, è necessario implementare un sistema capace di far emergere e di portare alla luce i segni premonitori: penso, ad esempio, ai metodi di whistleblowing, alle cosiddette soffiate, che si sono rilevate molto efficaci nel contrasto alle frodi perché in qualche misura segnalano situazioni anomale prima che esse degenerino. Infine, ma non per importanza, occorrono strumenti informatici di tipo analitico che consentano di monitorare le variabili significative, di scoprire trend anomali, di rilevare scostamenti che possono essere indici di frode e di elaborare modelli predittivi di comportamento a scopo di prevenzione.

Quindi le tecniche analitiche possono aiutare a scoprire fenomeni che non emergono a una valutazione superficiale?

Come abbiamo sperimentato in un recente progetto realizzato con l'Università di Genova, l'utilizzo di strumenti analitici e l'applicazione di modelli statistici si sono rivelati risolutivi nel cogliere in anticipo i segnali premonitori delle minacce frodatorie. Con due avvertenze però. In primo luogo, mentre nel caso delle cyber frodi gli strumenti di analisi devono avere la capacità di processare in tempi rapidi enormi volumi di dati, nelle altre tipologie di frode i dati disponibili sono relativamente limitati. In questi casi, occorrono algoritmi sofisticati che siano in grado di fare previsioni affidabili a partire da un numero ridotto di variabili. In secondo luogo, gli strumenti devono essere flessibili per adeguarsi alla continua e incessante evoluzione dei fenomeni frodatori. Ogni nuova tecnologia, ogni iniziativa, ogni innovazione organizzativa porta con sé un rischio di frode e il sistema deve essere facilmente aggiornabile per contrastarlo. Giusto per citare un esempio tratto dal settore bancario, oggi stanno tornando in auge le frodi allo sportello, che sembravano superate dai cyber crime.

Gli strumenti di analisi possono accelerare anche i tempi di scoperta e di recupero dei danni?

La durata del processo di detection è cruciale perché più tempo impiega l'azienda a scoprire la frode, minore è la probabilità di recuperare i danni. In questo quadro, la disponibilità di strumenti analitici si traduce nella capacità non solo di cogliere i segnali premonitori, ma anche di accelerare drasticamente il processo di investigazione e di scoperta. In media, la durata del processo antifrode è di 18 mesi, dalla scoperta alla chiusura del caso, e questa durata può essere ridotta del 50% grazie all'impiego di un sistema informatizzato.

Back to Top