C’è un momento, nella vita di ogni organizzazione, in cui il pagamento sembra una cosa semplice. Una fattura, un IBAN, una scadenza, magari un sollecito cortese. Tutto appare ordinato fino a quando entra qualcuno da una “porta laterale” e chiede “soltanto” di cambiare un dettaglio: una coordinata bancaria, un allegato, un link, un dato anagrafico. Così accade che la frode moderna ha spesso questa sinistra educazione: non urla, sussurra.
Per questo i numeri del report realizzato da Piteco, software-house italiana, e da Sis ID, fintech francese che offre soluzioni antifrode, meritano attenzione. Secondo quanto riportato dall’indagine “Fraud Survey Italy”, due aziende italiane su tre dichiarano di aver subito almeno un tentativo di frode negli ultimi tre anni; inoltre il 36 per cento dei rispondenti afferma di aver subito un caso di frode confermato negli ultimi cinque anni. La stessa fonte indica che il 94 per cento delle aziende ha implementato misure contro le frodi, ma con una distinzione importante: il 58 per cento si affida a processi interni, il 36 per cento utilizza una soluzione anti-frode dedicata e il 6 per cento non ha alcuna protezione in atto. Ora, è vero: il termine “frode” viene qui utilizzato in modo estensivo. Dentro ci finiscono fenomeni diversi, dal furto di dati ai dettagli bancari, dalla cancellazione del server alla richiesta di cambio IBAN, dalle email con link ai furti d’identità di fornitori, dipendenti o clienti. Non è un dettaglio da poco, perché mettere tutto nello stesso sacco può creare qualche confusione. Tuttavia, anche applicando tutta la prudenza del caso, il quadro resta significativo. Quando due terzi delle organizzazioni raccontano di aver visto almeno un tentativo, non siamo più nel territorio dell’eccezione, ma nella normalità statistica del rischio.
La parte interessante, e forse più scomoda, è proprio questa. Per anni abbiamo immaginato la frode come un evento straordinario, quasi cinematografico: il colpo perfetto, il genio criminale, l’attacco sofisticato. Invece spesso somiglia a una perdita d’acqua nel muro. Non la vedi subito, non fa rumore, non interrompe la riunione del lunedì mattina. Quando compare la macchia, qualcuno scopre che il problema non era il tubo rotto, ma il fatto che nessuno avesse mai pensato di controllare l’impianto.
Nel report compare anche un altro elemento utile: l’83 per cento afferma che i tentativi avvengono casualmente, mentre quote minori rilevano picchi a fine anno o durante le festività. Questo dato è meno banale di quanto sembri. Significa che non possiamo consolarci con l’idea del “periodo a rischio”, come se bastasse chiudere meglio la porta durante le vacanze e poi tornare a lasciare le chiavi sotto lo zerbino. La frode non rispetta il calendario aziendale, non aspetta la trimestrale, non legge il piano ferie. Colpisce quando trova un varco, e spesso il varco non è un sistema informatico bucato, ma un comportamento prevedibile.
Qui arriviamo al punto vero. Il 94 per cento delle aziende dichiara di aver messo in campo misure di protezione. Bene. Anzi, benissimo. Ma la domanda successiva è: quali misure, con quale frequenza, con quale verifica, con quale capacità di funzionare quando le cose non vanno come da manuale? Perché affidarsi ai processi interni può essere ragionevole, ma soltanto se quei processi sono vivi. La frode nei pagamenti, in particolare, prospera in una zona grigia fatta di abitudine, urgenza e fiducia. Il fornitore è noto, il collega sembra affidabile, la mail appare coerente, la richiesta è plausibile. Il criminale non deve convincerci che il cielo è verde; gli basta inserirsi in una conversazione già credibile. È qui che le difese puramente formali iniziano a scricchiolare. Una procedura che dipende dalla memoria di una persona stanca, dalla buona volontà di un ufficio sotto pressione o dalla lettura attenta di una mail ricevuta alle 18.47 del venerdì non è una procedura: è una speranza con il logo aziendale.
Non serve trasformare ogni pagamento in una via crucis burocratica. L’attrito, quando è progettato bene, non blocca: protegge. Una verifica indipendente per il cambio IBAN, un controllo fuori banda, una separazione chiara dei ruoli, una tracciabilità leggibile, strumenti capaci di segnalare anomalie prima che il denaro esca dall’organizzazione. Sono accorgimenti che non fanno notizia, non hanno il fascino della tecnologia miracolosa e non si raccontano bene nei convegni. Però funzionano, che è una qualità curiosamente sottovalutata.
Il punto, dunque, non è spaventarsi davanti ai numeri, ma smettere di considerarli rumore di fondo. La sicurezza non consiste nel credere di essere inattaccabili, ma nel fare in modo che anche la fiducia non sia una conquista eterna.
