Open Banking
Comércio eletrónico
Pagamentos
Open Banking
Comércio eletrónico
Pagamentos
9 de julho de 2024
5 min

O que é a fraude ACH e como é que a sua empresa a pode evitar?

Trustly

Em 2023, as burlas e fraudes bancárias representaram 485,6 mil milhões de dólares de perdas a nível mundial. Nas Américas, as empresas e os consumidores perderam um total de US$ 151,1 bilhões, com a fraude de pagamentos contribuindo com US$ 102,6 bilhões (68%). De acordo com o Federal Bureau of Investigation, o phishing ou spoofing foi a fraude mais comum, seguida da violação de dados pessoais. Estas tendências demonstram como os cibercrimes estão a tornar-se mais dispendiosos (e sofisticados) para as empresas, especialmente num sector de serviços financeiros cada vez mais digitalizado.

As transacções financeiras fluem rapidamente como rios nos serviços bancários em linha e no comércio eletrónico. No entanto, se não forem bem monitorizadas, podem tornar-se obscuras. Em particular, o fluxo constante de transacções através da rede Automated Clearing House (ACH) é um alvo privilegiado para a fraude, uma vez que a maioria das instituições financeiras e cooperativas de crédito utilizam fortemente esta via de pagamento para efetuar depósitos e débitos directos diários.

Neste guia, discutiremos a fraude ACH em pormenor, incluindo:

  • O que é a fraude ACH
  • O seu impacto nas empresas
  • 3 fraudes comuns
  • Como as empresas podem implementar a prevenção, deteção e proteção contra a fraude

O que é a fraude ACH?

A fraude ACH envolve a realização de transacções não autorizadas, tais como depósitos e pagamentos, através da aquisição ilegal de duas informações financeiras: um número de conta bancária e um número de encaminhamento. Infelizmente, embora a ACH tenha simplificado os pagamentos, também simplificou a atividade fraudulenta. Com mais empresas a mudarem para operações online, o volume de transacções e comunicações digitais aumentou, dando aos cibercriminosos mais oportunidades de obter dados financeiros através de violações de rede, roubo de identidade e phishing.

Um tipo específico de phishing, o Business Email Compromise (BEC), está a tornar-se mais comum. Um exemplo de BEC é quando um fraudador imita a marca oficial de correio eletrónico do seu fornecedor (incluindo logótipos e ligações a sítios Web) para lhe enviar uma "fatura actualizada" com uma nova conta bancária. De acordo com um inquérito da Associação de Profissionais Financeiros de 2024, os pagamentos a crédito ACH foram os mais vulneráveis às burlas BEC em 2023 (47%), seguidos das transferências bancárias (39%) e dos débitos ACH (20%).

Como é que a fraude ACH afecta as empresas?

Os eventos de fraude ACH são dispendiosos. Por um lado, as instituições financeiras são sempre responsáveis por este tipo de fraude e têm de indemnizar os titulares das contas. Os clientes não são responsáveis por transferências não autorizadas, desde que comuniquem o incidente ao seu banco no prazo de 60 dias após a emissão do extrato bancário, de acordo com o Regulamento E da Reserva Federal e as Regras de Funcionamento do órgão de gestão da rede ACH, a National Automated Clearinghouse Association (Nacha). O banco pode reembolsar o cliente ou devolver a transação à instituição financeira depositária de origem (ODFI).

Entretanto, as empresas não estão abrangidas pelas protecções do Regulamento E e têm apenas 24 horas para comunicar o sucedido. Para além desse prazo, serão responsabilizadas em vez do banco. Para além do impacto financeiro imediato, uma empresa pode sofrer danos na sua reputação se os cibercriminosos invadirem a sua rede e obtiverem informações financeiras dos clientes do banco. As consequências podem também levar a graves perturbações operacionais, incluindo a participação em investigações exaustivas, a gestão de processos judiciais de clientes e a cobrança de elevadas taxas legais/multas e prémios de seguro.

3 exemplos de esquemas de pagamento ACH

As burlas ACH visam as vulnerabilidades no fluxo de transacções de uma empresa. Três das fraudes mais comuns a procurar estão listadas abaixo. Note como a sua empresa pode lidar com eles através de tácticas e ferramentas de prevenção de fraudes.

1. Phishing

O que é que se passa?

As burlas de phishing utilizam engenharia social complexa. Os piratas informáticos fazem-se passar por vendedores, agências governamentais ou qualquer empresa respeitável para enganar os alvos e fazê-los confirmar os seus dados bancários ou efetuar pagamentos ACH através de ligações maliciosas incorporadas em e-mails e mensagens de texto. Uma vez clicadas, o malware é instalado e os dados sensíveis são expostos ao burlão.

Como evitar a burla

Para evitar estas fraudes, as empresas devem implementar programas abrangentes de formação dos funcionários para identificar tácticas, como a deteção de imagens ou ligações editadas. A autenticação multi-fator (MFA) e os gateways de correio eletrónico seguro também podem filtrar automaticamente os e-mails de phishing. Além disso, muitos bancos oferecem o serviço de pagamento positivo ACH, que permite que as empresas apresentem uma lista de fornecedores autorizados. Esta lista é autorizada a receber pagamentos automáticos e pode incluir filtros como montantes máximos de transação.

2. Fraude do Diretor Executivo/CFO

O que é que se passa?

Uma forma de roubo de identidade, este esquema envolve fraudadores que se fazem passar pelo CEO/CFO para enviar um e-mail ou um pedido de correio de voz para montantes invulgarmente elevados de EFTs. Este tipo de fraude tem-se tornado cada vez mais possível graças à inteligência artificial (IA) generativa. Uma versão mais sofisticada desta fraude é a falsificação de identidade por vídeo (deepfake). Em fevereiro de 2024, um profissional de finanças sediado em Hong Kong fez manchetes quando pagou uns impressionantes 25 milhões de dólares a burlões que utilizaram o deepfake para se fazerem passar pelo diretor financeiro e colegas do empregado durante uma videoconferência.

Como evitar a burla 

Como medida de prevenção, as empresas podem estabelecer um protocolo de verificação para todas as solicitações financeiras, como exigir um código tokenizado para transações acima de um valor específico. Outra estratégia é exigir duas pessoas para a verificação - uma para autorizar o pagamento e outra para liberá-lo.

3. ACH Kiting

O que é que se passa?

Esta fraude envolve a exploração do tempo de atraso nas transferências ACH para movimentar fundos entre diferentes contas e bancos para levantar dinheiro que ainda está em trânsito. Este tipo de fraude é normalmente efectuado por um funcionário que retira fundos da empresa no final do ano. O empregado regista então o dinheiro retirado como estando em trânsito e depois regista uma diminuição no ano seguinte para supostamente "refletir" este movimento de fundos.

Como evitar a burla

Para resolver este problema, as empresas podem implementar análises em tempo real para monitorizar padrões de transação invulgares. Além disso, a criação de alertas automáticos para movimentos rápidos de fundos entre contas pode assinalar actividades de kiting antes que se tornem uma bola de neve. Por exemplo, a solução de mitigação de riscos da Trustly utiliza modelos de aprendizagem automática (ML) para identificar actividades suspeitas na sua rede de comerciantes e no ecossistema de dados dos consumidores em tempo real.

Como é que a Nacha e os bancos estão a implementar a prevenção da fraude ACH?

Devido à crescente sofisticação destes esquemas (e aos prejuízos financeiros), a Nacha e as suas instituições associadas têm vindo a implementar as seguintes estratégias:

  • Sistemas de deteção melhorados. Os bancos têm vindo a explorar sistemas avançados de deteção de anomalias que utilizam o ML e a análise comportamental para a deteção de fraudes em tempo real.
  • Protocolos de autenticação mais fortes. A adoção de uma cibersegurança de nível superior para iniciar transacções ACH, como a autenticação de contas com token (utilizando códigos encriptados), MFA e biometria, aumentou significativamente a proteção contra a fraude, tornando a verificação da identidade mais difícil de falsificar.
  • Programas de educação e sensibilização. Os bancos e a Nacha estão a educar ativamente os seus funcionários, clientes e membros sobre as mais recentes tácticas de fraude (em particular, métodos de engenharia social) e a recolher recursos para as melhores práticas de prevenção de fraude, como a criação de palavras-passe fortes e protocolos de cibersegurança.
  • Regras melhoradas para a rede ACH. Em resposta à crescente fraude relacionada com o BEC, os membros da Nacha aprovaram um novo conjunto de regras em março de 2024. As regras permitem que o ODFI solicite a devolução do pagamento assim que a fraude for detectada. Entretanto, a instituição financeira depositária recetora (RDFI) pode atrasar a disponibilidade de fundos para investigar mais e devolver proactivamente as transferências sinalizadas, mesmo sem um pedido ou reclamação do cliente.

Trustly Facilita a prevenção de fraudes ACH

Os incidentes de fraude ACH estão a aumentar e as empresas devem estar atentas e ser proactivas, estabelecendo estratégias de prevenção robustas. À medida que as EFTs se tornam o método de pagamento preferido, você precisa de um sistema que proteja as transações financeiras em todas as etapas do processo. Trustly pode ajudar sua empresa a ficar à frente dos fraudadores por meio de nosso mecanismo de risco orientado por IA que monitora continuamente as transações (e aprende com elas). Além disso, o Trustly Pay pode integrar-se perfeitamente com os pagamentos ACH para maximizar as taxas de aprovação e mitigar os riscos sem sacrificar a segurança dos dados.

Marque uma reunião com um especialista para saber como as nossas soluções podem dar-lhe tranquilidade ao efetuar transacções bancárias.

Estar a par de tudo

Obtenha informações e actualizações exclusivas sobre tudo o que diz respeito a Open Banking e pagamentos.

Obrigado! A sua candidatura foi recebida!
Ops! Algo correu mal ao submeter o formulário.

Páginas e recursos relevantes

Pagamentos
7 de outubro de 2024
7 minutos
Guia do comerciante para devoluções ACH e códigos de devolução ACH
Comércio eletrónico
Open Banking
Pagar por banco
27 de agosto de 2024
5 min
Impulsionar o crescimento das receitas do comércio eletrónico através de Open Banking
Comércio eletrónico
Open Banking
Pagar por banco
19 de agosto de 2024
5 min
Open Banking Vantagens para 6 tipos de empresas