Le frodi online sono da sempre un tema molto sensibile per tutto l’ecosistema Ecommerce e il 2021 in Europa ha segnato una svolta epocale in questo ambito con l’attuazione della normativa PSD2 che, con la diffusione della Strong Customer Authentication (SCA), ha introdotto nuovi strumenti per contrastare questo fenomeno.Tra le truffe online più comuni che interessano il settore Ecommerce ci sono il furto d’identità (in inglese identity fraud o identity theft), definizione che identifica le frodi tramite le quali vengono carpiti dati di persone esistenti, e le frodi con identità sintetiche o combinate (synthetic identity fraud) ossia truffe realizzate con identità fittizie generate dalla combinazione dei dati di persone reali e dati artefatti.
Come approfondito nel whitepaper “Cyber-crime e frodi online: sfida per tutto l’ecosistema”, la frode con identità sintetica è solitamente caratterizzata dalla combinazione di diverse informazioni carpite anche a più persone (indirizzi, numeri di previdenza sociale, nomi reali, ecc.), senza il loro consenso, associate ad altre generate ad-hoc per creare nuove identità utili a perpetrare atti illeciti, online e off-line.Uno studio di LexisNexis® Risk Solutions pubblicato nel 2021¹ ha evidenziato dati poco incoraggianti su questo tema: al primo posto delle frodi che hanno generato le perdite maggiori agli Ecommerce statunitensi nel corso dell’anno passato ci sono proprio le synthetic identity fraud, con il 30% dei volumi totali. Nel 2020, il 45% delle perdite dovute a frodi finanziarie nel Regno Unito, che hanno raggiunto un totale di 1,26 miliardi di sterline, è attribuibile al furto di informazioni sulle carte di pagamento, che è un tipo di frode d’identità. ²Se guardiamo la situazione all’interno dei confini italiani, i dati confermano la gravità del problema anche nel nostro Paese. Le notizie di furti di identità ai danni dei consumatori non sono infrequenti³ e inficiano anche sulla percezione dei consumatori nei confronti della sicurezza del commercio elettronico.
A conferma di quanto scritto, dal 1° Rapporto Censis-DeepCyber sul valore della cybersecurity⁴ pubblicato ad aprile 2022 emerge che quattro italiani su cinque temono di perdere online le proprie informazioni personali a partire dal furto d’identità. Non solo, quasi il 14% degli italiani ha subito un furto di dati personali o la condivisione non autorizzata di foto o video e oltre il 17% si è visto addebitare acquisti online di terzi sulla propria carta di credito.
Le frodi online e il furto di identità in particolare rappresentano un punto di attenzione a livello globale. In questo insight, esaminiamo come sia possibile prevenire queste attività fraudolente, con un focus sulle potenzialità dell’apprendimento automatico implementato nelle soluzioni di rilevamento delle frodi sintetiche.Differenza tra friendly-fraud, furto d’identità e frode sintetica
Ciò che accomuna questi tre tipi di frode sono l’aspetto della falsa rappresentazione e l’intenzione di ingannare. La friendly-fraud (nel mondo anglosassone anche detta first-party fraud o bust-out fraud) viene realizzata dai clienti stessi che sfruttando strumenti leciti, come il chargeback, ottengono benefici ai danni dell’esercente. Tra gli esempi più comuni ci sono la falsa dichiarazione di merce non ricevuta, a cui segue la richiesta di rimborso di quanto speso, oppure dichiarazioni mendaci, per esempio in fase di richiesta di prestiti online. Questa specifica forma di truffa online non rientra tra quelle relative al furto di identità ma si tratta in ogni caso di una pratica ad esse riconducibili, considerato che sfruttano elementi di falsa rappresentazione dell’utente.Il furto d’identità viene attuato da un truffatore che travisa la propria identità, personificando un’altra persona, trafugandone direttamente i dati personali o acquisendoli da intermediari, per trarne un vantaggio economico o di altra forma.
Acquisti online, registrazioni a servizi e piattaforme e la vendita stessa dei dati carpiti sono solo alcune delle motivazioni che spingono i cyber-criminali a realizzare queste attività criminose.Il furto di identità sintetico (Synthetic Identity Theft o semplicemente SIF) è la forma più complessa e può eludere molte tecnologie tradizionali di prevenzione frodi, perché la falsa identità viene costruita combinando informazioni riconducibili a persone reali a dati completamente fittizi.
Più difficile da identificare, questa truffa viene sempre più preferita ad altre tipologie proprio perché garantisce una probabilità maggiore di successo, anche considerato che le tecniche per costruire le identità false sono sempre più sofisticate e generano profili sempre più credibili.