Pe 27 mai s-a desfasurat prima editie a FRAUD SUMMIT by SPIA, primul eveniment din Romania dedicat actiunilor de investigatii antifrauda si combaterii fraudei ce afecteaza mediul de business din tara noastra.

24 de speakeri exceptionali, printre care s-au numarat specialisti antifrauda din companii, organizatii neguvernamentale, institutii publice si autoritati, au urcat pe scena FRAUD SUMMIT 2021 si au impartasit audientei din expertiza lor. Evenimentul a fost organizat de SPIA, liderul noii generatii de investigatori privati din Romania, impreuna cu firma de avocatura act Botezatu Estrade Partners.

Contextul socio-economic actual a accelerat transferul infractionalitatii in mediul online si a marit sfera companiilor expuse riscului, generand o alta pandemie: cea de frauda. Conform studiilor de specialitate derulate de PwC, aproape 1 din 2 companii (47%) a fost afectata de frauda in 2019 si 2020, ceea ce reprezinta al doilea cel mai ridicat nivel din ultimii 20 de ani.

Poate si mai grav este ca, de teama publicitatii negative, mai mult de jumatate dintre fraude nu sunt raportate organelor de urmarire penala de catre companii. Rezultatul direct al lipsei de transparenta si de constientizare este tocmai amplificarea fenomenului. Iata inca un motiv in plus pentru care companiile au nevoie de specialisti care sa aplice proceduri investigative si tehnici specifice de combatere a fenomenului fraudulos.

Complexitatea fraudei este direct proportionala cu marimea companiei sau a organizatiei in care se produce, generand pierderi importante din veniturile realizate de acestea. Dar indiferent de dimensiunea organizatiei afectate sau de industria din care face parte, peste o treime dintre fraudele comise in interiorul companiilor este realizata de catre proprii angajati si cauzeaza pierderi de peste 5% din veniturile companiei, iar fraudatorii fac parte, in egala masura, din middle management, top management sau lucreaza in departamente operationale.

”Din pacate, mai putin de jumatate (49%) din fraude sunt raportate organelor de urmarire penala. Cele mai multe companii aleg sa rezolve problema intern, pentru ca se tem de publicitate negativa, insa lipsa de constientizare a riscului de frauda inoculeaza ideea ca, de fapt, aceasta nu ar exista. Totodata, foarte putine companii au propriile mecanisme de verificare si control sau proceduri de due diligence. Cele mai multe afla ca au o problema in interior de la ceilalti angajati, care isi anunta superiorii atunci cand observa o neregula. Impactul fraudei asupra organizatiilor este semnificativ, dar prea putin constientizat. De aceea, orice companie trebuie sa fie atenta si sa raporteze orice problema de securitate, pentru ca frauda poate aparea oriunde si nu se pune problema daca se produce, ci cand se produce”, a declarat la Summit, Andrei Croitoru, Managing Associate act Botezatu Estrade Partners.

Potrivit acestuia, indiferent de domeniul in care se produce, principalul motor al fraudei il reprezinta banii. Fraudele comise de barbati produc prejudicii de 3 ori mai mari decat cele comise de femei, in timp ce prejudiciul generat de grupurile organizate este de 4-5 ori mai mare decat cel din frauda comisa de o singura persoana, chiar daca putem vorbi de un echilibru intre numarul fraudelor produse de un singur individ si grupuri infractionale.

In Romania, din cauza multitudinii de parti implicate, a tranzactiilor efectuate si a produselor folosite, bancile sunt un teren fertil pentru frauda, conform specialistilor prezenti la FRAUD SUMMIT. Astfel, in industria de banking, riscul de frauda este multidirectional - institutiile bancare pot fi fraudate de clienti, de angajati, de terti, de actionari sau chiar de cei aflati la conducerea companiei, prin legislatia interpretabila si uneori incompleta.

Cardurile sunt cel mai fraudat produs la bancilor si reprezinta aproape jumatate din totalul infractiunilor comise in domeniu.

De regula, angajatii care fraudeaza fac parte dintre cei ”cu vechime la actualul job” - cunosc vulnerabilitatile din interiorul companiei, bresele de securitate si, foarte important, nu au antecedente penale la prima frauda comisa sau descoperita.

”Angajatii fraudeaza atunci cand sunt in criza: au pierdut bani multi la cazino sau isi fac datorii mari pe alta cale, au nevoie de o suma mare de bani, au pe cineva bolnav in familie. Este important sa fim atenti la cei din jurul nostru, pentru ca, dincolo de bani, oamenii au nevoie de atentie, de apreciere, au nevoie sa fie ascultati. O cultura organizationala care pune accentul pe nevoile oamenilor este foarte importanta, iar departamentele de resurse umane ar trebui sa aiba oameni dedicati care urmaresc aceste aspecte, chiar si un psiholog ar fi util”, a declarat Ionut Neacsu, psiholog IGPR si negociator in situatii de criza.

Investigatorii particulari si specialistii antifrauda prezenti la FRAUD SUMMIT au declarat ca organizatiile din Romania trebuie sa constientizeze mult mai bine factorii care favorizeaza aparitia fraudei, sa anunte autoritatile atunci cand descopera sau cand au suspiciuni ca in cadrul companiei se desfasoara activitati frauduloase, sa aiba proceduri interne pentru evaluarea riscurilor, sa organizeze sesiuni de training cu angajatii, sa incurajeze raportarea de catre angajati a unor situatii suspecte (whistleblowing) si sa construiasca o cultura a constientizarii si combaterii interne a fenomenului fraudulos in cadrul organizatiei.

”Fraudele lasa intotdeauna urme si se pot demonstra cu ajutorul specialistilor. Modurile de operare ale suspectilor sunt intr-o continua dezvoltare, iar investigatorii antifrauda se specializeaza zilnic, in pas cu evolutia fenomenului criminal. De altfel, este crucial ca eforturile antifrauda sa incerce mereu sa fie cu un pas inaintea fraudatorilor. Este important ca, imediat ce a fost descoperita, frauda sa fie raportata si investigata, pentru ca prejudiciul sa fie recuperat rapid.”, a explicat Nicolae Birla, specialist investigatii antifrauda, SPIA Romania.

„Cel mai probabil, pana la finalul anului, Romania va avea o procedura clara de folosire si protectie a avertizorilor de integritate, pozitie din care angajatii pot sesiza suspiciuni de frauda in interiorul companiilor.”, a declarat Teodora Stoian, consilier al Ministrului Justitiei, prezenta la eveniment.

Frauda poate fi externa - 39% dintre fraudele asupra companiilor au sursa in afara organizatiei, conform studiilor desfasurate la nivel mondial, interna - numita si frauda ocupationala, se apropia ca procent de cea externa, fiind produsa in 37% dintre cazuri si mixta - frauda in care fraudatorii externi si cei interni conlucreaza, adica aproape 20% din totalul fraudelor care afecteaza companiile.

”In cazul fraudelor comise de companii, in ultimii ani, ”vedeta” ramane evaziunea fiscala. Potrivit unei statistici a Ministerului Justitiei, in perioada 2016-2019, aproape jumatate dintre condamnarile decise pentru persoane juridice au fost generate de evaziune, pe locul imediat urmator fiind dosarele de inselaciune”, a explicat Amalia Gogoci, Managing Associate, act Botezatu Estrade Partners.

Atacurile cibernetice reprezinta una dintre cele mai mari amenintari asupra companiilor, in special din cauza pandemiei declansate anul trecut, cand foarte multe afaceri au fost fortate sa-si mute operatiunile in online. Pentru ca foarte multe dintre aceste companii si angajatii lor nu aveau pregatirea necesara pentru a face fata riscurilor de atac si breselor de securitate, nu au stiut cum sa isi ia masuri serioase de securizare in fata fraudei cibernetice si au devenit extrem de vulnerabile.

Potrivit datelor prezentate de Alex Balan, Chief Security Researcher la Bitdefender, in 2021, numarul codurilor malitioase care expuneau companiile atacurilor cibernetice a depasit 1,2 miliarde - adica de peste 12 ori mai mult decat in 2012, cand, la nivel mondial, se vehicula cifra de 100 de milioane de coduri.

”Amenintarile cibernetice sunt din ce in ce mai multe si din ce in ce mai evoluate. Daca in urma cu cativa ani vorbeam de programe de malware care se instalau in calculator si furau diverse date, in zilele noastre vorbim despre organizatii intregi de atacatori cibernetici foarte bine puse la punct, care au chiar si departamente de PR si care ofera servicii de afiliere pentru alti hackeri”, a explicat Alex Balan.

Potrivit acestuia, cel mai periculos tip de amenintare cibernetica la ora actuala este ”APT as a service” (Advanced Persistant Threat), un gen de atac cibernetic folosit in scopuri politice, in razboaie cibernetice, in scop de sabotaj economic sau pentru spionaj industrial, ce se infiltreaza pe termen lung intr-o retea, pentru a mina date sensibile. De cele mai multe ori, aceste invazii raman nedetectate ani de zile.

O alta metoda de amenintare cibernetica este SCA (Supply Chain Attacks), prin care se infecteaza un sector vulnerabil din cadrul infrastructurii unei organizatii, cu scopul de a ajunge la intreaga companie. Datele arata ca, in 2020, companiile au avut nevoie, in medie, de 280 de zile pentru a-si da seama ca au suferit un furt de date si pentru a rezolva problema.

O problema majora o reprezinta si faptul ca ne consideram a fi deja pregatiti sau intangibili. „Primul lucru ingrijorator pe care-l releva studiul CEE Cyber Security Trends, dat recent publicitatii de catre Microsoft, este ca satisfactia clientilor din Europa Centrala si de Est, referitor la securitate, este de 86%. Este foarte ingrijorator acest fapt, pentru atunci cand esti fericit cu gradul de securitate pe care il ai, esti foarte relaxat, desi, in realitate, ar trebui sa fii in permanenta vigilent - mai ales daca faci parte din domenii cheie, precum cel guvernamental sau cel financiar-bancar. Totodata, peste 32% dintre organizatiile din Romania si 23% la nivel CEE spun ca in ultimul an nu au inregistrat niciun atac cibernetic. E ca si cum ne-am intoarce din concediu, am gasi masina uscata in parcare si am zice ca nu a plouat deloc in tot acest timp” , a declarat Eugen Rusen, Cloud Solution Architect Security & Compliance, Microsoft CEE.

Dan Cimpean, Director General al Centrului National de Raspuns la Incidente de Securitate Cibernetica CERT-RO, prezent in panelul dedicat cybersecurity, a spus ca “Un business nu are nicio sansa singur, ci are nevoie de un intreg ecosistem ca sa fie protejat in fata fraudei. Transformarea digitala se intampla intr-un ritm accelerat si in ultimul an, conform estimarilor, a crescut de 7 ori fata de normal, astfel ca suprafata de atac a crescut exponential”.

Potrivit acestuia, “Romania va gazdui la Bucuresti Centrul Cyber al Uniunii Europene, iar asta vine si ca o recunoastere a simplului fapt ca ne-am prezentat ca un ecosistem: guvern, agentii guvernamentale, universitati, mediu privat etc. Aici se vor derula principalele programe de inovare, cercetare si dezvoltare de securitate cibernetica ale Uniunii Europene. Finantarea este fara precedent, iar recrutarea va fi facuta la Bruxelles. Ce este foarte interesant - si deja observam asta - companii cheie din segmente de digitalizare si cybersecurity fie sunt deja pozitionate in Romania, fie sunt pe cale sa o faca; isi angajeaza echipe, isi deschid birouri pentru a fi in proximitatea acestui centru. Esential pentru noi va fi sa ne organizam intr-un dialog public-privat si academic prin care sa vedem ce capabilitati avem fiecare, ce proiecte de cercetare avem si ce putem propune pentru proiecte cu finantare europeana in acest domeniu.”

In consecinta, atacurile cibernetice reprezinta flagelul mediului de business in zilele noastre, iar specialistii in cybersecurity atrag atentia ca nicio companie, oricat de mica ar fi sau oricat de mare si de invincibila s-ar considera, nu trebuie sa mizeze pe conceptul ”nu mi se intampla tocmai mie”, ci sa-si instaleze cele mai performante sisteme de protectie si securitate, intr-un mediu in care frauda cibernetica este tot mai frecventa, iar atacatorii tot mai inteligenti.

Specialistii antifrauda din companii provenind din sectorul energetic, IT sau prestari servicii prezenti la eveniment au declarat ca nu doar cresterea nivelului de constientizare este important, ci si schimbul de experiente, de idei si solutii aplicate in diferite spete de catre specialisti. Chiar daca stiu si recunosc ca frauda este un subiect sensibil, speakerii prezenti au explicat ca isi doresc sa ajute inclusiv fraudatorii sa inteleaga riscurile la care se expun cand aleg sa comita o infractiune si ca sanctiunile dure de care sunt pasibili merg chiar pana la sanctiuni privative de libertate. Daca in cazul persoanelor fizice, sanctiunile merg pana la inchisoare si amenda penala, in cazul companiilor care fraudeaza mediul de business, sanctiunile pot merge pana la inchidere business-ului.