Quante volte abbiamo sentito (magari non in maniera così pubblica) abbiamo subito una frode.

Una di quelle frodi che possono essere interne oppure per disattenzione da parte di ognuno di noi verso l'esterno. Uno dei casi più famosi, che sfrutta spesso le tecniche di social engineering è quella della CEO Fraud o truffa dell'amministratore. Ma cosa possiamo fare in SAP per prevenire queste situazioni?

In cosa consistono e come si creano le situazioni adatte per una frode?

Ne abbiamo parlato anche in questo video. Tuttavia, esiste molta documentazione a riguardo su quali sono i "pre-requisiti" per “l’attivazione” di una frode aziendale ovvero

1. La motivazione di commettere una frode aziendale (ad esempio avere problemi economici, o di lavoro)
   
2. Il modo con cui sarà effettuata una frode aziendale
3. L’accettazione della condotta posta in essere da parte di chi ha ideato la frode, per giustificare le proprie azioni

Una delle più frequenti come citato nel titolo di questo post blog è appunto la truffa del CEO ovvero, solitamente viene richiesto di fare un bonifico molto urgente a nome o per conto del CEO (o altro manager) verso ignoti. 

Il tutto può sembrare davvero inverosimile visto da fuori, ma una volta che si è "dentro" il contesto e la situazione, può essere tutto normale.

Va inoltre considerato che solitamente non sono attacchi "mordi e fuggi" ma ci sono attività di preparazione che richiedono tempo, dove viene, tramite tecniche di social engineering, violato un accesso (ad esempio quello della segretaria/o dell'amministratore) di conseguenza l'attaccante può controllare il traffico di mail in diretta e capire quando sia il momento più opportuno per intervenire.

Interessante anche il report dell'ACFE (Association of Certified Fraud Examiners) dove sono mostrare delle statistiche reali per settori, tipologie ed altri dati utili a comprendere il fenomeno.

Ecco qualche punto rilevante dal ACFE report 2022 (dove l'Europa rappresenta l'8% dei casi analizzati) rispetto agli Stati Uniti dove arriviamo al 36%.

• Le maggiori perdite sono su società piccole (come numero di impiegati) rispetto alle grandi
• le persone in azienda con maggiori poteri sono i soggetti sui quali focalizzarsi
• nella metà dei casi le frodi accadono per mancanza di controlli
• Interessante notare che le aziende con canali di ascolto opportuni (Whistleblowing) hanno statisticamente minori impatti
  
  
  • Attraverso la Direttiva Europea sul Whistleblowing (2019/1937) recepito in Italia attraverso il Dlgs. 24 del 10 marzo 2023, in vigore a partire dal 17 dicembre 2021 le aziende (anche private) con più di 249 dipendenti devono adottare dei meccanismi di questo tipo. Non solo, dal 17 dicembre 2023 anche le aziende con dipendenti da 50 fino 249 dovranno adeguarsi.

Ma perché anche in SAP è importante controllare questi aspetti?

Perché anche SAP è importante in questi casi?

In particolare, il sistema SAP ERP in quanto su questo sistema sono presenti molti dati (personali, aziendali, finanziari) ed è possibile effettuare vere e proprie transazioni di business. Compreso, chiaramente, i pagamenti verso terzi. Non sempre tutti questi processi transitano esclusivamente da SAP, tuttavia questo può non essere sempre un deterrente. 

Questi aspetti sono fondamentali sia per le società quotate in borsa sia per quelle che non lo sono in entrambi i casi potrebbero beneficare di meccanismi di controllo per prevenire queste situazioni.

Come prevenire le frodi in SAP?

Chiaramente esistono diversi modi:

• non fare nulla
• creare delle procedure
• definire dei controlli (preventive o detective) sui processi/rischi più critici
• utilizzare degli strumenti che rilevino in real time situazioni anomale

Questo ultimo punto rappresenta l'argomento principale di questo contenuto. Infatti, sono disponibili sul mercato (oltre alla soluzione SAP chiamata Business Integrity Screening, in passato Fraud Management) diverse soluzioni per effettuare questi controlli in maniera più o meno sofisticata. Uno di questi è chiamato remQ valido sia per i sistemi SAP ECC sia per le soluzioni S/4HANA.

Si tratta di uno strumento (addon SAP, che quindi non richiede hardware dedicato) che possiede nativamente una libreria di controlli su diversi processi, prettamente finanziari (ma è possibile attivare dei controlli personalizzati anche in altri ambiti ad esempio nei settori utility, farmaceutico, assicurativo).

Ognuno di questi processi contiene al suo interno una serie di controlli (che possono essere utilizzati anche come controlli mitigativi in ambito di Segregation Of Duties). Ad esempio i seguenti:

Ognuno di questi controlli ha un meccanismo di rilevazione associato che permette di andare a identificare direttamente nel sistema, tramite l'analisi delle azioni realmente svolte dagli utenti (non quindi il solo utilizzo delle applicazioni o transazioni) se effettivamente è stato generato qualcosa di "non corretto". Alcuni esempi:

• Modifiche apportate a dei fornitori
• Numerosità di pagamenti verso un unico fornitore
• Pagamenti elevati verso un unico fornitore
• Termini di pagamento diversi rispetto all'ordine
• Ordini di acquisto ed ingresso merci creati nello stesso giorno
• Cambi di IBAN
• BP (es dipendenti e fornitori) con medesime coordinate bancarie
• Creazione di conti contabili fittizi e registrazioni di documenti contabili
• Bonifici verso soggetti non utilizzati abitualmente o presenti in blacklist pubbliche

Nel caso in cui ci sia una situazione di rischio, lo strumento non solamente intercetta l'azione generando un alert (che può essere soggetta ad approvazione) ma può, eventualmente, effettuare delle azioni di mitigazione automatica. Ovvero, ad esempio, introdurre dei blocchi sul fornitore o sugli oggetti di business per prevenire l'errore o frode.

Contattaci per vedere cosa abbiamo fatto in casi reali e per provare la soluzione.