Rimanere un passo avanti: come le fintech e le istituzioni finanziarie possono superare in astuzia i truffatori

Lo sviluppo di nuove tecnologie, in particolare l’intelligenza artificiale generativa, offre ai malintenzionati strumenti più avanzati e ad alta tecnologia per realizzare piani antifrode complessi, ma quelle stesse tecnologie possono anche essere sfruttate per proteggere il settore finanziario dai truffatori.

Sfortunatamente, la frode è un problema onnipresente. Nel 2023, il 98% delle organizzazioni intervistate ha riferito di aver subito frodi e quasi il 60% ha subito perdite per almeno mezzo milione di dollari. Danni alla reputazione, perdita di clienti e spese di indagine aggravano queste perdite.

Le fintech e le istituzioni finanziarie devono migliorare le proprie strategie di sicurezza tenendo sotto controllo le tendenze delle minacce e implementando solidi piani e strumenti di prevenzione, rilevamento e mitigazione.

Una tecnologia più intelligente significa crimini più intelligenti La democratizzazione degli strumenti di hacking presenta una realtà preoccupante: la barriera all’ingresso per le frodi si è notevolmente abbassata. Risorse convenienti e facilmente disponibili, come comunità online, kit di phishing predefiniti e strumenti malware e di furto di account, consentono anche a persone con conoscenze tecniche limitate di orchestrare truffe complesse.

La crescente popolarità degli strumenti per la privacy digitale come la navigazione privata, le VPN e le impostazioni anti-tracciamento è un’arma a doppio taglio. Sebbene questi strumenti possano potenziare gli utenti consentendo loro di rimanere anonimi online, queste tecnologie possono anche rendere più semplice per gli autori malintenzionati nascondere le proprie tracce. I truffatori possono eludere il rilevamento mascherando indirizzi IP, dati sulla posizione e altre informazioni identificative.

L’intelligenza artificiale generativa offre ai truffatori l’opportunità di ampliare i propri crimini. Con GenAI, in particolare i Large Language Model (LLM), le e-mail di phishing vengono trasformate da testo semplice con evidenti errori di battitura e inglese artificioso a messaggi realistici e personalizzati molto più raffinati e credibili. GenAI può produrre grandi quantità di questi messaggi in pochi minuti. Gli esperti di Perception Point attribuiscono a questa tecnologia l' aumento degli attacchi Business Email Compromise , che sono aumentati del 1.760% nel 2023.

Un’altra evoluzione delle minacce alimentata dalla GenAI è la creazione di codice dannoso. Questi modelli di intelligenza artificiale possono automatizzare la scrittura del codice in modo che i criminali possano produrre innumerevoli varianti di malware in una frazione del tempo che impiegherebbe un essere umano. Man mano che le organizzazioni sviluppano difese contro specifiche minacce malware, i criminali informatici possono creare rapidamente nuove varianti. Alcuni LLM sono addirittura programmati per rimanere al passo con le più recenti tecniche di programmazione e misure di sicurezza in modo da poter generare malware che elude deliberatamente il rilevamento, mettendo ulteriormente alla prova la capacità del software di sicurezza di identificare e neutralizzare queste minacce.

Anche i video o le registrazioni audio realistici generati dall’intelligenza artificiale, noti come deepfake, rappresentano un rischio significativo per il settore finanziario. I truffatori potrebbero utilizzare i deepfake per impersonare dirigenti, clienti, agenti dell'assistenza o persino fornitori nel tentativo di rubare dati sensibili o diffondere disinformazione.

I robot basati sull’intelligenza artificiale possono raccogliere dati da varie fonti, consentendo loro di imitare modelli di comunicazione umana, replicare voci per truffe telefoniche o persino creare identità online false e convincenti, consentendo ai criminali di aggirare le tradizionali misure di sicurezza basate sull’identificazione di modelli di comportamento umano. L’automazione dell’intelligenza artificiale può essere utilizzata anche per generare richieste di rimborso o reclami fraudolenti, portando potenzialmente a perdite finanziarie per le istituzioni attraverso storni di addebito.

Inoltre, mentre le API di open banking, i pagamenti mobili e le opzioni di finanziamento Acquista ora, paga dopo (BNPL) offrono ai consumatori comodità e personalizzazione, introducono anche nuove strade per i truffatori. Le API di open banking espongono i consumatori al rischio di collegamento fraudolento dei conti, in cui vengono effettuate connessioni non autorizzate tra conti finanziari e applicazioni di terze parti. I fornitori di BNPL devono affrontare sfide come il credential stuffing e il furto di account, mentre i pagamenti mobili introducono la possibilità di accesso non autorizzato alle carte digitali attraverso truffe di phishing o violazioni dei dati.

Sebbene molte organizzazioni abbiano risposto a queste tendenze e minacce in evoluzione aggiornando le proprie politiche e pratiche, alcune aziende sono state più lente nell’aggiornamento delle misure di sicurezza necessarie per combattere queste tattiche di frode sempre più sofisticate, rendendole obiettivi vulnerabili.

Ma c’è una buona notizia: le fintech e le istituzioni finanziarie possono sfruttare strumenti high-tech per combattere le frodi e stare un passo avanti rispetto ai truffatori.

Combattere le frodi finanziarie con strumenti tecnologici innovativi La lotta alle frodi richiede molteplici livelli di difesa. Una combinazione dei seguenti approcci può aiutare a mitigare un’ampia varietà di minacce.

• Pratiche Conosci il tuo cliente (KYC). Le normative KYC rappresentano una linea di difesa fondamentale e obbligatoria per gli istituti finanziari. Le organizzazioni devono verificare l'identità di un cliente prima di stabilire una relazione e monitorare il comportamento del cliente per attività potenzialmente rischiose. Un tempo un processo complicato, tecnologie all'avanguardia come la generazione automatizzata di report, il monitoraggio degli account e la segnalazione di attività sospette aiutano a semplificare la verifica dell'identità consumando meno risorse.

• Autenticazione multifattore e a due fattori (MFA e 2FA) . MFA e 2FA vanno oltre la semplice immissione di una password. Gli utenti devono fornire più di un fattore di verifica per accedere. Questi fattori possono includere qualcosa che conosci (password, PIN), qualcosa che possiedi (dispositivo o token di sicurezza) o qualcosa che sei (impronta digitale, riconoscimento facciale). Questo ulteriore livello di protezione rende più difficile per i malintenzionati accedere a un account, anche se possiedono la password. Per sostenere gli standard di sicurezza, l’AMF dovrebbe essere richiesta per tutti i conti presso gli istituti finanziari.

  
  

• Accesso singolo (SSO). Questa tecnica semplifica gli accessi consentendo agli utenti di accedere a più account con un unico nome utente e password, eliminando la necessità di ricordare numerose credenziali per piattaforme diverse. Inoltre, SSO implementa spesso funzionalità di sicurezza come il rilevamento di attività sospette e richieste di autenticazione a due fattori. SSO è uno strumento prezioso per gli istituti finanziari per rafforzare la sicurezza delle applicazioni interne.

  
  

• Intelligenza del dispositivo. Le aziende utilizzano il rilevamento delle impronte digitali dei dispositivi per identificare attività di accesso sospette. Questa tecnica assegna un ID univoco al dispositivo di un utente in base a fattori quali l'indirizzo IP e la risoluzione dello schermo. La tecnologia segnalerà attività sospette, come un singolo dispositivo che accede da quelle che sembrano essere più posizioni o tentativi di accesso ripetuti. Inoltre, gli utenti verificati sperimentano un processo di accesso fluido, mentre i dispositivi non riconosciuti richiedono un'ulteriore verifica.

  
  

  I metodi di intelligence del dispositivo espandono l'impronta digitale incorporando segnali aggiuntivi per generare un identificatore più preciso e persistente. Queste tecniche rilevano anche comportamenti simili ai bot per identificare e prevenire attività dannose da parte di soggetti malintenzionati.

  
  

• Sistemi di monitoraggio delle transazioni. I sistemi di monitoraggio delle transazioni in tempo reale identificano potenziali frodi non appena si verificano. Questi sistemi analizzano ogni transazione e cercano segnali di allarme come acquisti insolitamente grandi, modifiche frequenti ai dettagli dell'account (password o indirizzo) o volumi elevati di storni di addebito. L’intelligenza artificiale consente a questi sistemi di analizzare grandi quantità di dati in modo rapido ed efficiente, consentendo loro di identificare e prevenire attività fraudolente.

  
  

Una cultura della sicurezza Costruire una cultura interna incentrata sulla sicurezza aiuta le organizzazioni a resistere alle minacce. Queste pratiche includono:

• Aggiornamenti e valutazioni di sicurezza pianificati regolarmente. La combinazione di aggiornamenti di sicurezza coerenti e controlli regolari crea una difesa a più livelli contro le frodi sofisticate. Gli aggiornamenti mantengono i sistemi aggiornati e le difese aggiornate, mentre gli audit garantiscono che le vulnerabilità vengano identificate e affrontate prima che possano essere sfruttate. Questo ciclo continuo di miglioramento aiuta gli istituti finanziari a stare al passo con le minacce in continua evoluzione e a proteggere le informazioni sensibili e le risorse finanziarie dei propri clienti.

• Educazione dei dipendenti. L'errore umano causa quasi il 90% delle violazioni della sicurezza, quindi garantire che il personale sia formato su cosa a cui prestare attenzione dovrebbe essere fondamentale per la strategia di sicurezza di qualsiasi organizzazione. La formazione dovrebbe riguardare come riconoscere le e-mail sospette e altri tipi di corrispondenza, fornire una panoramica degli schemi di frode più diffusi, offrire le migliori pratiche per password complesse e navigazione web sicura e altri protocolli di sicurezza pertinenti.

  
  

• Processi interni robusti. Solidi processi interni sono la pietra angolare di un’efficace prevenzione delle frodi all’interno delle organizzazioni, compresa la definizione di protocolli chiari per gli informatori per i dipendenti che sospettano frodi o problemi di sicurezza e la capacità dei dipendenti di essere la prima linea di difesa mantenendo linee di comunicazione aperte. L’automazione delle attività di routine come l’elaborazione delle fatture e i pagamenti riduce al minimo il rischio di errore umano o manipolazione, un punto di ingresso comune per le frodi. I sistemi automatizzati possono anche essere programmati per applicare limiti di spesa e aderire a gerarchie di approvazione stabilite, riducendo le possibilità che le attività fraudolente non vengano rilevate.

  
  

Una finanza a prova di futuro: punti chiave

La lotta contro le frodi finanziarie è in corso e le società fintech e le istituzioni finanziarie devono essere proattive, non reattive. Comprendere non solo le minacce attuali ma anche le tendenze emergenti è fondamentale per costruire una strategia di difesa a lungo termine.

Un solido programma di prevenzione delle frodi richiede un approccio a più livelli. Investire in soluzioni all’avanguardia consente alle istituzioni di stare un passo avanti rispetto ai truffatori più sofisticati. Ciò include l’adozione di nuove tecnologie come l’intelligenza artificiale e l’apprendimento automatico per identificare e prevenire attività fraudolente.

Ma la tecnologia da sola non basta. Coltivare una cultura attenta alla sicurezza è altrettanto importante. Incoraggiare la vigilanza dei dipendenti e implementare protocolli di sicurezza chiari consente a tutti all’interno dell’organizzazione di essere parte della soluzione. Combinando strumenti avanzati con una cultura incentrata sulla sicurezza, le aziende fintech e le istituzioni finanziarie possono ridurre significativamente l’impatto delle frodi e proteggere sia i propri clienti che la propria attività.

Circa l'autore

Dan Pinto è CEO e co-fondatore di Fingerprint e vanta oltre un decennio di esperienza nel campo della tecnologia. Ha iniziato la sua carriera nell'ingegneria del software, dove ha sviluppato un interesse per la creazione di bot, ma ha rapidamente spostato la sua attenzione sull'imprenditorialità. Dan ha fondato molte piccole startup, tra cui negozi eBay, un blog tecnologico e persino un forum per programmi TV.

Nel 2014, Dan ha co-fondato Machinio, un motore di ricerca per macchinari usati, successivamente acquisito da NASDAQ:LQDT nel 2018. Dopo questo successo, ha co-fondato Fingerprint, l'identificatore di dispositivi più accurato al mondo, che ha raccolto oltre 77 milioni di dollari sin dal suo primo round di finanziamento nel 2020. Fingerprint impiega attualmente oltre 100 persone e si dedica a risolvere il complesso problema delle frodi online.

Quando non è impegnato nella costruzione di imprese, Dan ama trascorrere del tempo con la sua famiglia: vive a Chicago con sua moglie e suo figlio.