Introduzione
Nell’ultimo anno, l’escalation dei crimini finanziari ha determinato per le aziende la necessità di rimanere al passo con le ultime tendenze e adattare le loro strategie di sicurezza per combattere tattiche di frode in continua evoluzione.
Al giorno d’oggi, infatti, la facilità di accesso a nuove e rivoluzionarie tecnologie ha provocato un incremento delle frodi e delle truffe cibernetiche; ad esempio, la crescente popolarità e disponibilità dell’Intelligenza Artificiale costituisce un nuovo vettore che permette ai cyber criminali di perpetrare azioni malevole.
Inoltre, l’aumento dell’accessibilità dei consumatori ai pagamenti rapidi ha portato ad una ripresa delle truffe con pagamenti istantanei e ad un crescente ricorso ai “money mules” (soggetti utilizzati come intermediari ignari per il trasferimento di denaro illecito).
Questi fenomeni possono essere attribuiti alla costante ricerca dei frodatori di migliorare l’efficacia e l’efficienza delle loro azioni malevole e accelerare il processo di incasso sfruttando le tecnologie emergenti e i cambiamenti nel comportamento dei consumatori.
Fraud Threat e European Trend
A livello globale, nel corso del 2023 e nella prima metà del 2024 il panorama delle frodi cibernetiche è stato caratterizzato da quattro elementi che, tra tutti, hanno presentato un maggior profilo di rilevanza:
- Le minacce afferenti all’ambito del mobile banking: l’evoluzione dell’internet banking e del mobile banking, unitamente all’adozione dei pagamenti in tempo reale, ha aumentato le frodi tramite app. È stato riscontrato un significativo aumento dei pagamenti non autorizzati, dei conti intermediari e delle violazioni di account nei mercati in cui l’adozione dei pagamenti più veloci è elevata. Istituzioni finanziarie regolatorie come l’EBA e ABI hanno registrato un aumento degli attacchi fraudolenti tramite il sistema di pagamento in tempo reale, che saranno oggetto di specifici interventi del legislatore europeo, come il rilascio della PSD3 e del Payment Systems Regulator (PSR).
- Nuovi trend di minaccia legati all’intelligenza artificiale: la rivoluzione dell’AI generativa ha dato luogo a numerose discussioni e dibattiti su benefici e potenziali svantaggi. Nel campo della prevenzione delle frodi, l’AI assume un duplice ruolo, fungendo sia da strumento di potenziamento per i truffatori che da meccanismo di difesa per coloro che combattono le attività fraudolente. Ad esempio, l’adozione di elementi innovativi come i “Generative adversarial network” (GAN), unita alla crescita esponenziale della quantità di dati, fornisce ai truffatori i mezzi per perfezionare le loro tattiche, creando minacce informatiche sempre più sofisticate che sfuggono ai sistemi di rilevamento tradizionali. Infatti, la diffusione dell’IA generativa e la sua capacità di generare contenuti e scenari incredibilmente realistici hanno contribuito all’escalation delle frodi basate su meccanismi di manipolazione degli utenti.
- Una più elevata diffusione di codice malevolo (malware, trojan etc.), da mettere in relazione anche alle campagne di spamming correlate al conflitto russo-ucraino e dalle attività di “malware as a service” / “spam as a service” condotte da gruppi di cyber criminali. Infatti, la diffusione di modelli di “cyber crime as a service” facilita l’accesso a tecnologie avanzate, determinando un sostanziale ampliamento degli attori in grado di condurre azioni malevole come frodi sofisticate.
- Un incremento degli attacchi alla supply-chain, aventi come bersaglio il rapporto con i fornitori e le terze parti e che possono provocare ripercussioni significative alle organizzazioni colpite (es. invoice fraud e CEO Fraud).
Tecniche utilizzate per finalizzare la frode
I frodatori, effettuato il primo contatto con la vittima, hanno a disposizione diversi metodi e tecniche volti a finalizzare la frode. La recente letteratura evidenzia che, nelle frodi perpetrate ai danni della clientela delle banche appartenente al segmento Retail (persone fisiche e piccole imprese), il pattern più riscontrato è quello della manipolazione dell’utente (54,2%), subito seguito dall’enrollment di dispositivi su mobile app da parte del frodatore (41,6%) 1.
Il dato differisce dai rilievi del 2023, che vedevano la manipolazione utente al 92% 2 dei casi. È possibile, tuttavia, interpretare i dati alla luce dei vettori comuni alle tecniche menzionate: in questo senso viene confermato che, per il secondo anno consecutivo, l’utilizzo di SMS, chiamate telefoniche e spoofing con mittente alterato, sono i canali più efficaci impiegati dai frodatori al fine di indurre un utente ignaro a cadere in trappola. Il criminale, infatti, fingendosi un operatore della banca e adducendo al pretesto di presunte anomalie, genera un senso di urgenza e panico, compromettendone così la capacità di giudizio della vittima, che viene indotta a disporre dei pagamenti verso conti correnti controllati dal frodatore o da money mule.
Per quanto riguarda la clientela delle banche appartenente al segmento Corporate (medie e grandi imprese) invece, si rileva un incremento delle frodi realizzate attraverso il vettore malware (8,1%) e un notevole decremento che riguarda la tipologia di truffe “Business E-mail Compromise” (dal 49,7% del 2023 al 22,8% del 2024). Questa tipologia di frode prevede generalmente l’invio di e-mail a uno o più dipendenti di un’organizzazione da indirizzi apparentemente legittimi, con l’obiettivo di indurre la vittima ad eseguire trasferimenti di denaro o a divulgare informazioni riservate o sensibili.
Tuttavia, al contrario di quanto osservato nel segmento retail, la manipolazione utente ha subito un incremento sostanziale, passando dal 22,1% dei casi al 58%. Si rileva, inoltre, anche una riduzione netta dell’utilizzo da parte dei frodatori di software di controllo remoto non di per sé malevoli (es. AnyDesk, software utilizzato per accedere alle postazioni di lavoro autorizzate all’utilizzo dei servizi di Internet Banking) che sono passati dal 17,7% del 2023 al 4,8% del 2024.
Le tecniche di frode sopra descritte evidenziano come, ancora una volta, il cosiddetto “human factor” costituisca la principale vulnerabilità della sicurezza delle organizzazioni. Al fine di mitigare i rischi che ne derivano è necessario attuare attività di formazione del personale, sensibilizzazione della clientela e delle terze parti.
Conclusioni
Come premesso, a fronte dell’evoluzione tecnologica che ha generato una maggiore sofisticatezza dei vettori e delle tecniche di frode, il legislatore europeo ha attuato un intervento normativo mirato a mitigare i rischi di frode: nell’aprile 2024 il Parlamento Europeo ha infatti approvato la proposta di testo della Commissione Europea per la PSD3. Le novità introdotte dal nuovo Regolamento riguardano principalmente:
- il controllo obbligatorio e gratuito degli identificatori unici, come l’IBAN e il nominativo, e il rafforzamento dei requisiti di sicurezza per i PSP;
- lo svolgimento di iniziative educative per sensibilizzare e aumentare la consapevolezza dei clienti e del personale sulle frodi di pagamento;
- sviluppi nell’open banking, che migliorano l’accessibilità e il controllo dei dati finanziari;
- il monitoraggio delle transazioni per tutti i canali di pagamento e l’esecuzione dello stesso in tempo reale per i pagamenti istantanei.
Appare ovvio che la compliance ai requisiti definiti dal regolatore dovrà essere supportata da significativi investimenti da parte delle organizzazioni, le quali saranno tenute ad implementare modelli organizzativi e misure di sicurezza in grado di garantire i livelli di resilienza necessari per rispondere a minacce sempre più sofisticate ed avanzate.
Pertanto, oltre alla necessità di potenziare la cyber fraud governance e le misure volte a sensibilizzare e formare il personale, occorre adottare soluzioni tecnologiche innovative supportate dall’intelligenza artificiale e che si integrino con i sistemi gestionali e informativi aziendali, al fine di ridurre le possibilità di frode cibernetica.
Articolo di Daniele Spelta, con la collaborazione di Alessandra Fiorani e Simone Benedetto
Daniele Spelta | Hermes – Center for European Studies Scientific Committee | Head of Corporate Security & Cyber Frauds at CDP Cassa Depositi e Prestiti