Acest cerc vicios nu face decât să amplifice riscul de fraudă, de aceea companiile au nevoie de specialiști care să aplice proceduri investigative și tehnici specifice de combatere a fenomenului fraudulos.
Acestea sunt câteva dintre principalele concluzii expuse la FRAUD SUMMIT by SPIA, primul eveniment din România dedicat investigaţiilor antifraudă şi combaterii fraudei. Peste 20 de specialişti antifraudă din companii, organizații neguvernamentale, instituții publice și autorități au luat parte la FRAUD SUMMIT 2021. Evenimentul a fost organizat de SPIA România, liderul noii generații de investigatori corporate, împreună cu firma de avocatură act Botezatu Estrade Partners.
Studiile arată că, la nivel global, aproape 1 din 2 companii (47%) a fost afectată de fraudă în 2019 și 2020, ceea ce reprezintă al doilea cel mai ridicat nivel de fraudă din ultimii 20 de ani. Astfel de incidente generează pierderi însemnate din veniturile unei companii, iar complexitatea fraudei este direct proporțională cu mărimea organizației în care se produce. Indiferent de industrie, peste o treime din frauda comisă în interiorul companiilor este realizată de angajații proprii, iar fraudatorii fac parte, în egală măsură, din middle management, top management sau lucrează în departamente operaționale.
”Din păcate, mai puțin de jumătate (49%) din fraude sunt raportate organelor de urmărire penală. Cele mai multe companii aleg să rezolve problema intern, pentru că se tem de publicitate negativă, însă lipsa de conștientizare a riscului de fraudă inoculează ideea că, de fapt, aceasta nu ar exista. Totodată, foarte puține companii au propriile mecanisme de verificare și control sau proceduri de due diligence. Cele mai multe află că au o problemă în interior de la ceilalți angajați, care își anunță superiorii atunci când observă o neregulă. Impactul fraudei asupra organizațiilor este semnificativ, dar prea puțin conștientizat. De aceea, orice companie trebuie să fie atentă și să raporteze orice problemă de securitate, pentru că frauda poate apărea oriunde și nu se pune problema dacă se produce, ci când se produce”, a declarat la Summit, Andrei Croitoru, Managing Associate act Botezatu Estrade Partners.
Bărbații, fraude de 3 ori mai mari decât femeile
Potrivit acestuia, indiferent de domeniul în care se produce, principalul motor al fraudei sunt banii, iar bărbații produc fraude cu prejudicii de trei ori mai mari decât cele comise de femei. În același timp, chiar dacă putem vorbi de un echilibru între numărul fraudelor produse de un singur individ și grupuri infracționale, prejudiciul generat este de 4-5 ori mai mare în cazul grupurilor organizate decât în cazul fraudei comise de o singură persoană.
Conform specialiștilor prezenți la Summit, în România, băncile sunt un teren fertil pentru fraudă, din cauza multitudinii de actori implicați, a tranzacţiilor efectuate și a produselor folosite. În cazul băncilor, riscul de fraudă este multidirecţional. Astfel, instituţiile bancare pot fi fraudate de clienți, de angajați, de terți, de acționari sau chiar de cei aflaţi la conducerea companiei, prin legislația interpretabilă și uneori incompletă. De asemenea, cel mai fraudat produs la băncilor sunt cardurile, aproape jumătate din totalul infracțiunilor comise în cazul instituțiilor bancare fiind reprezentate de fraudă cu cardurile.
Cine fraudează și de ce?
Angajații care comit fraude provin de regulă din rândul oamenilor ”cu vechime la actualul job”, cunosc vulnerabilităţile din interiorul organizației, breşele de securitate și, foarte important, nu au antecedente penale la prima fraudă săvârșită sau descoperită.
”Angajații fraudează atunci când sunt în criză: au pierdut bani mulți la cazino sau îşi fac datorii mari pe altă cale, au nevoie de o sumă mare de bani, au pe cineva bolnav în familie. Este important să fim atenți la cei din jurul nostru, pentru că, dincolo de bani, oamenii au nevoie de atenție, de apreciere, au nevoie să fie ascultați. O cultură organizațională care pune accentul pe nevoile oamenilor este foarte importantă, iar departamentele de resurse umane ar trebui să aibă oameni dedicați care urmăresc aceste aspecte, chiar și un psiholog ar fi util”, a spus Ionuț Neacșu, psiholog IGPR și negociator în situații de criză.
În opinia investigatorilor particulari şi a specialiștilor antifraudă, organizațiile din România trebuie să conștientizeze factorii care favorizează frauda și să anunțe autoritățile atunci când descoperă sau când au suspiciuni de fraudă. Companiile trebuie să aibă proceduri interne pentru evaluarea riscurilor, să organizeze sesiuni de training cu angajații, să încurajeze whistleblowing-ul (raportarea de către angajați a unor situații suspecte) şi să introducă o cultură a conştientizării şi combaterii interne a fenomenului fraudulos în cadrul companiei.
”Fraudele lasă întotdeauna urme și se pot demonstra cu ajutorul specialiștilor. Modurile de operare ale suspecților sunt într-o continuă dezvoltare, iar investigatorii antifraudă se specializează zilnic, în pas cu evoluţia fenomenului criminal. De altfel, este crucial ca eforturile antifraudă să încerce mereu să fie cu un pas înaintea fraudatorilor. Este important ca, imediat ce a fost descoperită, frauda să fie raportată și investigată, pentru ca prejudiciul să fie recuperat rapid.”, a explicat Nicolae Bîrlă, specialist antifraudă, SPIA România.
Prezentă la eveniment, Teodora Stoian, consilier al Ministrului Justiției a spus că, cel mai probabil, până la finalul anului, România va avea o procedură clară de folosire și protecție a avertizorilor de integritate, poziție din care angajații pot sesiza suspiciuni de fraudă în interiorul companiilor.
Indiferent de industria în care se produce, frauda este de 3 feluri: externă, internă și mixtă. Estimările la nivel mondial arată că 39% dintre fraudele suferite de companii au sursă externă. Frauda internă sau fraudă ocupațională este comisă de proprii angajați și se află aproape la egalitate cu cea externă, respectiv 37%. Frauda mixtă – în care fraudatorii externi și cei interni lucrează împreună – reprezintă aproape 20% dintre fraudele care afectează companiile.
”În cazul fraudelor comise de companii, în ultimii ani, ”vedeta” rămâne evaziunea fiscală. Potrivit unei statistici a Ministerului Justiției, în perioada 2016-2019, aproape jumătate dintre condamnările decise pentru persoane juridice au fost generate de evaziune, pe locul imediat următor fiind dosarele de înșelăciune”, a explicat Amalia Gogoci, Managing Associate, act Botezatu Estrade Partners.
Frauda cibernetică, tot mai versatilă
Atacurile cibernetice sunt, de asemenea, una dintre cele mai mari amenințări pentru companii, mai ales în contextul pandemiei declanșate anul trecut, când foarte multe afaceri au fost forțate să-și mute operațiunile în online. Multe dintre aceste companii – şi angajaţii acestora – nu aveau pregătirea necesară pentru a face față riscurilor de atac şi vulnerabilităţilor de securitate, prin urmare, nu au ştiut cum să îşi ia măsuri serioase de securizare în faţa fraudei cibernetice.
Potrivit datelor prezentate de Alex Bălan, Chief Security Researcher la Bitdefender, dacă în 2012, la nivel mondial, se vehicula cifra de 100 de milioane de coduri maliţioase care expuneau companiile atacurilor cibernetice, în 2021, numărul acestora a depășit 1,2 miliarde, de aproape 12 ori mai mari. Mai mult, riscurile de atac cibernetic cresc în continuare în ritm alert.
”Amenințările cibernetice sunt din ce în ce mai multe și din ce în ce mai evoluate. Dacă în urmă cu câțiva ani vorbeam de programe de malware care se instalau în calculator și furau diverse date, în zilele noastre vorbim despre organizații întregi de atacatori cibernetici foarte bine puse la punct, care au chiar și departamente de PR și care oferă servicii de afiliere pentru alți hackeri”, a explicat Alex Bălan.
Potrivit acestuia, cel mai periculos tip de amenințare cibernetică la ora actuală este ”APT as a service” (Advanced Persistant Threat), un atac ce se infiltrează pe termen lung într-o reţea, pentru a mina date sensibile. Se poate întâmpla ca aceste invazii să rămână nedetectate ani de zile. Acest gen de atac cibernetic este folosit în scopuri politice, în războaie cibernetice, în scop de sabotaj economic sau pentru spionaj industrial. Totodată, SCA (Supply Chain Attacks) este o altă metodă de amenințare cibernetică, prin care se infectează un sector vulnerabil din cadrul infrastructurii unei organizaţii, pentru a ajunge la întreaga companie. Datele arată că, în 2020, companiile au avut nevoie, în medie, de 280 de zile pentru a-și da seama că au suferit un furt de date și pentru a rezolva problema.
O problemă majoră o reprezintă și faptul că ne considerăm a fi deja pregătiți sau intangibili. „Primul lucru îngrijorător pe care-l relevă studiul CEE Cyber Security Trends, dat recent publicității de către Microsoft, este că satisfacția clienților din Europa Centrală și de Est, referitor la securitate, este de 86%. Este foarte îngrijorător acest fapt, pentru atunci când ești fericit cu gradul de securitate pe care îl ai, ești foarte relaxat, deși, în realitate, ar trebui să fii în permanenţă vigilent - mai ales dacă faci parte din domenii cheie, precum cel guvernamental sau cel financiar-bancar. Totodată, peste 32% dintre organizațiile din România și 23% la nivel CEE spun că în ultimul an nu au înregistrat niciun atac cibernetic. E ca și cum ne-am întoarce din concediu, am găsi mașina uscată în parcare și am zice că nu a plouat deloc în tot acest timp” , a declarat Eugen Rusen, Cloud Solution Architect Security & Compliance, Microsoft CEE.
Prezent în panelul dedicat cybersecurity, Dan Cîmpean, Director General al Centrului Național de Răspuns la Incidente de Securitate Cibernetică CERT-RO, a spus că “Un business nu are nicio șansă singur, ci are nevoie de un întreg ecosistem ca să fie protejat în faţa fraudei. Transformarea digitală se întâmplă într-un ritm accelerat și în ultimul an, conform estimărilor, a crescut de 7 ori față de normal, astfel că suprafața de atac a crescut exponențial”.
Potrivit acestuia, “România va găzdui la București Centrul Cyber al Uniunii Europene, iar asta vine şi ca o recunoaștere a simplului fapt că ne-am prezentat ca un ecosistem: guvern, agenții guvernamentale, universități, mediu privat etc. Aici se vor derula principalele programe de inovare, cercetare și dezvoltare de securitate cibernetică ale Uniunii Europene. Finanțarea este fără precedent, iar recrutarea va fi făcută la Bruxelles. Ce este foarte interesant – şi deja observăm asta – companii cheie din segmente de digitalizare și cybersecurity fie sunt deja poziționate în România, fie sunt pe cale să o facă; își angajează echipe, își deschid birouri pentru a fi în proximitatea acestui centru. Esențial pentru noi va fi să ne organizam într-un dialog public-privat și academic prin care să vedem ce capabilități avem fiecare, ce proiecte de cercetare avem și ce putem propune pentru proiecte cu finanțare europeană în acest domeniu.”
În consecință, atacurile cibernetice reprezintă flagelul mediului de business în zilele noastre, iar specialiștii în cybersecurity atrag atenția că nicio companie, oricât de mică ar fi sau oricât de mare și de invincibilă s-ar considera, nu trebuie să mizeze pe conceptul ”nu mi se întâmplă tocmai mie”, ci să-și instaleze cele mai performante sisteme de protecție și securitate, într-un mediu în care frauda cibernetică este tot mai frecventă, iar atacatorii tot mai inteligenți.
Summit-ul, oportunitate de schimb de know-how pentru specialiști din domenii diferite
Prezenți la eveniment, specialiști antifraudă din companii provenind din sectorul energetic, IT sau prestări servicii au spus că, pe lângă creșterea nivelului de conștientizare, la fel de important este schimbul de experiențe, idei și soluții aplicate în cazuri diferite de către specialiști.
Chiar dacă au admis că subiectul fraudei este unul sensibil, speakerii prezenți au explicat că, în fapt, rolul lor este să ajute inclusiv fraudatorii să înțeleagă riscurile la care se expun când aleg să comită o infracțiune și că sancțiunile dure de care sunt pasibili merg chiar până la sancțiuni privative de libertate. Dacă în cazul persoanelor fizice, sancțiunile merg până la închisoare și amendă penală, în cazul companiilor care fraudează mediul de business, sancțiunile pot merge până la închidere business-ului.