Secondo il Cifas, è possibile combattere il rischio frode, grazie al ricorso risorse umane. Lo riporta il documento dal titolo “2 in 3 UKcorporate leaders concerned fraudsters will exploit workers” pubblicato lo scorso novembre dall’organizzazione non-profit britannica fondata nel 1988, che opera nel settore della lotta alle frodi e al crimine finanziario, con campo d’azione in Gran Bretagna.
Ecco cosa emerge dall’indagine del Cifas.
Indice degli argomenti
Rischio frode: l’indagine del Cifas
Il Cifas fornisce diversi servizi anche formativi, non solo destinati al settore privato. Inoltre, gestisce due database (non disponibili sul portale informazioni riguardanti l’assetto dei due DB rispetto alle quadro normativo UK in tema di privacy) che costituiscono un utile inventario per la lotta alle frodi:
- il National Fraud Database che raccoglie segnalazioni dei propri menbri su casi di condotta fraudolente, di prima e terza parte (secondo quanto dichiarato, attualmente il DB conta circa 2 mln di registrazioni e conta un flusso medio annuo di circa 350.000 nuovi casi);
- l’Insider Threat database che registra i casi di soggetti sospettati (candidati e dipendenti) di condotta disonesta contro la propria organizzazione.
Nel documento, Cifas espone i risultati della survey condotta nel 2024, che ha
interessato circa 500 esponenti di imprese con organici superiori anche a 1.000 elementi, da cui è emerso che è cresciuta dal 50% al 58% la quota degli intervistati che ritengono la frode una grave minaccia; e che le principali vie per perpetrare frodi vedono in prima fila la minaccia cyber, poi il coinvolgimento inconsapevole di dipendenti presi di mira dai truffatori, quindi al terzo posto la minaccia interna, da parte dei propri dipendenti.
La minaccia interna
La minaccia interna può riguardare il personale dell’organizzazione, ma anche quello di fornitori di servizi: dagli sviluppatori IT ai servizi di portineria e vigilanza.
Il modello del triangolo della frode (elaborato nei lontani anni ’50 da Donald Cressey) prevede che l’evento doloso si possa verificare in compresenza di tre fattori:
- pressione sull’individuo (per esempio, per debiti o per un tenore di vita improprio non sostenibile finanziariamente);
- occasione (concreta possibilità di impadronirsi di risorse dell’organizzazione, spesso collegata a lacune nel sistema dei controlli);
- razionalizzazione (processo mentale con cui l’individuo giustifica il proprio comportamento illecito, convincendosi che sia accettabile o necessario/ giustificazione).
Il modello del diamante invece prevede una quarta variabile ovvero la capacità (che si riferisce a competenze che non tutti hanno ovvero abilità tecniche, creatività e capacità di convincere gli altri).
I consigli del Cifas per prevenire il rischio frode
Il Cifas fornisce anche una serie di indicazioni per mitigare il rischio frode, dove le prime tre attengono a variabili organizzative e tecnologiche e le altre cinque riguardano le risorse umane:
- effettuare una valutazione del rischio frode da monitorare nel tempo per evitare lacune;
- adottare policy di sicurezza e codici di condotta di contrasto alla frode;
- implementare tecnologie avanzate per l’accesso alle risorse IT come l’autenticazione multifattoriale e il riconoscimento facciale (ma anche logging e monitoring e tool basati sull’intelligenza artificiale o il machine learning per rilevare comportamenti fraudolenti);
- eseguire controlli sui dipendenti, durante il rapporto di lavoro, a prescindere dal ruolo;
- avvalersi periodicamente della leva formativa affinché i dipendenti maturino sensibilità e consapevolezza nel riconoscere potenziali situazioni di rischio frode;
- prevedere canali riservati per i dipendenti per segnalare situazioni dubbie, per esempio attraverso i propri manager e/o tramite un servizio di whistleblowing;
- monitorare segni di cambiamento comportamentale dei propri dipendenti, come uno stile di vita disallineato alla retribuzione o riluttante a rispettare i controlli organizzativi;
- dare priorità al benessere dei dipendenti, per mettere a loro disposizione supporti tali da prevenire comportamenti fraudolenti da parte del personale più esposto alla tentazione di commettere frodi (come per esempio divulgare vulnerabilità o lacune dei sistemi), in cambio di favori personali.
La lista potrebbe diventare un decalogo aggiungendo anche due altre indicazioni:
- implementare un sistema che preveda la rotazione periodica delle mansioni e una chiara separazione dei compiti, al fine di ridurre il rischio che un singolo individuo ottenga il controllo completo su un processo critico (approvazioni finanziarie o accesso a dati sensibili);
- pianificazione di audit, focalizzatata anche sulla valutazione del rischio frode, anche per identificare potenziali lacune nei controlli e attività sospette e per aumentare la percezione del rischio per chi potrebbe essere tentato di commettere frodi.
L’importanza di stare al passo con l’evoluzione delle minacce
La lotta alla frode dovrebbe integrarsi in maniera coerente con il quadro normativo generale, soprattutto in termini di tutela della privacy e controllo sui lavoratori (in particolare gli artt. 4 e 8 dello Statuto dei lavoratori, legge n. 300/1970).
L’esigenza di un’adeguata ed esaustiva valutazione del rischio non deve essere una tantum, ma deve costituire un processo continuo per stare al passo con l’evoluzione delle minacce.
Inoltre, giocano un ruolo cruciale le risorse umane. Per un buon presidio
dalle frodi è infatti importante la formazione e la sensibilizzazione del personale, la cui azione è essenziale e che deve immunizzarsi da tecniche e attacchi di social hacking.
Infine, è importante rilevare come il whistleblowing diventi a pieno titolo uno strumento utile al controllo dei rischi, all’insegna della partecipazione attiva dei dipendenti alla tutela dell’organizzazione di cui fanno parte.
