La frode nei pagamenti è, in sostanza, una transazione falsa o illegittima. Prima di Internet, le frodi nei pagamenti consistevano solitamente in un semplice caso di assegni scoperti o di addebiti errati. Tuttavia, con l’avvento dell’e-commerce, la situazione è diventata più complessa.

I consumatori stanno perdendo dati di identità personali e numeri di carte di credito a causa di truffe di phishing, link malware in messaggi di testo e istantanei e telefonate fasulle. Man mano che i truffatori diventano più sofisticati, anche le misure di gestione delle frodi devono essere più efficaci, per proteggere i tuoi clienti e la tua attività da perdite finanziarie.

Si prevede che nel 2024 il settore globale dell’e-commerce della moda raggiungerà un valore di mercato complessivo di 781,5 miliardi di dollari USA. Secondo uno studio di Juniper Research, le perdite cumulative subite dai commercianti a causa delle frodi sui pagamenti online a livello globale tra il 2023 e il 2027 supereranno i 343 miliardi di dollari.

Purtroppo, i truffatori sono attratti da questo mercato in crescita per ottenere guadagni finanziari senza scrupoli, talvolta operando come parte di una rete criminale organizzata più ampia.

Proteggere sia i dati personali che le informazioni di pagamento è un passo fondamentale per fermare gli attacchi di frode nei pagamenti. Conoscere i tipi di metodi di pagamento utilizzati dai truffatori è utile per iniziare a prevenire che ciò accada. Esaminiamo sette modi comuni in cui un’azienda potrebbe elaborare un pagamento.

Tipi di pagamento che un’azienda potrebbe elaborare

• Carta presente (CP): le transazioni di pagamento con carta presente avvengono presso punti vendita fisici, dove gli acquirenti devono presentare una carta fisica per effettuare un acquisto. In genere, il commerciante utilizza un sistema POS (Point of Sale) che include un lettore di carte per elaborare le transazioni CP.
• Carta non presente (CNP): le transazioni CNP si verificano quando un cliente effettua acquisti senza una carta fisica. Gli acquirenti online non possono presentare una carta fisica a un commerciante di e-commerce, quindi le transazioni vengono effettuate con il numero della carta, la data di scadenza e il numero CVV. Le transazioni CNP possono essere effettuate anche per posta o per telefono.
• Pagamenti tramite clearing house automatizzata (ACH): questo tipo di pagamento prevede un pagamento elettronico da banca a banca ed è comune nelle piattaforme software-as-a-service (SaaS) e nei modelli di abbonamento che richiedono pagamenti mensili regolari. Per effettuare questa transazione, l’acquirente ha bisogno di un numero di conto bancario e di un codice di avviamento bancario.
• Acquista ora, paga dopo (BNPL): l’opzione “Acquista ora, paga dopo” offre finanziamenti a breve termine che consentono ai consumatori di effettuare acquisti e di pagarli in rate costanti nel tempo, spesso con interessi minimi o nulli. Negli ultimi anni, il BNPL è diventato uno dei trend più in voga nei pagamenti: si prevede che entro il 2026 rappresenteranno circa un quarto di tutte le transazioni di e-commerce globali, rispetto al solo 9% del 2021.
• Portafogli digitali: Questo metodo di pagamento funziona senza contatto e in modo elettronico e consente ai clienti di salvare la propria carta di credito o di debito sullo smartphone per effettuare pagamenti. I portafogli digitali semplificano le procedure di pagamento con un solo clic, rendendoli uno dei metodi di pagamento più comodi e diffusi sia per i commercianti che per i consumatori. I portafogli digitali rappresentavano quasi la metà dei pagamenti e-commerce a livello mondiale e si prevedeva che nel 2024 ne avrebbero rappresentato il 53%.
• Fattura aperta: Tipicamente nei pagamenti B2B, una fattura aperta è una fattura che non è stata pagata. Le fatture solitamente includono un numero di fattura e un numero di ordine di acquisto (PO), nonché il nome dell’azienda del pagatore e del beneficiario, l’indirizzo e i dettagli di contatto.
• Punti fedeltà: Per anni, gli emittenti di carte di credito hanno assegnato ai propri clienti punti fedeltà in cambio dei dollari spesi sulla carta. I consumatori possono quindi spendere quei punti per effettuare acquisti. Le categorie più comuni per la spesa dei punti fedeltà includono viaggi, ristoranti, beni di consumo e altro ancora. Inoltre, alcune aziende e compagnie aeree consentono ai propri clienti di utilizzare i punti fedeltà per effettuare acquisti sulle loro piattaforme.

Per pagare con uno qualsiasi di questi metodi di pagamento, i consumatori comunicano le informazioni di pagamento tramite numeri di conto univoci, come un numero di carta di credito o un numero di conto bancario. Per i truffatori, questo rappresenta un’opportunità: i numeri sono facili da rubare: questo è il nocciolo del problema delle frodi nei pagamenti. I consumatori devono proteggere le proprie informazioni e i commercianti fanno del loro meglio per proteggerle, ma gli hacker e i ladri di identità sono esperti nell’aggirare le misure di sicurezza.

Attacchi comuni di frode nei pagamenti

• La frode nei pagamenti si verifica quando un malintenzionato utilizza informazioni di pagamento false o rubate per effettuare un acquisto. Può verificarsi con tutti i metodi di pagamento e i truffatori diventano ogni anno più sofisticati. Ecco alcuni esempi di attacchi comuni di frode nei pagamenti.
• Frode con carta di credito: una delle prime forme di frode sui pagamenti; questo tipo di frode sui pagamenti prevede che un truffatore utilizzi i dati di una carta di credito rubata per effettuare acquisti non autorizzati.
• Frode con carta non presente (CNP): come suggerisce il nome, la frode con carta non presente si verifica quando un cliente non presenta fisicamente la carta per effettuare un acquisto, ad esempio in un ordine online o telefonico. Le frodi CNP si verificano solitamente dopo che le informazioni relative alla carta di credito o al pagamento sono state rubate tramite violazioni dei dati o acquistate illegalmente sul dark web.
• Frode del gateway di pagamento: questo tipo di frode e-commerce si verifica quando un criminale informatico utilizza identità rubate e dettagli di carte per inserire informazioni personali e di pagamento nel sito di commercio online o mobile di un commerciante. Include anche tentativi come gli attacchi basati sul numero di identificazione bancario (BIN), in cui un truffatore utilizza un software per cercare di trovare i numeri di carta attivi confrontandoli con il BIN o i primi sei numeri di una carta.
• Frode di acquisizione di account (ATO): in questa tattica fraudolenta, un truffatore ottiene l’accesso non autorizzato all’account online di un cliente legittimo senza il consenso del proprietario, solitamente a seguito di una violazione dei dati. Quando un malintenzionato ottiene l’accesso all’account e-commerce di un cliente, come un conto bancario, un indirizzo e-mail o un profilo social, può tentare diverse frodi, dall’effettuare acquisti con metodi di pagamento memorizzati all’incasso di punti fedeltà o semplicemente sfruttare preziose informazioni personali.
• Frode sui portafogli digitali: Sebbene i portafogli digitali siano dotati di numerosi protocolli e funzionalità di sicurezza avanzati, non sono a prova di frode.
  
  I truffatori utilizzano comunemente quattro tattiche per colpire i portafogli digitali:

1. Creazione di nuovi account di portafoglio digitale con dettagli rubati
2. Sostituire una SIM rubata con un nuovo telefono per impersonare la vittima ed effettuare acquisti
3. Falsificazione dei dati biometrici tramite deepfake, maschere facciali, impronte digitali artificiali e falsi dati di riconoscimento vocale
4. Attacchi di ingegneria sociale che manipolano ignari consumatori inducendoli a fornire i propri dati di accesso

Come commettono i truffatori le frodi sui pagamenti?

In quanto maestri della manipolazione, i truffatori progettano attacchi per trarre vantaggio dalle loro vittime. Utilizzano diverse tattiche di ingegneria sociale per indurre le vittime a divulgare e trasferire loro informazioni personali e di pagamento o a lanciare malware per rubarle. Possono assumere una falsa identità, ad esempio fingendosi ricercatori o figure autoritarie, per guadagnarsi la fiducia della vittima.

I tipi di ingegneria sociale dei truffatori includono:

• Il phishing è una forma di ingegneria sociale che consiste nell’inviare un’e-mail o creare un sito Web dannoso per impersonare un’organizzazione affidabile. In genere, questo metodo informa la vittima di un problema e le fa presente che per risolverlo deve fornire immediatamente le informazioni di pagamento.

• Lo smishing, un’altra forma di ingegneria sociale, utilizza messaggi di testo e SMS per acquisire informazioni private a scopo dannoso. I truffatori potrebbero inviare al destinatario un SMS con un link che apre una pagina web, un indirizzo email o un numero di telefono e chiedere al destinatario di rispondere, inviare un’email o chiamare per fornire le informazioni.

• Il vishing cerca di indurre la vittima a chiamare un numero di telefono per condividere i dettagli del proprio account. Spesso i truffatori falsificano l’identità del chiamante per far credere che la vittima stia parlando con un’organizzazione affidabile.

Una volta che i truffatori ottengono le informazioni necessarie per un attacco attraverso uno di questi mezzi, colpiscono. I truffatori possono anche lavorare in team o con reti di criminalità organizzata per attaccare su larga scala. Cercano punti deboli nella sicurezza, come gateway di pagamento non protetti e misure di prevenzione delle frodi insufficienti, per sfruttare le vulnerabilità e penetrare nei sistemi aziendali.

Misure di prevenzione delle frodi per i commercianti

Il primo passo per prevenire le frodi nei pagamenti nella tua attività è rimanere aggiornato sulle tendenze in materia di frodi. Gli hacker si impegnano a rimanere aggiornati su tutte le ultime tendenze della criminalità informatica per sfruttarti, quindi comprendere le loro tattiche potrebbe aiutarti a fermarli.

• Valuta l’assunzione di un hacker etico: Questi individui hanno le stesse competenze delle loro controparti “black hat”. Consideralo come uno “stress test” per proteggere i tuoi clienti e prevenire le frodi nei pagamenti.

• Proteggi gli account dei clienti: Le aziende di e-commerce possono adottare misure digitali per contrastare le acquisizioni degli account dei clienti:

• Verifica l’iscrizione tramite e-mail: Richiedi ai nuovi utenti di verificare la propria e-mail al momento della registrazione per garantire che l’account sia associato all’utente corretto.
• Applica l’autenticazione a più fattori (MFA) per rendere più difficile ai truffatori ottenere l’accesso all’account. Inviare notifiche nel momento in cui l’utente aggiorna l’indirizzo e l’email, o chiede la riconvalida o l’eliminazione di un metodo di pagamento salvato. Se attivi il pagamento automatico, richiedi la convalida del CVV per il metodo di pagamento memorizzato.

• Imposta un protocollo per il call center: Per ridurre al minimo gli attacchi di ingegneria sociale, crea una politica appropriata su ciò che richiedi a un cliente per apportare modifiche all’account tramite telefono.

• Implementare un protocollo per le password: Chiedere ai clienti di cambiare periodicamente le password può sembrare un inconveniente, ma è una misura di sicurezza per la loro protezione. Ogni modifica richiede agli hacker di ricominciare da capo. Alcuni suggerimenti:

• Richiedi password forti per gli account dei clienti che includano caratteri speciali e limiti di caratteri. Applica una procedura di blocco temporaneo o permanente dopo un certo numero di tentativi di password errati per impedire all’hacker di decifrare la password.

• Crea una politica sulla privacy e sulla sicurezza: I clienti hanno bisogno di rassicurazioni che le loro transazioni siano sicure. Scrivi una policy sulla privacy e sulla sicurezza per spiegare cosa stai facendo in quegli ambiti. Pubblica queste policy sul tuo sito, dove i clienti potranno vedere i link e cliccarci sopra facilmente per una rapida consultazione.

• Richiedi l’accesso dell’utente per gli acquisti: Questa funzione a volte confonde i clienti perché sembra che siano stati disconnessi durante la navigazione sul tuo sito, ma non è così. Richiedere ai clienti un ulteriore accesso prima di effettuare l’acquisto finale è una misura di sicurezza. In questo modo si garantisce che l’acquirente non abbia semplicemente preso il dispositivo mobile del vero titolare del conto e utilizzato le impostazioni salvate automaticamente per pagare le sue carte di credito.

• Codifica il tuo sito con una disconnessione utente temporizzata: La disconnessione automatica chiude l’applicazione se l’utente è rimasto inattivo per un periodo di tempo specifico. Spesso i clienti abbandonano il computer o il dispositivo mobile e dimenticano quali app hanno lasciato aperte. Se lo fanno accidentalmente in un luogo pubblico, diventano vulnerabili ai ladri di identità e ai “taccheggiatori” online.

• Forma i tuoi dipendenti e clienti: Imparare a riconoscere i segnali di allarme degli attacchi di ingegneria sociale può aiutare a impedire ai truffatori di ottenere le informazioni necessarie per commettere frodi sui pagamenti. Condividi questi segnali di allarme con i tuoi dipendenti e clienti per impedire ai malintenzionati di accedere.

• Controlla l’indirizzo email del mittente: chiedi ai tuoi dipendenti di controllare attentamente l’indirizzo email del mittente, poiché spesso può apparire come quello di un’organizzazione legittima, omettendo solo poche lettere. Non rispondere agli indirizzi email sospetti, che dovranno essere inoltrati ai team di sicurezza interni per la revisione.
• La comunicazione manca di personalizzazione: se il saluto (Buongiorno, Signora o Signore) e il contenuto dell’e-mail sono generici, potrebbe essere un segnale che stai subendo un attacco di phishing.
• Link e allegati dannosi: chiedi ai tuoi dipendenti e clienti di passare il mouse sui link prima di cliccarci sopra. Se i link non corrispondono al testo quando ci passi sopra con il mouse, è un segnale che sono sospetti. I truffatori potrebbero chiedere alle vittime di scaricare urgentemente gli allegati, in modo da non avere il tempo di pensarci. Questo è un campanello d’allarme. Se è dannoso, all’improvviso, il tuo sistema è sotto il controllo di criminali informatici.

Proteggi la tua attività con una soluzione per la prevenzione delle frodi

Poiché il percorso digitale del cliente è costantemente esposto ad attacchi sofisticati da parte di attività fraudolente, gli strumenti di rilevamento e gestione delle frodi possono garantire tranquillità. Il giusto partner per la prevenzione delle frodi può aiutarti a ridurre al minimo i rischi, a espanderti in nuovi mercati e prodotti, ad adottare nuovi metodi di pagamento, a fornire ai clienti verificati esperienze fluide e, in definitiva, ad aumentare le vendite, offrendo al contempo una migliore prevedibilità dei costi e un rischio ridotto con un investimento inferiore di tempo e risorse.

La gestione della frode nei pagamenti è una battaglia continua che richiede di rimanere aggiornati sulle nuove tendenze e metodi di frode. Rimani vigile adottando un approccio proattivo e olistico alla prevenzione delle frodi. La frode non si fermerà, ma con questi passaggi puoi rallentarla e minimizzare il suo impatto sulla tua attività.

Elimina la frode, massimizza i profitti

Scopri strategie di gestione delle frodi che proteggeranno i tuoi profitti, ottimizzeranno i ricavi e favoriranno una crescita sostenibile.

Ottieni la guida

Frequently asked questions

Che cosa è la frode di appropriazione indebita di un account?