Seguridad en los pagos: primera preocupación de las empresas

¿Por qué la seguridad en los pagos es un tema importante y preocupante para las empresas hoy en día?

En un estudio sobre el fraude publicado en 2020, PwC revela que, en el periodo 2018-2020, más de una de cada dos empresas fue víctima de fraude, con unas pérdidas totales estimadas en 1,4 billones de dólares. Fraude de proveedores falsos, fraude de presidentes, piratería informática, malversación... Las estafas son numerosas, y la creatividad de los defraudadores (aparentemente) ilimitada.

Hay que decir que la digitalización de los procedimientos hace a las empresas especialmente falibles. Por supuesto, la tecnología digital representa una verdadera oportunidad para las empresas, en la medida en que ofrece numerosos ahorros de tiempo y eficacia. También facilita las relaciones interpersonales, gracias a programas y herramientas 100% digitales que ofrecen nuevas posibilidades para una comunicación sana. Pero los riesgos de fraude, interno o externo, también son mayores cuando todos los procesos de la empresa están desmaterializados. La explosión de fraude del falso presidente durante la crisis de Covid-19 es un triste ejemplo de ello. ¿Por qué la digitalización de los procesos aumenta el riesgo de fraude? Hay muchas razones. Por ejemplo, es más difícil verificar la identidad de un proveedor a distancia. Además, los procesos sin papel suelen dar lugar a lagunas de seguridad: de hecho, los servidores informáticos de las empresas no son infalibles y, por tanto, pueden ser blanco de ataques.

Afortunadamente, el marco jurídico de la seguridad de los pagos se está reforzando. La segunda Directiva Europea de Servicios de Pago (PSD2), aprobada por el Parlamento Europeo en 2015 y que entró en vigor en 2018, pretende armonizar la normativa de pagos en toda la Unión Europea. Uno de sus principales objetivos es combatir el aumento del fraude generado por la masificación de las compras online. Según Mercatel, una asociación comercial especializada en temas de pagos, la tasa de fraude es 20 veces mayor en el comercio electrónico que en las tiendas locales. Así que la PSD2 tiene un importante papel que desempeñar en la lucha contra el fraude, reforzando la seguridad de las transacciones de pago en Internet. Desde mayo de 2021, el requisito de autenticación fuerte (un sistema de seguridad diseñado para certificar que la persona que desea realizar una transacción en línea es realmente el titular de la tarjeta bancaria o de la cuenta de pago) se aplica a todas las transacciones de pago superiores a 30 euros.

¿Cuáles son los riesgos para las empresas?

Como hemos visto, las empresas se enfrentan a un riesgo financiero importante (según el estudio de Euler Hermèst, el 33% de las empresas víctimas de fraude sufrieron pérdidas superiores a 10.000 euros, y el 14%, pérdidas superiores a 100.000 euros). Pero este no es el único riesgo al que están expuestas.

Elaborando una tipología de los tipos de fraude más comunes, veamos los riesgos a los que se enfrentan las empresas en términos de seguridad de la cadena de pagos.

El presidente fraudulento

En este caso, el estafador asume la identidad de uno de los directivos de la empresa objetivo y pide a un empleado que realice una transferencia urgente a una cuenta bancaria. Generalmente, el falso directivo insiste en la importancia, confidencialidad y urgencia de esta operación para presionar al empleado con el que está en contacto.

Las grandes empresas son las más afectadas por este tipo de fraude. Aunque en la mayoría de los casos es infructuoso, puede tener consecuencias de gran alcance, con pérdidas financieras estimadas en hasta 1.000 millones de euros. 10 millones.

Para protegerse contra este riesgo, a las empresas les conviene garantizar la seguridad de los procesos de transferencia bancaria, en particular verificando la autenticidad del ordenante en el momento de cada transferencia, y no revelando ninguna información confidencial sobre la empresa en situaciones supuestamente urgentes.

Transferencias fraudulentas

En este caso, el defraudador asume la identidad de uno de los proveedores de la empresa y se pone en contacto con ellos para notificarles que sus datos bancarios han cambiado. El departamento de contabilidad los actualiza en su base de datos, lo que tiene como efecto redirigir los pagos de los proveedores a una cuenta fraudulenta.

Una vez más, este modus operandi se dirige sobre todo a las grandes empresas, con pérdidas financieras de hasta 10 millones de euros.

Fraude técnico

Menos conocido que los dos anteriores, el fraude técnico consiste en hacerse pasar por un técnico para realizar falsas pruebas en puestos informáticos con acceso a datos sensibles. El objetivo es recuperar información confidencial, generar transferencias fraudulentas, instalar software pirata, etc. Además del riesgo de pérdidas financieras, esto expone a la empresa al riesgo de piratería de datos y al daño a su imagen pública.

Ciberdelincuencia (piratería informática)

El pirateo puede adoptar muchas formas: phishing, suplantación de identidad Como en el ejemplo anterior, los riesgos no son sólo financieros, sino también jurídicos y de reputación. Además de la posibilidad de que los datos confidenciales sean pirateados y utilizados por terceros con fines fraudulentos, la empresa se expone a daños en su imagen, que son muy reales aunque más difíciles de evaluar.

Algunos ejemplos

En febrero de 2020, varias empresas francesas, entre ellas Bouygues y M6, sufrieron importantes ciberataques. El grupo de lencería Lise Charmel, también víctima de estos ataques masivos, fue incluso puesto en suspensión de pagos. ¿El motivo? Un programa informático de pirateo tomó como rehenes todos los datos de la empresa a cambio de una clave para descifrarlos (todos los datos y archivos estaban cifrados). Cuando la empresa se negó a pagar el rescate exigido, tuvo que reconstruir su sistema informático durante meses, lo que supuso una pérdida de ingresos de varios millones de euros.

Unos años antes, en 2014, fue Michelin la que se víctima del fraude del falso presidente. ¿Cantidad de los daños sufridos? 1,6 millones de euros. Ese mismo año, KPMG también fue víctima, sufriendo pérdidas por valor de 7,6 millones de euros.

Estos pocos ejemplos ilustran las consecuencias prácticas del fraude en las transferencias (sospecha de negligencia hacia la empresa, reputación empañada, coste financiero, peligro para la empresa, etc.), y la consiguiente importancia de asegurar la cadena de pagos.

¿Qué soluciones pueden aplicarse ahora y en los próximos años?

La digitalización va a continuar en los próximos años. Todavía estamos en las primeras fases de una revolución cuyas oportunidades son tan numerosas como sus riesgos. Afortunadamente, existen soluciones para contrarrestar los riesgos, entre ellas :

• inversión en las cadenas de suministro para garantizar su solidez;

• cartografía de riesgos;

• establecimiento de procedimientos internos ;

• gestión de tesorería ;

• sensibilizar sobre los riesgos de fraude a todos los niveles de la empresa (también debe informarse a los empleados);

• estrecha colaboración con todos los departamentos de la empresa en la lucha contra el fraude.

A las empresas también les interesa utilizar soluciones que digitalicen el proceso de verificación de los datos bancarios a lo largo de toda la cadena de pago, desde la entrada en la base de datos de terceros hasta la generación de los pagos. La combinación de verificación humana y tecnología ofrece resultados óptimos.

Además, es vital que las empresas conozcan a todos sus socios comerciales para que no caigan en la trampa si les roban la identidad.

Aplicando una amplia gama de medidas y aumentando la vigilancia colectiva, las empresas podrán hacer frente a los nuevos riesgos que plantea la digitalización para la seguridad de los pagos.