De teama publicităţii negative, jumătate dintre companii nu reclamă fraudele
0Frauda se adaptează ca un virus la mediul în care se produce, iar pandemia provocată de noul coronavirus a accelerat transferul infracţionalităţii în mediul online, a extins sfera companiilor expuse riscului, generând o altă pandemie: cea de fraudă. Poate şi mai grav este că mai mult de jumătate dintre fraude nu sunt raportate organelor de urmărire penală de către companii, de teama publicităţii negative.
Acest cerc vicios nu face decât să amplifice riscul de fraudă, de aceea companiile au nevoie de specialişti care să aplice proceduri investigative şi tehnici specifice de combatere a fenomenului fraudulos.
Acestea sunt câteva dintre principalele concluzii expuse la FRAUD SUMMIT by SPIA, primul eveniment din România dedicat investigaţiilor antifraudă şi combaterii fraudei. Peste 20 de specialişti antifraudă din companii, organizaţii neguvernamentale, instituţii publice şi autorităţi au luat parte la FRAUD SUMMIT 2021. Evenimentul a fost organizat de SPIA România, liderul noii generaţii de investigatori corporate, împreună cu firma de avocatură act Botezatu Estrade Partners.
Studiile arată că, la nivel global, aproape 1 din 2 companii (47%) a fost afectată de fraudă în 2019 şi 2020, ceea ce reprezintă al doilea cel mai ridicat nivel de fraudă din ultimii 20 de ani. Astfel de incidente generează pierderi însemnate din veniturile unei companii, iar complexitatea fraudei este direct proporţională cu mărimea organizaţiei în care se produce. Indiferent de industrie, peste o treime din frauda comisă în interiorul companiilor este realizată de angajaţii proprii, iar fraudatorii fac parte, în egală măsură, din middle management, top management sau lucrează în departamente operaţionale.
”Din păcate, mai puţin de jumătate (49%) din fraude sunt raportate organelor de urmărire penală. Cele mai multe companii aleg să rezolve problema intern, pentru că se tem de publicitate negativă, însă lipsa de conştientizare a riscului de fraudă inoculează ideea că, de fapt, aceasta nu ar exista. Totodată, foarte puţine companii au propriile mecanisme de verificare şi control sau proceduri de due diligence. Cele mai multe află că au o problemă în interior de la ceilalţi angajaţi, care îşi anunţă superiorii atunci când observă o neregulă. Impactul fraudei asupra organizaţiilor este semnificativ, dar prea puţin conştientizat. De aceea, orice companie trebuie să fie atentă şi să raporteze orice problemă de securitate, pentru că frauda poate apărea oriunde şi nu se pune problema dacă se produce, ci când se produce”, a declarat la Summit, Andrei Croitoru, Managing Associate act Botezatu Estrade Partners.
Bărbaţii, fraude de 3 ori mai mari decât femeile
Potrivit acestuia, indiferent de domeniul în care se produce, principalul motor al fraudei sunt banii, iar bărbaţii produc fraude cu prejudicii de trei ori mai mari decât cele comise de femei. În acelaşi timp, chiar dacă putem vorbi de un echilibru între numărul fraudelor produse de un singur individ şi grupuri infracţionale, prejudiciul generat este de 4-5 ori mai mare în cazul grupurilor organizate decât în cazul fraudei comise de o singură persoană.
Conform specialiştilor prezenţi la Summit, în România, băncile sunt un teren fertil pentru fraudă, din cauza multitudinii de actori implicaţi, a tranzacţiilor efectuate şi a produselor folosite. În cazul băncilor, riscul de fraudă este multidirecţional. Astfel, instituţiile bancare pot fi fraudate de clienţi, de angajaţi, de terţi, de acţionari sau chiar de cei aflaţi la conducerea companiei, prin legislaţia interpretabilă şi uneori incompletă. De asemenea, cel mai fraudat produs la băncilor sunt cardurile, aproape jumătate din totalul infracţiunilor comise în cazul instituţiilor bancare fiind reprezentate de fraudă cu cardurile.
Cine fraudează şi de ce?
Angajaţii care comit fraude provin de regulă din rândul oamenilor ”cu vechime la actualul job”, cunosc vulnerabilităţile din interiorul organizaţiei, breşele de securitate şi, foarte important, nu au antecedente penale la prima fraudă săvârşită sau descoperită.
”Angajaţii fraudează atunci când sunt în criză: au pierdut bani mulţi la cazino sau îşi fac datorii mari pe altă cale, au nevoie de o sumă mare de bani, au pe cineva bolnav în familie. Este important să fim atenţi la cei din jurul nostru, pentru că, dincolo de bani, oamenii au nevoie de atenţie, de apreciere, au nevoie să fie ascultaţi. O cultură organizaţională care pune accentul pe nevoile oamenilor este foarte importantă, iar departamentele de resurse umane ar trebui să aibă oameni dedicaţi care urmăresc aceste aspecte, chiar şi un psiholog ar fi util”, a spus Ionuţ Neacşu, psiholog IGPR şi negociator în situaţii de criză.
În opinia investigatorilor particulari şi a specialiştilor antifraudă, organizaţiile din România trebuie să conştientizeze factorii care favorizează frauda şi să anunţe autorităţile atunci când descoperă sau când au suspiciuni de fraudă. Companiile trebuie să aibă proceduri interne pentru evaluarea riscurilor, să organizeze sesiuni de training cu angajaţii, să încurajeze whistleblowing-ul (raportarea de către angajaţi a unor situaţii suspecte) şi să introducă o cultură a conştientizării şi combaterii interne a fenomenului fraudulos în cadrul companiei.
”Fraudele lasă întotdeauna urme şi se pot demonstra cu ajutorul specialiştilor. Modurile de operare ale suspecţilor sunt într-o continuă dezvoltare, iar investigatorii antifraudă se specializează zilnic, în pas cu evoluţia fenomenului criminal. De altfel, este crucial ca eforturile antifraudă să încerce mereu să fie cu un pas înaintea fraudatorilor. Este important ca, imediat ce a fost descoperită, frauda să fie raportată şi investigată, pentru ca prejudiciul să fie recuperat rapid.”, a explicat Nicolae Bîrlă, specialist antifraudă, SPIA România.
Prezentă la eveniment, Teodora Stoian, consilier al Ministrului Justiţiei a spus că, cel mai probabil, până la finalul anului, România va avea o procedură clară de folosire şi protecţie a avertizorilor de integritate, poziţie din care angajaţii pot sesiza suspiciuni de fraudă în interiorul companiilor.
Indiferent de industria în care se produce, frauda este de 3 feluri: externă, internă şi mixtă. Estimările la nivel mondial arată că 39% dintre fraudele suferite de companii au sursă externă. Frauda internă sau fraudă ocupaţională este comisă de proprii angajaţi şi se află aproape la egalitate cu cea externă, respectiv 37%. Frauda mixtă – în care fraudatorii externi şi cei interni lucrează împreună – reprezintă aproape 20% dintre fraudele care afectează companiile.
”În cazul fraudelor comise de companii, în ultimii ani, ”vedeta” rămâne evaziunea fiscală. Potrivit unei statistici a Ministerului Justiţiei, în perioada 2016-2019, aproape jumătate dintre condamnările decise pentru persoane juridice au fost generate de evaziune, pe locul imediat următor fiind dosarele de înşelăciune”, a explicat Amalia Gogoci, Managing Associate, act Botezatu Estrade Partners.
Frauda cibernetică, tot mai versatilă!
Atacurile cibernetice sunt, de asemenea, una dintre cele mai mari ameninţări pentru companii, mai ales în contextul pandemiei declanşate anul trecut, când foarte multe afaceri au fost forţate să-şi mute operaţiunile în online. Multe dintre aceste companii – şi angajaţii acestora – nu aveau pregătirea necesară pentru a face faţă riscurilor de atac şi vulnerabilităţilor de securitate, prin urmare, nu au ştiut cum să îşi ia măsuri serioase de securizare în faţa fraudei cibernetice.
Potrivit datelor prezentate de Alex Bălan, Chief Security Researcher la Bitdefender, dacă în 2012, la nivel mondial, se vehicula cifra de 100 de milioane de coduri maliţioase care expuneau companiile atacurilor cibernetice, în 2021, numărul acestora a depăşit 1,2 miliarde, de aproape 12 ori mai mari. Mai mult, riscurile de atac cibernetic cresc în continuare în ritm alert.
”Ameninţările cibernetice sunt din ce în ce mai multe şi din ce în ce mai evoluate. Dacă în urmă cu câţiva ani vorbeam de programe de malware care se instalau în calculator şi furau diverse date, în zilele noastre vorbim despre organizaţii întregi de atacatori cibernetici foarte bine puse la punct, care au chiar şi departamente de PR şi care oferă servicii de afiliere pentru alţi hackeri”, a explicat Alex Bălan.
Potrivit acestuia, cel mai periculos tip de ameninţare cibernetică la ora actuală este ”APT as a service” (Advanced Persistant Threat), un atac ce se infiltrează pe termen lung într-o reţea, pentru a mina date sensibile. Se poate întâmpla ca aceste invazii să rămână nedetectate ani de zile. Acest gen de atac cibernetic este folosit în scopuri politice, în războaie cibernetice, în scop de sabotaj economic sau pentru spionaj industrial. Totodată, SCA (Supply Chain Attacks) este o altă metodă de ameninţare cibernetică, prin care se infectează un sector vulnerabil din cadrul infrastructurii unei organizaţii, pentru a ajunge la întreaga companie. Datele arată că, în 2020, companiile au avut nevoie, în medie, de 280 de zile pentru a-şi da seama că au suferit un furt de date şi pentru a rezolva problema.
O problemă majoră o reprezintă şi faptul că ne considerăm a fi deja pregătiţi sau intangibili. „Primul lucru îngrijorător pe care-l relevă studiul CEE Cyber Security Trends, dat recent publicităţii de către Microsoft, este că satisfacţia clienţilor din Europa Centrală şi de Est, referitor la securitate, este de 86%. Este foarte îngrijorător acest fapt, pentru atunci când eşti fericit cu gradul de securitate pe care îl ai, eşti foarte relaxat, deşi, în realitate, ar trebui să fii în permanenţă vigilent - mai ales dacă faci parte din domenii cheie, precum cel guvernamental sau cel financiar-bancar. Totodată, peste 32% dintre organizaţiile din România şi 23% la nivel CEE spun că în ultimul an nu au înregistrat niciun atac cibernetic. E ca şi cum ne-am întoarce din concediu, am găsi maşina uscată în parcare şi am zice că nu a plouat deloc în tot acest timp” , a declarat Eugen Rusen, Cloud Solution Architect Security & Compliance, Microsoft CEE.
Prezent în panelul dedicat cybersecurity, Dan Cîmpean, Director General al Centrului Naţional de Răspuns la Incidente de Securitate Cibernetică CERT-RO, a spus că “Un business nu are nicio şansă singur, ci are nevoie de un întreg ecosistem ca să fie protejat în faţa fraudei. Transformarea digitală se întâmplă într-un ritm accelerat şi în ultimul an, conform estimărilor, a crescut de 7 ori faţă de normal, astfel că suprafaţa de atac a crescut exponenţial”.
Potrivit acestuia, “România va găzdui la Bucureşti Centrul Cyber al Uniunii Europene, iar asta vine şi ca o recunoaştere a simplului fapt că ne-am prezentat ca un ecosistem: guvern, agenţii guvernamentale, universităţi, mediu privat etc. Aici se vor derula principalele programe de inovare, cercetare şi dezvoltare de securitate cibernetică ale Uniunii Europene. Finanţarea este fără precedent, iar recrutarea va fi făcută la Bruxelles. Ce este foarte interesant – şi deja observăm asta – companii cheie din segmente de digitalizare şi cybersecurity fie sunt deja poziţionate în România, fie sunt pe cale să o facă; îşi angajează echipe, îşi deschid birouri pentru a fi în proximitatea acestui centru. Esenţial pentru noi va fi să ne organizam într-un dialog public-privat şi academic prin care să vedem ce capabilităţi avem fiecare, ce proiecte de cercetare avem şi ce putem propune pentru proiecte cu finanţare europeană în acest domeniu.”
În consecinţă, atacurile cibernetice reprezintă flagelul mediului de business în zilele noastre, iar specialiştii în cybersecurity atrag atenţia că nicio companie, oricât de mică ar fi sau oricât de mare şi de invincibilă s-ar considera, nu trebuie să mizeze pe conceptul ”nu mi se întâmplă tocmai mie”, ci să-şi instaleze cele mai performante sisteme de protecţie şi securitate, într-un mediu în care frauda cibernetică este tot mai frecventă, iar atacatorii tot mai inteligenţi.
Summit-ul, oportunitate de schimb de know-how pentru specialişti din domenii diferite
Prezenţi la eveniment, specialişti antifraudă din companii provenind din sectorul energetic, IT sau prestări servicii au spus că, pe lângă creşterea nivelului de conştientizare, la fel de important este schimbul de experienţe, idei şi soluţii aplicate în cazuri diferite de către specialişti. Chiar dacă au admis că subiectul fraudei este unul sensibil, speakerii prezenţi au explicat că, în fapt, rolul lor este să ajute inclusiv fraudatorii să înţeleagă riscurile la care se expun când aleg să comită o infracţiune şi că sancţiunile dure de care sunt pasibili merg chiar până la sancţiuni privative de libertate. Dacă în cazul persoanelor fizice, sancţiunile merg până la închisoare şi amendă penală, în cazul companiilor care fraudează mediul de business, sancţiunile pot merge până la închidere business-ului.