ISSN 2784-9635

Parere dell’EBA sulle nuove tipologie di frode

Giorgia Azzellini - 02/05/2024

Il 29 aprile 2024 l’Autorità bancaria europea (European Banking Authority, c.d. EBA) ha reso pubblico il suo parere concernente la valutazione dei dati sulle frodi per l’anno 2022, al fine di arrivare a comprenderne meglio i modelli e le nuove tipologie.

Il documento articola raccomandazioni per misure di sicurezza aggiuntive e ha lo scopo di contribuire a rafforzare ulteriormente il prossimo quadro legislativo.

A proposito di tipologie emergenti, l’EBA ha osservato che, nonostante l’applicazione obbligatoria della Strong Customer Authentication (SCA), è riuscita a prevenire le frodi basate sul furto di credenziali dei clienti: i truffatori hanno adattato le proprie tecniche al mutato contesto tecnologico e normativo, dando origine a tipi di frode di natura più complessa, in particolare sfruttando l’ingegneria sociale.

Si possono, infatti, distinguere tre nuove categorie:

  1. manipolazione del pagatore: il cliente viene manipolato da un truffatore che sfrutta le informazioni raccolte (ad esempio tramite social network), ricorrendo all’impersonificazione di un soggetto conosciuto e fidato (come un parente, un amico, un socio in affari, il fisco etc.);
  2. ingegneria sociale mista e truffa tecnica: i truffatori combinano tecniche di phishing (inclusi vishing e smishing), per rubare le credenziali dei clienti e raccogliere informazioni sull’account ed emettere ordini di pagamento;
  3. compromissione del processo di iscrizione: truffa complessa mirata a registrare i dispositivi del truffatore come secondo fattore della SCA, da utilizzare insieme a credenziali di sicurezza personali del cliente rubate tramite tecniche di phishing/smishing/vishing.

Sulla base delle conoscenze acquisite, l’Autorità è giunta alla conclusione che sono necessarie misure di sicurezza aggiuntive oltre a quelle articolate nelle proposte della Commissione UE concernenti la Direttiva relativa al Third Payment Services (PSD3) e il Regolamento sui servizi di pagamento (PSR), nonché quello recentemente adottato sui pagamenti istantanei.

Nello specifico, a seguito della valutazione delle nuove tipologie di frode, che si avvale degli input forniti dalle Autorità preposte alla vigilanza dei pagamenti e della sorveglianza dei sistemi e degli strumenti di pagamento, l’EBA è giunta alla conclusione che si possono ottenere approfondimenti rilevanti, in particolare riguardo: l’impatto che i requisiti di sicurezza hanno avuto sui livelli di frode; le tendenze emergenti delle frodi osservate e delle nuove tipologie nei pagamenti; le potenziali misure aggiuntive per combattere la frode, oltre alle misure di mitigazione proposte dalla Commissione UE nelle proposte PSD3 e PSR, garantendo la verifica del beneficiario in caso di bonifici in Euro (noto anche come IBAN/name-check) introdotto nel Regolamento n. 260/2012/UE (c.d. Regolamento SEPA) e dall’art. 1, comma 2, del Regolamento 2024/886/UE sui bonifici istantanei in euro (c.d. “Regolamento sui pagamenti istantanei”).

L’Autorità bancaria ha osservato che la SCA è riuscita a mitigare complessivamente le frodi. Ad esempio, i livelli di frode per i bonifici sono stati contenuti allo 0,0008% del valore totale per i bonifici (ovvero 8 euro truffati su 1 milione di euro trasmessi) e allo 0,0020% per gli addebiti diretti nel 2022. Per i pagamenti con carta, mentre il tasso di frode assoluto è più elevato, pari allo 0,029%, la transazione fraudolenta media è limitata a 80 euro, a fronte di un valore corrispondente a 2.252 euro per i bonifici. Già nel 2021, nel periodo di migrazione alla SCA, l’Autorità aveva osservato una riduzione del valore della frode media, compreso tra il 40% e il 60%, nei soli pagamenti con carta. Allo stesso modo, più recentemente, la BCE con le statistiche sulle frodi pubblicate nel maggio 2023, ha dimostrato che l’attuazione della SCA nel 2021 è stato accompagnato da un calo significativo delle frodi sui pagamenti con carta a distanza.

Parallelamente, l’EBA osserva che la SCA è ormai ampiamente utilizzata per l’autenticazione elettronica delle transazioni a distanza, comprese quelle di e-commerce.

Nel 2022 la SCA è stata applicata per il 70% dei bonifici a distanza e per il 36% delle transazioni con carta, per una percentuale del valore aggregato di 77% e 55%.

Nonostante l’effetto positivo che la SCA ha avuto in termini di riduzione delle frodi, l’Autorità ha osservato livelli elevati di frode per alcuni strumenti di pagamento specifici, dimensioni geografiche, giurisdizioni o combinazioni di esse. Il primo riguarda i bonifici istantanei, detti anche pagamenti istantanei, per i quali i dati segnalati per il primo semestre del 2022 mostrano che i tassi di frode in valore, oltre a presentare divergenze significative tra gli Stati membri, sono in media circa 10 volte superiori rispetto ai tradizionali bonifici. A tal proposito, l’Autorità è del parere che il suddetto più elevato tasso di frode dei pagamenti istantanei potrebbe essere parzialmente dovuto alla limitata possibilità di recuperare fondi in caso di pagamenti istantanei fraudolenti. Ciò evidenzia la necessità di garantire l’adozione di adeguate garanzie di sicurezza per mitigare i rischi.

In secondo luogo, l’EBA ha osservato che i tassi di frode per le transazioni transfrontaliere sono molto più elevati per quelle domestiche, ovvero quelle operazioni in cui il pagatore e il beneficiario sono ubicati nello stesso Stato membro.

In terzo luogo, la distribuzione della responsabilità per le perdite dovute a frode varia notevolmente tra gli strumenti di pagamento.

Secondo l’Autorità, la mancanza di una chiara distinzione tra transazioni autorizzate e non autorizzate porta a un’applicazione divergente delle pertinenti norme in materia di responsabilità negli Stati membri.

Per tali ragioni, l’EBA accoglie con favore le nuove disposizioni di sicurezza incluse nelle proposte della Commissione europea (PSD3/PSR) e nel Regolamento sui pagamenti istantanei e ha individuato le seguenti misure aggiuntive da sottoporre all’esame dei co-legislatori dell’UE:

  1. requisiti di sicurezza rafforzati per gli operatori, che integrano il controllo di iban/nome e le misure di mitigazione delle frodi incluse nelle proposte PSD3/PSR, finalizzate al rafforzamento della procedura per l’autenticazione delle transazioni;
  2. un quadro di gestione del rischio di frode che dovrà essere messo in atto dagli operatori, in aggiunta ai requisiti di sicurezza obbligatori;
  3. modifica delle norme sulla responsabilità;
  4. una vigilanza rafforzata e armonizzata sulla gestione delle frodi;
  5. requisiti di sicurezza adeguati per un’unica piattaforma informativa a livello dell’UE finalizzata alla condivisione per prevenire e individuare transazioni di pagamento potenzialmente fraudolente.

Le citate misure sono volte a garantire una più efficace protezione del consumatore, rafforzando al contempo la responsabilità degli operatori per la sicurezza dei servizi di pagamento offerto. Ridurrebbero, inoltre, i costi di gestione delle controversie e permetterebbero il rafforzamento e l’armonizzazione della supervisione e della gestione delle frodi.

 

Fonte: EBA_Opinion on new types of payment fraud and possible mitigants