di Giancarlo DOLENTE
Le frodi nei pagamenti, un commento al documento “EBA Opinion on new types of payment fraud and possible mitigants” del 29/04/2024.
Nel panorama in continua evoluzione dei pagamenti digitali, garantire la sicurezza e l’integrità delle transazioni è fondamentale. L’Autorità Bancaria Europea (EBA) ha recentemente pubblicato un parere sui nuovi tipi di frode nei pagamenti e sulle possibili misure di mitigazione, facendo luce sui modelli di frode emergenti e fornendo raccomandazioni per rafforzare le misure di sicurezza.
In particolare EBA ha basato la sua Opinion(1) sui dati riferiti alle frodi raccolti dalla stessa EBA e dalla Banca Centrale Europea (BCE) per il 2022. Tali dati mostrano che:
1. I livelli di frode per i bonifici sono stati contenuti allo 0,0008% del loro valore totale e allo 0,0020% per gli addebiti diretti. In confronto, i pagamenti con carta hanno avuto un tasso di frode assoluto più alto, pari allo 0,029% del valore, ma l’importo medio delle transazioni fraudolente è stato limitato a 80 euro;
2. L’implementazione della Strong Customer Authentication (SCA) da parte dei fornitori di servizi di pagamento (PSP) e degli esercenti nel 2021 ha portato a un calo significativo delle frodi nei pagamenti con carta effettuati a distanza.
3. Nel 2022 la SCA è stata ampiamente utilizzata per autenticare le transazioni elettroniche a distanza, con il 70% dei trasferimenti di credito a distanza e il 36% delle transazioni con carta a distanza;
4. I tassi di frode variano significativamente tra i Paesi dello Spazio Economico Europeo (SEE) per tutti gli strumenti di pagamento considerati, con alcuni Stati membri che registrano tassi di frode in valore 10 volte superiori alla media SEE. Queste differenze potrebbero essere attribuite a variazioni nell’attuazione dei requisiti di sicurezza da parte dei PSP e delle pratiche di vigilanza nei vari Stati membri.
Complessivamente, la valutazione dell’EBA per l’anno 2022 ha rivelato tendenze preoccupanti nelle frodi nei pagamenti, evidenziando la necessità di misure proattive per combattere le tecniche fraudolente in continua evoluzione. Un dato fondamentale è la crescente sofisticazione dei truffatori nell’aggirare le misure di SCA, che rappresentano una sfida significativa per la sicurezza dei sistemi di pagamento. I truffatori hanno adattato le loro tattiche per sfruttare le vulnerabilità dell’ecosistema dei pagamenti dando origine a tipi di frode di natura più complessa, in particolare facendo leva sull’ingegneria sociale(2), conseguentemente facendo emergere l’esigenza di migliorare i protocolli di sicurezza e le misure di prevenzione.
Per affrontare queste minacce emergenti, l’EBA ha presentato una serie di raccomandazioni volte a rafforzare la sicurezza dei pagamenti e a proteggere i consumatori dalle frodi. Un aspetto cruciale delle raccomandazioni dell’EBA è la definizione delle regole di responsabilità nella proposta di Regolamento sui Servizi di Pagamento (PSR). Chiarendo il concetto di:
- transazioni autorizzate da quelle
- non autorizzate,
l’EBA mira ad evitare che nei casi di transazioni contestate e sospette di frode, i consumatori siano ingiustamente ritenuti responsabili di attività fraudolente.
Inoltre, l’EBA auspica l’attuazione di una maggiore supervisione da parte degli organi preposti per individuare e prevenire efficacemente le attività fraudolente. Facendo leva sulle migliori pratiche di vigilanza e utilizzando i dati sulle frodi raccolti nell’ambito del quadro di rendicontazione della Payment Services Directive 2 (PSD2), le autorità nazionali competenti possono monitorare i tassi di frode e intraprendere azioni appropriate per affrontare i casi anomali, riducendo così l’incidenza delle transazioni fraudolente e migliorando la protezione dei consumatori.
Oltre alle misure normative, l’EBA raccomanda l’istituzione di una piattaforma unica a livello europeo per la condivisione delle informazioni tra i prestatori di servizi di pagamento (PSP), al fine di facilitare lo scambio di dati e migliorare la collaborazione nell’individuazione delle frodi e nelle indagini. Questa piattaforma consentirebbe ai PSP di condividere informazioni sulle transazioni sospette, sugli identificativi unici dei beneficiari e su altri dati relativi alle frodi, garantendo al contempo il rispetto delle norme sulla protezione dei dati per salvaguardare le informazioni sui clienti.
Inoltre, l’EBA sottolinea l’importanza di definire standard di sicurezza adeguati per il trattamento degli identificatori unici e di altri dati sensibili scambiati tra i PSP. Specificando i requisiti di sicurezza per il trattamento dei dati personali e implementando tecniche crittografiche per proteggere le informazioni, i PSP possono ridurre il rischio di violazione dei dati e di accesso non autorizzato ai dati dei clienti, migliorando così la sicurezza complessiva delle operazioni di pagamento.
Per sostenere gli sforzi collaborativi dei PSP nella lotta alle frodi, l’EBA suggerisce di includere nella piattaforma condivisa un elenco di Punti di Contatto per tutti i PSP, facilitando la comunicazione e il coordinamento delle attività di prevenzione e investigazione delle frodi. Promuovendo la condivisione delle informazioni e la cooperazione tra gli operatori del settore, i PSP possono rafforzare le loro difese contro le attività fraudolente e aumentare la resilienza dell’ecosistema dei pagamenti.
In conclusione, il parere dell’EBA sui nuovi tipi di frode nei pagamenti e sulle possibili misure di mitigazione sottolinea l’importanza di misure proattive per affrontare le minacce di frode emergenti e proteggere i consumatori nello spazio dei pagamenti digitali. Chiarendo le regole di responsabilità, rafforzando la supervisione della gestione delle frodi e implementando solide misure di sicurezza, gli attori del settore dei pagamenti possono collaborare per combattere efficacemente le frodi e garantire l’integrità e la sicurezza delle transazioni di pagamento.
Ma cosa possono fare i PSP per prepararsi alle misure potenziate antifrode che saranno introdotte dalla PSD3(3)? Alcune considerazioni:
- iniziare ad aumentare i controlli antifrode e ad aumentare i budget destinati alla loro prevenzione;
- collaborare con partner e fornitori per creare controlli antifrode avanzati e collaborare con le controparti bancarie per creare controlli atti alla reciproca conferma delle informazioni condivise. Questo consentirà che i mittenti dei pagamenti siano consapevoli a proposito dei beneficiari cui stanno disponendo una transazione;
- rafforzare i controlli antiriciclaggio (AML) al fine di garantire che non si creino rapporti utilizzati da truffatori.
Intervento di Giancarlo DOLENTE, Senior Consultant Governance (Compliance, AML, Risk Management)
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) EBA (29-04-2024) EBA – Opinion on new types of payment fraud and possible mitigants
(2) Gli attacchi di ingegneria sociale manipolano le persone inducendole a condividere informazioni che non dovrebbero condividere, a scaricare software che non dovrebbero scaricare, a visitare siti Web che non dovrebbero visitare, a inviare denaro a criminali o a commettere altri errori che compromettono la loro sicurezza personale o quella dell’organizzazione.
(3) Lo scorso 24 aprile 2024 il Parlamento Europeo, ha approvato in prima lettura, con emendamenti, la proposta relativa alla terza Direttiva sui Servizi di Pagamento (PSD3 – Payment Services Directive), ed al Regolamento sui Servizi di Pagamento (PSR – Payment Services Regulation).
Tra le altre, le misure previste nel pacchetto PSD3/PSR, prevedono:
- il miglioramento dell’applicazione della Strong Customer Authentication per evitare le frodi (come lo spoofing o il social engineering);
- l’estensione a tutti i bonifici (anche istantanei) dei servizi di verifica dell’abbinamento IBAN/nome;
- una base giuridica che consenta ai PSP di condividere tra loro le informazioni relative alle frodi nel pieno rispetto del GDPR (con piattaforme informatiche dedicate);
- il rafforzamento del monitoraggio delle transazioni;
- l’obbligo per i PSP di svolgere azioni educative per aumentare la consapevolezza delle frodi nei pagamenti tra i loro clienti e il personale