La frode sui pagamenti autorizzati (Authorized Push Payment fraud) si verifica quando una vittima viene manipolata per inviare un pagamento in tempo reale sul conto di un truffatore. A differenza delle transazioni non autorizzate, è la vittima stessa a iniziare il trasferimento, spesso convinta di pagare un’azienda o un’autorità legittima. Questo tipo di frode è aumentato con l’ascesa della Gen-AI, che consente ai criminali di utilizzare deepfake vocali e identità sintetiche per ingannare anche dirigenti di alto livello e persone vulnerabili. Le banche sono sottoposte a una crescente pressione normativa, come le regole PSR nel Regno Unito, per rimborsare le vittime, rendendo la prevenzione tramite la verifica biometrica avanzata dell’identità una priorità aziendale.
Che cos’è un pagamento autorizzato?
Un pagamento autorizzato (APP) è una transazione in cui il titolare del conto istruisce la propria banca a inviare denaro direttamente a un altro conto. Questi pagamenti vengono solitamente elaborati attraverso sistemi in tempo reale come SEPA Instant in Europa. L’elemento “push” significa che è l’ordinante a dare il via all’azione, anziché un commerciante che “preleva” i fondi tramite carta o addebito diretto.
La velocità di questi trasferimenti è ciò che li rende attraenti sia per gli utenti legittimi che per i truffatori. Una volta che l’utente clicca su invia, il denaro spesso arriva sul conto del destinatario in pochi secondi. Questa immediatezza lascia pochissimo tempo alle banche per intervenire se la transazione fa parte di una truffa.
I pagamenti autorizzati sono la spina dorsale del moderno digital banking. Consentono il pagamento istantaneo di bollette, trasferimenti peer-to-peer e transazioni business-to-business. Tuttavia, poiché nella maggior parte dei casi sono irrevocabili, richiedono un elevato livello di fiducia tra le due parti coinvolte.
La tecnologia Veridas aiuta a garantire questa fiducia assicurando che la persona che autorizza il pagamento sia chi dice di essere. Integrando la biometria vocale, le banche possono verificare l’identità in meno di tre secondi, impedendo che l’ingegneria sociale porti a una frode riuscita.
Comprendere la frode sui pagamenti autorizzati
La frode sui pagamenti autorizzati è una forma di ingegneria sociale in cui un criminale inganna una vittima per farsi inviare denaro. Il segno distintivo di questa frode è che la vittima è convinta di effettuare un pagamento legittimo. Ciò potrebbe comportare una fattura falsa, una chiamata simulata da una banca o un inganno sentimentale.
Poiché il cliente ha tecnicamente “autorizzato” il pagamento, i sistemi tradizionali di rilevamento delle frodi spesso faticano a segnalare questi eventi. Il sistema vede un utente valido che accede con credenziali corrette ed esegue un’azione standard. La violazione non è nel software, ma nella psicologia umana manipolata dall’attaccante.
L’evoluzione della frode sui pagamenti autorizzati è stata accelerata dalla Gen-AI. I truffatori ora usano deepfake audio per impersonare CEO o familiari, rendendo la richiesta di fondi incredibilmente persuasiva. Questa industrializzazione della frode significa che la semplice sicurezza basata su password non è più sufficiente per proteggere i beni.
Per combattere questo fenomeno, è necessario un approccio Zero Trust all’identità. Veridas consente un’autenticazione continua che analizza l’integrità del dispositivo e i tratti biometrici dell’utente. Ciò garantisce che, anche se un utente viene manipolato, il sistema possa rilevare anomalie nel comportamento o nell’identità prima del trasferimento dei fondi.
Esempi di truffe sui pagamenti autorizzati
Uno degli esempi più comuni è la truffa del “Conto Sicuro”. Un truffatore chiama la vittima, fingendo di appartenere al dipartimento di sicurezza della sua banca. Sostiene che il conto della vittima sia sotto attacco e insiste affinché il denaro venga spostato su un “nuovo conto sicuro” che in realtà appartiene al criminale.
Un altro scenario diffuso è la “Truffa della Fattura” o Business Email Compromise (BEC). In questo caso, un criminale intercetta un’e-mail di un fornitore legittimo e cambia le coordinate bancarie su una fattura. L’azienda invia quindi un pagamento autorizzato al truffatore invece che al fornitore.
Anche le truffe sugli investimenti rientrano in questa categoria. Alle vittime vengono promessi alti rendimenti su criptovalute o azioni. Vengono indirizzate a siti web dall’aspetto professionale e autorizzano trasferimenti verso quella che credono essere una società di brokeraggio, solo per veder sparire i truffatori una volta inviato il denaro.
Infine, la “Frode del CEO” consiste nell’impersonare un alto dirigente. Utilizzando deepfake vocali, un attaccante chiama un dipendente dell’ufficio finanziario e richiede un pagamento urgente per una fusione riservata. Il dipendente, sentendo la voce del capo, autorizza il pagamento senza seguire i protocolli di verifica standard.
Tipi di frode sui pagamenti autorizzati
| Tipo di frode APP | Descrizione | Vittima principale |
|---|---|---|
| Truffe d’acquisto | Le vittime pagano per beni o servizi che non arrivano mai. | Consumatori |
| Truffe d’investimento | Le vittime vengono indotte a spostare denaro in schemi falsi ad alto rendimento. | Individui / Grandi patrimoni |
| Truffe sentimentali | I truffatori creano relazioni false per richiedere denaro per “emergenze”. | Individui |
| Truffe per impersonificazione | I criminali fingono di essere della polizia, della banca o del governo. | Consumatori / Anziani |
| Frode del CEO (BEC) | Impersonificazione dell’alta direzione per innescare trasferimenti urgenti. | Aziende |
Ognuno di questi tipi si basa sullo stesso principio: creare un senso di urgenza o una pressione emotiva. I truffatori utilizzano spesso ID chiamante “spoofed” per far sembrare che le loro telefonate provengano da un numero attendibile. Questo aumenta la probabilità che la vittima salti i normali controlli di sicurezza.
La complessità di questi tipi varia, ma il risultato è sempre lo stesso. Una volta effettuato il pagamento autorizzato, i fondi vengono rapidamente spostati attraverso una rete di “conti mulo” per rendere quasi impossibile il recupero. Ciò evidenzia la necessità di una verifica biometrica in tempo reale al momento del trasferimento.
Veridas fornisce uno strato di difesa implementando la tecnologia Voice Shield. È in grado di rilevare voci sintetiche e audio registrato in tempo reale, anche se il truffatore utilizza un deepfake di alta qualità. Questo protegge il canale bancario dall’essere usato come strumento per l’ingegneria sociale su larga scala.
Inoltre, la verifica dei documenti assicura che, quando viene aperto un nuovo conto — potenzialmente un conto mulo — l’identità sia legittima. La nostra soluzione IDV automatizzata al 100% rileva manomissioni dei documenti e discrepanze facciali in pochi secondi, fermando l’infrastruttura di frode prima che possa essere utilizzata.
Come le banche gestiscono i rimborsi per i pagamenti autorizzati
Storicamente, le banche non erano legalmente obbligate a rimborsare le vittime di frodi sui pagamenti autorizzati perché il cliente aveva tecnicamente autorizzato la transazione. Tuttavia, la situazione sta cambiando rapidamente. I regolatori stanno spostando sempre più la responsabilità verso gli istituti finanziari per incoraggiare migliori misure di sicurezza.
Nel Regno Unito, la Payment Systems Regulator (PSR) ha introdotto il rimborso obbligatorio per la maggior parte delle truffe APP. Ciò significa che sia la banca mittente che quella ricevente condividono il costo del rimborso. Questa normativa mira a proteggere i consumatori e a costringere le banche a investire in sistemi di verifica dell’identità più robusti.
Altre regioni stanno seguendo l’esempio con vari modelli di rimborso. Questi codici di condotta incoraggiano le banche a rimborsare le vittime che hanno agito con ragionevole cura. Tuttavia, la “colpa grave” da parte del cliente può ancora essere un motivo per cui una banca nega una richiesta di rimborso.
Questo spostamento della responsabilità rende la prevenzione delle frodi un interesse finanziario centrale per le banche. Utilizzando l’autenticazione facciale e il rilevamento della vivacità di Veridas, le banche possono dimostrare di aver compiuto ogni passo possibile per verificare l’utente. Ciò riduce il numero di truffe andate a buon fine e, di conseguenza, il volume dei rimborsi obbligatori.
Come proteggersi dalle truffe sui pagamenti
La protezione inizia con la consapevolezza e la tecnologia. Individui e aziende devono capire che una voce familiare o un’e-mail dall’aspetto ufficiale non sono sempre una prova d’identità. Il “firewall umano” è il punto più vulnerabile, quindi deve essere rinforzato con tutele biometriche automatizzate.
Gli istituti finanziari devono abbandonare l’autenticazione statica basata sulla conoscenza (KBA). Domande come “Qual era il nome del tuo primo animale domestico?” ricevono facilmente risposta dai truffatori che hanno raccolto dati dai social media. Passare a fattori inerenti, come la voce o il volto di una persona, garantisce un livello di sicurezza molto più elevato.
Per le aziende, è essenziale implementare una rigorosa autorizzazione a più persone per i trasferimenti di grandi dimensioni. Tuttavia, anche questi possono essere aggirati se il decisore primario viene convinto da un deepfake. Ecco perché la “prova di vita” biometrica è il nuovo standard per i pagamenti autorizzati di alto valore.
Le soluzioni Veridas sono progettate per essere senza attriti, garantendo che la sicurezza non vada a scapito dell’esperienza utente. La nostra autenticazione biometrica consente agli utenti di confermare la propria identità in pochi secondi, offrendo un’esperienza fluida e mantenendo i più alti standard di sicurezza.
Consigli per evitare di cadere vittima
- Diffidate di qualsiasi contatto non richiesto che richieda un trasferimento urgente di denaro.
- Verificate sempre le richieste di pagamento attraverso un canale separato e conosciuto (ad esempio, chiamando un numero noto).
- Non condividete mai i codici passcode monouso (OTP) con nessuno, anche se affermano di essere della vostra banca.
- Attivate l’autenticazione biometrica per le app bancarie invece di affidarvi esclusivamente alle password.
- Segnalate immediatamente alla vostra banca eventuali chiamate simulate o e-mail sospette.
Il consiglio più efficace è fermarsi. I truffatori contano sul fatto di mettervi fretta in modo che non notiate le discrepanze. Se un dipendente della banca vi dice che il vostro conto è in pericolo, riagganciate e chiamate il numero riportato sul retro della vostra carta di debito. Le banche legittime non vi faranno mai pressione per spostare denaro su un “conto sicuro”.
Le organizzazioni dovrebbero anche formare i dipendenti sui rischi delle truffe sui pagamenti autorizzati. Ciò include il riconoscimento dei segnali di Business Email Compromise e la comprensione di come la tecnologia deepfake possa essere utilizzata per impersonare la leadership. La formazione, unita alla tecnologia, crea una difesa a più livelli.
Veridas aiuta le organizzazioni a implementare questi livelli attraverso i framework Know Your Employee (KYE). Utilizzando il riconoscimento facciale per l’accesso ai sistemi interni, le aziende si assicurano che solo il vero dipendente — e non qualcuno con una password rubata — possa avviare o approvare azioni finanziarie sensibili.
Segnalazione di transazioni sospette
Se sospettate di essere stati vittima di una frode sui pagamenti autorizzati, il tempo è fondamentale. Contattate immediatamente la vostra banca. Prima vengono avvisati, maggiore è la possibilità che possano congelare i fondi sul conto del destinatario prima che vengano prelevati.
Dovreste anche segnalare la truffa ai centri nazionali di segnalazione delle frodi. Queste segnalazioni aiutano le forze dell’ordine a tracciare il movimento del denaro e a identificare i gruppi di criminalità organizzata dietro queste operazioni su larga scala.
Le banche utilizzano queste segnalazioni per migliorare i propri algoritmi di rilevamento delle frodi. Analizzando i “conti mulo” utilizzati in queste truffe, gli istituti possono identificare meglio gli schemi che indicano attività di pagamento autorizzato fraudolento. Questa condivisione collaborativa dei dati è fondamentale per l’ecosistema bancario.
Veridas supporta questo processo attraverso lo scudo di deduplicazione (Deduplication Shield). Il nostro sistema identifica se lo stesso volto sta cercando di aprire più conti con nomi diversi, una tattica comune per creare i conti mulo necessari per incanalare i fondi rubati. Questo approccio proattivo interrompe il ciclo della frode prima che inizi.
Pagamenti Credit Push vs Pagamenti Autorizzati Push
Sebbene i termini siano spesso usati in modo intercambiabile, esiste una distinzione tecnica. Un pagamento “credit push” si riferisce al meccanismo generale in cui l’ordinante invia fondi al beneficiario. Un pagamento autorizzato push si riferisce specificamente all’utente che fornisce il permesso esplicito affinché tale azione abbia luogo.
Il termine “Credit Push” è spesso usato nel contesto degli stipendi o dei pagamenti automatici delle bollette. Questi sono pianificati e prevedibili. I pagamenti autorizzati push sono spesso ad-hoc e manuali, ed è proprio qui che il rischio di inganno e frode è più alto per i singoli consumatori e le aziende.
Dal punto di vista della sicurezza, entrambi richiedono una forte verifica dell’identità. Tuttavia, i pagamenti autorizzati ad-hoc necessitano di un’autenticazione in tempo reale, “sul momento”. È qui che il rilevamento della vivacità facciale diventa vitale, assicurando che una persona in carne e ossa sia presente e acconsenta alla specifica transazione.
Veridas fornisce soluzioni per entrambi gli scenari. Che si tratti di un processo di onboarding automatizzato per servizi di credito o di un trasferimento manuale di alto valore, la nostra tecnologia di riconoscimento facciale garantisce l’integrità del “push” in ogni fase del percorso di pagamento.
Conclusioni principali
La frode sui pagamenti autorizzati è un attacco psicologico, non tecnico. Sfrutta la velocità dei moderni sistemi di pagamento e la fiducia che le persone ripongono nella comunicazione digitale. Poiché le truffe diventano più sofisticate grazie all’IA, affidarsi a password e OTP non è più una strategia di sicurezza praticabile.
Lo spostamento della responsabilità normativa significa che le banche devono assumere un ruolo proattivo nella prevenzione. Ciò richiede di andare oltre il semplice monitoraggio delle transazioni verso una verifica biometrica avanzata dell’identità. Dimostrare che l’utente è fisicamente presente ed è chi dice di essere è l’unico modo per fermare le truffe autorizzate.
Veridas offre una suite completa di strumenti per combattere questa minaccia. Dal Voice Shield che ferma l’impersonificazione tramite deepfake all’IDV automatizzato che impedisce la creazione di conti mulo, la nostra tecnologia proprietaria è progettata per proteggere sia i risultati economici della banca che la fiducia del cliente.
In un mondo sempre più digitale, l’identità è il bene più prezioso. Proteggerla richiede un partner che comprenda l’intersezione tra IA, normative e sicurezza. Veridas è quel partner, fornendo la tecnologia necessaria per costruire un futuro di pagamenti digitali più sicuro e libero dalle frodi.
Casi d’uso per settore
- Settore bancario: Implementazione dell’autenticazione vocale per i call center per verificare i trasferimenti di alto valore in meno di 3 secondi, riducendo il tempo medio di gestione e fermando l’ingegneria sociale.
- Telecomunicazioni: Onboarding digitale sicuro per l’acquisto di apparecchiature a credito, utilizzando la liveness facciale per prevenire frodi di identità sintetiche.
- Fintech: Semplificazione delle richieste di finanziamento online con la verifica dell’identità automatizzata al 100%, raggiungendo una conversione del funnel del 90% e mantenendo una rigorosa conformità.
Domande frequenti (FAQ)
La mia banca mi rimborserà se sono vittima di una frode APP?
In molte regioni, come nel Regno Unito con le regole PSR, le banche sono ora obbligate a rimborsare le vittime di frodi sui pagamenti autorizzati, a condizione che il cliente non abbia agito con colpa grave. Tuttavia, le politiche variano a seconda del Paese e dell’istituto, quindi è fondamentale contattare immediatamente la propria banca non appena si scopre la truffa.
In che modo i truffatori usano i deepfake nelle truffe APP?
I truffatori usano l’intelligenza artificiale generativa per creare deepfake audio che impersonano persone di fiducia come CEO o parenti. Usano queste voci per chiamare le vittime e richiedere trasferimenti urgenti di denaro, facendo sembrare la richiesta di pagamento autorizzato legittima e altamente persuasiva.
Qual è la differenza tra frode autorizzata e non autorizzata?
La frode non autorizzata si verifica quando un criminale ottiene l’accesso al vostro conto a vostra insaputa (ad esempio, tramite una carta rubata). La frode sui pagamenti autorizzati (APP) si verifica quando il criminale vi manipola per avviare e approvare voi stessi il trasferimento.
