Martedì 18 ottobre 2011...

...nasceva questo blog dedicato alla materia che negli anni è divenuta la mia professione.
Da qualche tempo pensavo ad uno strumento diretto ed efficace che mi potesse permettere di divulgare con semplicità i tanti aspetti ancora sconosciuti di una professione davvero unica e affascinante, quale quella del fraud auditor.
Ho ritenuto il blog lo strumento più adatto per raccontare le mie esperienze e per pubblicare la numerosissima mole di materiale prodotto in questi anni.

Tre mesi di vita dunque, 2.360 accessi complessivi, una media di 40 lettori giornalieri nell'ultimo mese, 22 post pubblicati (altri 12 già pronti in bozza per una futura pubblicazione), molti accessi anche dall'estero (135 dalla Federazione Russa, 114 dagli Stati Uniti d'America, 70 dalla Germania, 44 dai Paesi Bassi e poi dalla Svizzera, Regno Unito, Svezia, Francia), lettori provenienti da settori differenti (colleghi fraud auditor, insegnanti, studenti universitari, avvocati, head hunter, eccetera)... insomma sono molto contento (e sorpreso) dal grande successo riscosso dal blog!
Devo ringraziare tutti quanti mi hanno incoraggiato a continuare nello sviluppo del blog, a quanti mi hanno inviato mail di apprezzamento, ma anche di critica (soprattutto per l'aspetto grafico...), ai numerosi studenti universitari che mi hanno scritto chiedendomi consigli e suggerimenti su come poter intraprendere la carriera del fraud auditor, ai colleghi e amici che mi aiutano ad identificare gli argomenti e definire i contenuti. Grazie anche ai lettori occasionali e a quanti hanno postato i loro commenti (anonimi inclusi)!!
Il primo post pubblicato il 19 ottobre 2011, titolato "La figura del Fraud Auditor", è stato letto solamente da 11 visitatori, mentre il post "007 e Università" è stato un vero successo, in soli 15 giorni ha scalato la classifica degli articoli più letti, arrivando a 113 accessi.
Anche altri post come "Trashing… la nostra immondizia è fonte di informazioni!", "L'head hunter nella lotta alle frodi aziendali" e "Document manipulation" hanno fatto segnare un grande interesse tra i lettori!
Per il futuro ho molte idee per migliorare ancora di più la qualità dei post.
Innanzitutto sto cercando di convincere i colleghi fraud auditor, più bravi di me, ad aiutarmi a pubblicare esperienze e punti di vista sull'argomento con contributi a loro firma.
Vorrei anche spronare gli studenti che mi scrivono e che sono interessati a questa materia, a contribuire con loro scritti inerenti l'esperienza universitaria o sulle aspettative o aspirazioni professionali inerenti la carriera del fraud auditor oppure semplicemente per comunicare il loro punto di vista e, perchè no?, anche per esprimere le proprie osservazioni o intuizioni su come migliorare le tecniche investigative.
Insomma c'è molto da fare, ma l'entusiasmo, spero si sia capito, non manca!

Royalty audit investigation

Le più moderne strategie di sviluppo del business legato alla proprietà industriale si basano sul concetto di licensing, formula attraverso la quale il titolare di un profittevole asset immateriale (marchio, brevetto o altro bene intangibile) concede a una terza parte, il licenziatario, il diritto di sfruttarlo nei limiti contrattualmente previsti, in cambio di un corrispettivo economico, la royalty.

Un recente studio indica il licensing come la modalità più diffusa tra i metodi di investimento e commercializzazione di una risorsa di natura intellettuale.

I ricavi da royalty rappresentano una delle maggiori e più significative fonti di guadagno per le aziende impegnate nel campo della proprietà intellettuale: basti pensare che nel 2010 il ricavato da royalty nel solo mercato statunitense è risultato pari a 5,9 miliardi di dollari.

E’ dunque evidente come il titolare di una risorsa di tale rilevanza economica abbia il diritto di disporre in modo pieno ed esclusivo di essa, di poterla tutelare attraverso strumenti specifici e, qualora lo ritenga opportuno, di concederla in licenza. 

I fraud investigator dell'OLAF

Forse pochi sanno che in Europa è operativa una struttura appositamente pensata e organizzata per dare la caccia ai truffatori e per tutelare gli interessi dei contribuenti europei.

Questa struttura si chiamata “Ufficio Europeo per la Lotta Antifrode” ("Office Européen de Lutte Anti-Fraude" o OLAF).

L’OLAF si avvale di circa 500 funzionari impegnati nella lotta ad ogni genere di truffa: dal “semplice” contrabbando di sigarette, alla contraffazione delle monete, dall’evasione fiscale, agli abusi legati ai sussidi elargiti per lo sviluppo economico di determinate aree territoriali.

007 e Università

I servizi d'intelligence italiani hanno concluso un accordo con l'Università "La Sapienza" di Roma per definire sentieri formativi e attività di ricerca comuni nei settori di interesse.
Tali iniziative sono assolutamente auspicabili per la crescita culturale del nostro intelligence, a dire il vero, per quanto se ne sa, già molto preparato ad affrontare situazioni complesse, ma che in tale maniera potrà accedere anche a conoscenze accademiche di primo livello.
La logica dell'intesa tra Università e intelligence va ricercata anche nella volontà di promuovere la cultura della sicurezza nazionale in un ambito di integrazione tra strutture pubbliche e apparati riservati dello Stato.

I reati economico-finanziari non conoscono crisi

Grazie alla partnership tra l’Osservatorio di revisione della SDA Bocconi e la società multinazionale di consulenza e revisione contabile PricewaterhouseCoopers, è stato istituito il “Laboratorio frodi aziendali”.

Obiettivo dichiarato dell’iniziativa, unica nel suo genere nella realtà italiana, è lo studio della criminalità economica e la ricerca teorico-pratica di metodi e approcci innovativi finalizzati a perfezionare le strategie di contrasto, prevenzione, monitoraggio e investigazione degli illeciti societari.
Il gruppo di lavoro, formato da professionisti e accademici di primo livello, ha altresì il compito di esaminare con senso critico la normativa di riferimento e la relativa capacità di perseguire i comportamenti fraudolenti.

Trashing… la nostra immondizia è fonte di informazioni! (risposte alle domande)

Alcuni lettori del blog mi hanno rivolto alcune domande riguardo al post “Trashing… la nostraimmondizia è fonte di informazioni!”, pubblicato lo scorso 17 dicembre.

Sono molto sorpreso e gratificato nel constatare quanto questi post, e in generale questo giovane blog, abbiano attirato l'attenzione di così tanti lettori.

Dal giorno della sua nascita, era il 19 ottobre, il blog ha visto l’accesso di circa 1.600 utenti e sono numerosi i feedback inviati di apprezzamento, ma anche di critica e di invito a fare di più o ad approfondire determinati argomenti. Nell'ultimo periodo il blog ha registrato una media di 40 accessi al giorno.

In particolare il post “Trashing… la nostra immondizia è fonte di informazioni!” ha scalato la classifica degli argomenti più apprezzati in sole 24 ore. Un vero successo!

Probabilmente il motivo è da attribuire alla generale inconsapevolezza di quanto la carta che buttiamo possa permettere una frode.

E’ frequente osservare, infatti, come i processi di redazione di un documento riservato si concentrino soprattutto sulla forma espositiva, sulla profondità delle analisi, sulla completezza degli argomenti trattati…. ma non sulla sorte che quel documento avrà se gettato tra i rifiuti.

Ho deciso pertanto di rispondere alle domande pervenutemi tramite un nuovo post, invitando i lettori ad utilizzare i “commenti” per porre nuove domande o contribuire alla discussione.

Trashing… la nostra immondizia è fonte di informazioni!

Il “trashing” (altrimenti chiamato “bin-raiding”) consiste nel ricercare dati ed informazioni personali e riservate setacciando i cassonetti dei rifiuti.
Si tratta del sistema più semplice e meno rischioso per entrare in possesso di documentazione sensibile, quale ad esempio: estratti conto bancari, buste con indirizzi di residenze private o professionali, bollette contenenti il dettaglio del traffico telefonico o dei dati di navigazione, scontrini fiscali con l’elenco dei prodotti acquistati, ricevute della carta di credito, stampe di mail, eccetera.
Tali documenti, classificabili come “sensibili” per la tipologia delle informazioni che contengono, divengono in tal modo disponibili a chiunque voglia utilizzarli in modo illecito.
La problematica del trashing riguarda anche aziende e professionisti, in particolare quelle realtà che trattano quotidianamente informazioni riservate, ad esempio gli studi legali, le aziende farmaceutiche o ospedaliere, le istituzioni finanziarie, la Pubblica Amministrazione.

L'intelligence britannica alla ricerca di competenze certificate

Qualche settimana fa ho letto un articolo pubblicato sul sito del Corriere della Sera dal titolo: “Gran Bretagna, l’intelligence cerca hacker” e il sistema di selezione era descritto in questo modo: “Cracca il sito. E noi ti assumiamo”.
Una modalità di selezione, almeno per il contesto italiano, piuttosto innovativa ma che esprime pienamente la volontà di accertare e premiare la competenza senza perdere troppo tempo.
Ci dimostri di saperci fare e noi ti assumiamo!
La grossa novità introdotta dall’intelligence britannica rispetto ad analoghe esperienze passate, riguarda l’invito rivolto agli hacker a “bucare” il sito del Government Communications Head Quarter, cioè del Quartier Generale Governativo per le Comunicazioni, pubblicizzato in rete attraverso un vero e proprio bando di concorso.

L’head hunter nella lotta alle frodi aziendali

Anche l'head hunter può contribuire a limitare il rischio di frode aziendale?

A mio avviso, certamente sì!

A tal proposito, sono particolarmente interessanti gli studi teorici in ambito sociologico e psicologico che hanno portato alla definizione delle procedure di screening impiegate per selezionare i “top manager”.

Utilizzo delle tecnologie avanzate di fraud prevention e di fraud detection

Riporto un interessante articolo del collega Ing. Maurizio Bedarida, pubblicato nel novembre 2011 sull'edizione online de Il Sole 24 Ore - Diritto24  (http://www.diritto24.ilsole24ore.com/avvocatoAffari/professioneLegale/2011/11/utilizzo-delle-tecnologie-avanzate-di-fraud-prevention-e-di-fraud-detection.html).
L'autore è un esperto di sistemi informatici idonei a prevenire o a individuare le frodi aziendali, con particolare riferimento alle realtà interessate da un numero di transazioni molto elevato (società di gestione di carte di credito, banche, assicurazioni, credito al consumo, retail, eccetera).
Queste aziende sono oggetto privilegiato di attacchi messi in atto da organizzazioni criminali o di attività fraudolente compiute da dipendenti infedeli.
I sistemi descritti dall'Ing. Bedarida sono molto avanzati e implicano una costante "manutenzione" per accrescerne la capacità di bloccare all'origine i comportamenti fraudolenti.
In base alle esperienze maturate, i benefici apportati alla redditività aziendale dall'utilizzo di questi strumenti IT sono evidenti e superano di gran lunga gli investimenti effettuati per la loro introduzione e gestione.


----------------------------------------------------------------------------------------------
(Da Il Sole 24 Ore - Diritto24 - Sez. "Avvocato d'affari" - 28 novembre 2011)
Utilizzo delle tecnologie avanzate di fraud prevention e fraud detection

Il ruolo ormai preponderante assunto dai sistemi informativi nella gestione del core business delle aziende, oltre all'avvento della rete come canale privilegiato per il b2c e il b2b, ha imposto nuovi approcci per le attività di fraud prevention e di fraud detection.
Se infatti, i sistemi informativi aziendali contengono quantità sempre crescenti di dati - rendendo le attività ispettive oltremodo complesse - proprio la mole elevata di dati raccolti può favorire una più efficace lotta alle frodi.
Accanto alle metodiche di fraud auditing di tipo “classico” (quali le verifiche su base campionaria), oggi il fraud auditor può impiegare nuovi strumenti basati su modelli logico/matematici in grado di elaborare ed analizzare enormi quantità di dati; si tratta, in sostanza, di metodologie che utilizzano particolari algoritmi in grado di prevenire, nonché segnalare, la presenza di eventi fraudolenti tra migliaia di transazioni.

Per fare un esempio, in ambito bancario l’apertura di più conti correnti associati ad anagrafiche non corrette potrebbe indicare la presenza di una potenziale attività fraudolenta, come pure movimentazioni di somme di piccola entità su conti correnti diversi o con causali anomale potrebbe allo stesso modo segnalare la presenza di un’attività fraudolenta in corso o già avvenuta.

Le indagini di fraud prevention e di fraud detection, per essere efficaci, devono pertanto essere supportate da processi di “data mining”, cioè da modelli di estrazione dati (originariamente utilizzati dalle funzioni marketing e controllo di gestione), idonei ad aggregare, collegare o associare informazioni provenienti da sistemi informativi diversi ed eterogenei.

Si pensi, al proposito all'utilità di un processo di “data mining” progettato con finalità antifrode in un contesto aziendale multinazionale operante nel mercato farmaceutico; in tale ambito sarebbe necessario operare focalizzandosi su specifiche correlazione di dati inerenti:

• ordini di vendita;
• gare d’appalto pubbliche o private;
• congressi, convegni e simposi scientifici;
• incarichi di consulenza;
• atti liberali a favore di enti caritatevoli, ONG e fondazioni;
• distribuzione di campioni medicinali a medici di famiglia, ospedali e farmacie;
• produzione di informazione scientifica o di studi clinici sul farmaco;
• richiesta di rimborsi spese da parte degli informatori scientifici sul farmaco.

La realizzazione di un efficace sistema di “data mining” comporta l’applicazione di idonee metodologie atte a:

• assicurare la qualità del dato in origine;
• assicurare la normalizzazione delle informazioni;
• definire le correlazioni ed il modello logico/matematico più efficiente per estrarre informazioni in grado di individuare, con il minor numero di errori (falsi positivi e falsi negativi), il fenomeno fraudolento da prevenire e/o rilevare;
• definire i criteri di controllo sull'efficacia del modello applicato.

Poiché generalmente i dati oggetto di analisi sono archiviati su piattaforme informatiche differenti, si rende necessario assicurare il conseguimento preventivo della cosiddetta qualità del dato originario, che si articola in:

• qualità sintattica: il dato deve essere reso conforme ad una sintassi definita. Se ad esempio il “campo” destinato alla registrazione di una data di calendario fosse di tipo testuale, cioè senza regole sintattiche, la grandezza al suo interno potrebbe assumere valori variabili, quali: “01/01/11”, “01 gennaio 2011”, “1 gen 11”, eccetera;
• affidabilità: il sistema, ad esempio, non deve permettere l’introduzione di codici fiscali non coerenti con gli altri dati anagrafici, oppure impedire l’esistenza di campi vuoti.

Il secondo aspetto necessario per la definizione del modello è la normalizzazione del dato: tale operazione ha lo scopo di uniformare la semantica e la sintassi delle informazioni in modo tale che il processo di “data mining” possa riconoscerle ed elaborarle.
Una volta garantita la bontà della base dati da analizzare è possibile applicare su di essa i modelli matematico\statistici utili all’estrapolazione delle informazioni di interesse.
Nella realtà professionale le metodologie utilizzate nell’attività di fraud prevention e di fraud detection sono numerose ed eterogenee, quali, fra le altre:

• i “link” o “pattern analysis”: ricerca di associazioni e interconnessioni tra gruppi di eventi e o persone;
• i “geometric clustering”: sotto insieme del precedente modello, in cui i raggruppamenti sono funzioni delle distanze geometriche;
• le “machine learning”: modelli auto-apprendenti che modificano i propri parametri in funzione delle variazioni nel tempo dei dati esaminati;
• le “neural networks”: sistemi particolari di auto-apprendimento derivati dalla teoria delle reti neuronali.

I primi due modelli ricadono in una speciale branca dell’analisi informatica conosciuta con l’espressione di “social network analysis”.
Il fraud auditor utilizza questi sistemi, peraltro alquanto sofisticati, per rendere palesi i rapporti d’interconnessione tra soggetti ed eventi, apparentemente non legati tra di loro, allo scopo di ricostruire la presenza di reciproche relazioni o rapporti causa-effetto tra i medesimi.
A tale ultimo proposito, si pensi alle analisi aventi ad oggetto l’enorme mole di traffico telefonico generato in un determinato periodo in una certa zona geografica. Ad un primo esame l’insieme dei dati appare come un esteso elenco di informazioni di vario genere ma, applicando un modello che considera il “flusso” delle chiamate (entrata/uscita) e le sequenze temporali di generazione delle medesime, è possibile tracciare precisi schemi di comunicazioni tra soggetti.

Per fare un esempio, a seguito di un evento criminoso commesso al tempo t0, è possibile stabilire dalla sequenza delle chiamate effettuate e ricevute dal soggetto A e quelle ricevute dal soggetto B, la catena delle comunicazioni che indica un passaggio di informazioni tra A e B anche se non esistono collegamenti diretti tra i due soggetti. Spesso infatti, le organizzazioni criminali adottano accorgimenti tali per cui il soggetto A e il soggetto B comunicano solo per il tramite di uno o più intermediari.

Gli schemi ripetitivi di azioni\eventi simili tra loro possono invece costituire la base dati sulla quale applicare i modelli di “geometric cluster analysis” utili a stabilire analogie tra accadimenti tra loro non correlati e può essere utilizzata per individuare il modus operandi, ad esempio, di un omicida ed indirizzare conseguentemente le indagini.
Questi modelli di analisi fondano la loro efficacia sull'assunto secondo il quale ogni evento è caratterizzato da un “array multidimensionale (l’evento è caratterizzato cioè da un insieme di elementi che lo definiscono ai fini investigativi).

In breve, se un modello è implementato correttamente è possibile individuare, sul fondamento di variabili ben definite (per esempio, nel caso di ricorrenti furti in un magazzino, orari, tipologia di serrature forzate, modalità di effrazione, tipo di merci rubate, eccetera), similitudini atte a favorire la ricostruzione di un modus operandi (nel caso, una banda di ladri o un magazziniere infedele).
I modelli basati su algoritmi di “machine learning” invece, sono fra quelli utilizzati per analizzare grandi basi dati con l’intento di determinare la presenza di reciproche correlazioni; essi, infatti sono in grado di relazionare frequenze di accadimenti difficilmente rilevabili con i normali meccanismi di interrogazione dei database. Tali sistemi sono utilizzati dai fraud auditor per rispondere a domande quali: “come e quando la frode ha più probabilità di accadere?” oppure “quali sono le caratteristiche di un operatore di borsa disonesto?”.

Tali tecniche sono anche molto utilizzate nella prevenzione e rilevazione di attacchi informatici; sono, per esempio, in grado di correlare le molte centinaia di migliaia di eventi generati dai sistemi di rete e dai computer con i ritardi o le interruzioni di servizio di un server causati da un virus non ancora conosciuto.
Si definiscono “machine learning” proprio perché questi sistemi letteralmente “imparano” e si adattano ai cambiamenti dell’ambiente di riferimento in modo da mantenere inalterata la propria efficacia di rilevazione degli accadimenti fraudolenti.

L’avanguardia di questi modelli è, da ultimo, rappresentata dall'utilizzo delle reti neurali per le analisi di enormi volumi di dati. Le reti neurali sono sistemi software che, per l’appunto, simulano il processo neurologico di apprendimento e memorizzazione di un essere umano e, pertanto, sono in grado di “prevedere” l’effettuazione di nuove ulteriori osservazioni su campioni di dati storici dopo aver effettuato una serie di processi cognitivi sempre più specifici di una determinata problematica.
Nella realtà professionale, le reti neurali sono impiegate per rilevare transazione finanziarie fraudolente avvenute mediante l’utilizzo di carte di credito ed in numerose altre attività anti-frode.

Sebbene i modelli teorici legati alle “social network analisys” siano ormai ben consolidati ed esistano software in grado di utilizzare tali modelli con un ottimo grado di affidabilità, il successo di questi sistemi non dipende solo dalla tecnologia bensì anche dalla capacità tecnico-organizzativa di coloro che li utilizzano.
In particolare, il fraud auditor deve essere in grado di comprendere quali informazioni siano di maggiore utilità, come estrapolarle, come garantirne l’affidabilità al fine di alimentare correttamente i modelli di analisi e, non ultimo, di saper interpretare nel modo corretto gli “alert” generati da questi sofisticati sistemi di fraud detection e di fraud prevention.

Da ultimo ma, non meno importante per il successo dell’applicazione di questi sistemi, è la messa a punto di processi di controllo che ne valutino l’efficacia nel tempo e che ne permettano l’evoluzione.

Ing. Maurizio Bedarida

maurizio.bedarida@jnpforensic.com

(Senior manager presso JNP S.r.l. – www.jnpforensic.com)