docPwC Global Economic Crime Survey 2014
download 
Reclamo Transcript
PwC Global Economic Crime Survey 2014
PwC’s 2014 Global Economic Crime Survey Le frodi economico-finanziarie in Italia: una minaccia per il business Settima edizione 23% In Italia, un’organizzazione su quattro è stata vittima di frodi economico finanziarie 65% L’appropriazione indebita si conferma la tipologia di frode più diffusa tra le aziende italiane 61% In Italia, l’autore delle frodi è prevalentemente un soggetto interno all’azienda www.pwc.com/crimesurvey Indice Introduzione 04 Executive Summary – The highlights 05 1 Le frodi economico-finanziarie nell’edizione 2014 09 2 Il fraudster 21 3 Corruzione 25 4 Cybercrime: i rischi di un mondo in rete 32 Data Appendix - Italia 2014 36 Note metodologiche 2014 37 Terminologia 39 Contatti | Forensic Services 42 Le frodi economico-finanziarie costituiscono un vero e proprio attacco al business delle aziende, non solo in termini finanziari ma anche a livello di reputazione. 3 Un’organizzazione su tre (37%) a livello globale e circa un’azienda su quattro (23%) in Italia hanno dichiarato di essere state vittime di frodi economico-finanziarie Introduzione Siamo lieti di presentare la settima edizione della PwC Global Economic Crime Survey 2014, la più ampia indagine condotta nel mondo del business sul fenomeno delle frodi economico-finanziarie. Anche quest’anno l’obiettivo è di fornire alle aziende e alle funzioni chiamate ad affrontare il rischio di frode un quadro conoscitivo del problema, indagando l’esperienza e la percezione delle aziende, sia nel settore privato sia in quello pubblico, al fine di sviluppare efficaci strategie di prevenzione dei rischi. La Global Economic Crime Survey 2014 ha raggiunto il traguardo di oltre 5000 interviste, per un totale di 95 paesi coinvolti; per quanto riguarda l’Italia, hanno aderito alla ricerca 101 aziende. Da questa settima edizione emerge che i crimini economici non solo continuano a persistere rispetto alle edizioni precedenti ma costituiscono un vero e proprio attacco al business delle aziende, con conseguenti impatti non solo in termini finanziari ma anche sulla motivazione del personale e sulla reputazione. Per tali ragioni quest’anno la Survey approfondisce in particolare le modalità con cui i crimini economici colpiscono le aziende, le aree di business più a rischio e le strategie da porre in essere per la prevenzione dei rischi e la gestione delle conseguenze. Un’organizzazione su tre (37%) a livello globale e circa un’azienda su quattro (23%) in Italia hanno dichiarato di essere state vittime di frodi economico-finanziarie. Proprio come un virus, la minaccia dei crimini economici è in fase di continua mutazione, opportunisticamente nascosta tra le nuove tendenze che caratterizzano le varie organizzazioni (tra cui il movimento dei capitali e della ricchezza verso i mercati emergenti e la diffusione trasversale delle nuove tecnologie su ogni aspetto del business). Nella settima edizione della Global Crime Survey, le frodi finanziarie sono un fenomeno in crescita sia a livello globale (+3%) sia in Italia (+6%). Un quarto circa (23%) delle aziende interessate ha comunicato di essere stata vittima di una frode. Tra gli aspetti positivi emersi dai risultati della Survey, si evince una crescente sensibilità e un maggior impegno nella fase di prevenzione da parte delle aziende. In particolare, con l’aumento della dipendenza delle aziende dalle tecnologie e dai sistemi IT, non sorprende come il cybercrime continui a crescere in termini di numero di casi, frequenza e grado di sofisticazione, sia a livello globale quanto a livello locale. Inoltre, contemporaneamente all’ aumento di crimini economici perennemente esistenti, come l’appropriazione indebita, la corruzione e le frodi contabili, si stanno diffondendo anche nuove tipologie di eventi fraudolenti come le frodi nell’area degli acquisti. Il documento è suddiviso in quattro sezioni: • La prima sezione è dedicata all’indagine sul fenomeno delle frodi economico-finanziarie: dimensione, tipologie di frodi, settori, strumenti di prevenzione e indagine, reazioni delle aziende, danni e impatti. • La seconda sezione è dedicata all’identikit del “fraudster”: livello di esperienza, età, anzianità di servizio, titolo di studio. • La terza e la quarta sezione sono dedicate invece a due tra i fenomeni di frode più diffusi: la corruzione e il cybercrime. Il documento è focalizzato sulle risposte fornite dalle aziende italiane confrontate, ove possibile, con i dati delle edizioni precedenti della Survey e con quelli riscontrati a livello mondiale. 4 Executive Summary – The highlights La diffusione del fenomeno delle frodi economico-finanziarie in Italia Dall’edizione 2014 della Economic Crime Survey emerge come il fenomeno delle frodi economico – finanziarie sia in crescita rispetto a quanto evidenziato nella precedente Survey del 2011. In particolare: • in Italia si registra un aumento del 6%: un’azienda su quattro (23%) ha dichiarato di essere stata vittima di frodi, contro il 17% del 2011; • in Europa Occidentale l’aumento è del 5% (35% nel 2014, contro il 30% del 2011), mentre a livello mondiale il fenomeno frodi è in crescita del 3%: il 37% delle aziende intervistate ha dichiarato di aver subito almeno una frode, contro il 34% del 2011; • rispetto allo scenario globale, quindi, l’Italia si posiziona sotto la media globale del 37% e vicina a paesi quali Turchia, Perù, Hong Kong/Macao, Giappone, Portogallo, Danimarca, Arabia Saudita. In Italia, la categoria di frode più diffusa è l’appropriazione indebita, che rappresenta il 65% circa delle frodi dichiarate. Seguono le frodi informatiche (“cybercrime”) (segnalate nel 22% dei casi)1 e le frodi contabili (segnalate nel 22% dei casi)1. Con il 13% si attestano: la corruzione, le violazioni della proprietà intellettuale, le frodi nell’area degli acquisti e le frodi fiscali (queste ultime nella Survey 2011 non erano state segnalate dagli intervistati). Rispetto alla Survey del 2011, nella presente edizione l’appropriazione indebita si conferma come prima tipologia di frode, mentre si registra un’”esplosione” del fenomeno delle frodi contabili (non segnalate nella Survey del 2011). I crimini dichiarati relativi al riciclaggio, lo spionaggio industriale e l’insider trading risultano in netta diminuzione rispetto alla precedente edizione. A livello mondiale, le tipologie di frodi maggiormente riportate sono: al primo posto, come in Italia, l’appropriazione indebita (69%); al secondo posto, le frodi nell’area degli acquisti (29%) – trattasi di nuova categoria introdotta nel 2014 -; al terzo posto la corruzione (27%). In Italia le aziende più colpite dalle frodi appartengono al settore manifatturiero (67%), energia e utilities (43%), trasporti e logistica (40%), servizi finanziari (28%). Un’azienda italiana su due, vittima di frodi economico-finanziarie, ha dichiarato che la frode è stata intercettata grazie al sistema di controllo interno e, in particolare, attraverso i sistemi di individuazione di operazioni sospette (20% dei casi) ed attività di fraud risk management (15% dei casi) quest’ultima metodologia di rilevazione delle frodi non era emersa nell’edizione 2011. Il 15% delle frodi è stato individuato grazie a segnalazioni che provengono dall’esterno dell’azienda (cosiddette “soffiate esterne”). 1 5 Si segnala che ogni intervistato può aver indicato più di un fenomeno di frode. In Italia, parallelamente ad un aumento di frodi dichiarate rispetto al 2011 (dal 17% al 23%), si riduce il numero di aziende che ha dichiarato di non aver mai svolto attività di fraud risk assessment (il 25% del 2014, contro il 37% del 2011) a dimostrazione di un aumento generalizzato della sensibilità sui rischi di frode. Nell’ambito del 23% di aziende che hanno dichiarato di aver subito frodi, il 70% ha condotto attività di fraud risk assessment nel periodo di osservazione della Survey. Tali dati indicano una sempre crescente sensibilità delle aziende sui rischi di frode e sulla necessità di effettuare un monitoraggio sistematico, potenziando l’efficacia dei controlli e le probabilità di intercettare i casi di frode. In Italia, un’azienda su quattro (26%) che ha dichiarato di essere stata vittima di frodi ha indicato di aver subìto danni quantificati tra 0,8 e 75 milioni di euro. In particolare, i fenomeni fraudolenti con impatto finanziario più elevato sono quelli realizzati da autori interni all’azienda (le frodi con gli impatti finanziari tra i 3,7 milioni e i 75 milioni di dollari (9%) sono state commesse esclusivamente da autori interni). In Italia, l’autore delle frodi è prevalentemente un soggetto interno all’azienda (secondo il 61% degli intervistati), mentre a livello globale l’autore delle frodi è interno per il 56% ed esterno per il 40%. Nelle attività di lotta contro le frodi, le aziende non sono preoccupate solo dei potenziali danni economici, ma anche dei cosiddetti “danni collaterali”, difficilmente quantificabili in termini finanziari, che riguardano in particolare: la motivazione dei dipendenti (22% dei casi), la reputazione dell’azienda (17% dei casi) e le sanzioni delle autorità di vigilanza (13% dei casi). Dalla Survey italiana del 2014 risulta cambiato, rispetto al 2011, il profilo del “fraudster” interno all’azienda: appartiene al senior management, è in servizio nell’azienda da più di 10 anni, è uomo, età tra i 41 e i 50 anni, ha un titolo di studio tra la scuola secondaria e la laurea. Nel 2011, invece, apparteneva al middle management, in servizio da 3 a 5 anni, uomo, età tra i 31 e i 40 anni, diploma di scuola secondaria. Diversamente da quanto registrato in Italia, a livello globale nel 2014 l’autore interno è: appartenente al middle management, in servizio da 3 a 5 anni, uomo, età tra i 31 e i 40 anni, con titolo di studio tra la scuola secondaria e la laurea. In Italia, l’autore di una frode, che appartiene alle funzioni apicali di un’azienda, possiede un elevato grado di esperienza e può avere maggiori opportunità e conoscenze per poter perpetrare l’evento fraudolento. Infatti, gli intervistati in Italia hanno dichiarato (nel 72% dei casi) che l’elemento principale che spinge a perpetrare i crimini economici è riconducibile alle opportunità di portare avanti l’evento fraudolento senza essere scoperti grazie all’abilità e alle competenze tecniche necessarie alla realizzazione dell’atto, bypassando le barriere del sistema di controllo interno. In questa edizione della Survey si nota una correlazione tra la modifica del profilo dell’autore interno che emerge dalle risposte fornite e l’aumento delle frodi contabili e fiscali. È possibile che l’incremento di tali tipologie di frodi sia principalmente attribuibile a soggetti che occupano posizioni apicali perché la messa in atto di tali frodi è caratterizzata dalla necessità di elevate competenze tecniche e dal fatto che solo determinati soggetti nell’azienda possono perpetrarle grazie alla loro posizione e alla conoscenza dei punti deboli del sistema di controllo interno all’azienda. In Italia, le frodi che provengono dall’esterno dell’azienda sono commesse per la maggior parte da clienti (67%). Dall’edizione 2011 emergeva invece che le frodi provenienti dall’esterno erano perpetrate per il 60% dei casi da soggetti che non avevano nessuna relazione professionale con l’azienda (ex dipendenti, concorrenti, organizzazioni criminali come hackers). Corruzione In Italia il 13% delle aziende rispondenti alla Survey, che hanno subito frodi negli ultimi 24 mesi, ha riportato almeno un caso di corruzione2. Si registra pertanto un aumento della diffusione del fenomeno rispetto alla passata edizione della nostra Survey 2011, nella quale veniva evidenziato il 10% dei casi di corruzione. A livello globale tuttavia 2 Si precisa che il nostro questionario è stato sottoposto prevalentemente ad aziende del settore privato. 6 la diffusione di tale reato, negli ultimi 24 mesi, si attesta ad un livello pari a più del doppio rispetto al dato italiano (27%). Risulta quindi di tutta evidenza come in Italia il fenomeno della corruzione sia notevolmente “sottostimato” rispetto al resto del mondo. In Italia i casi di corruzione riportati dal nostro campione risultano “in linea” con il resto delle regioni dell’Europa Occidentale (12%), ma non con i paesi dell’Europa Orientale, dove il dato risulta addirittura tra i peggiori (39%), insieme all’Africa. Le aziende rispondenti alla Survey italiana 2014 ritengono che, il reato di corruzione possa determinare il rischio di un’interruzione di attività aziendale nel 39% dei casi, di danni reputazionali all’immagine aziendale associati al reato nel 34% dei casi e, perdite finanziarie nel 18% dei casi. Nel campione di aziende che operano in mercati ad alto rischio di corruzione, il 27% delle aziende italiane intervistate ha dichiarato di aver perso un’opportunità commerciale a favore di un concorrente che avrebbe pagato una tangente. Mentre, nell’ambito dello stesso campione, un ulteriore 40% ritiene invece di aver probabilmente perso un’opportunità commerciale a causa di una tangente versata da un competitor. Quasi un terzo delle aziende italiane che ha risposto alla nostra Survey ritiene di poter essere “vittima” di episodi di corruzione in futuro. Tale dato risulta essere più del doppio rispetto ai casi riportati nella precedente Survey. Inoltre, solo per l’Italia si registra una significativa discrepanza tra i casi dichiarati (13%) e i casi percepiti (27%), mentre a livello globale, il risultato sui dati “percepiti” (29%) è in sostanza allineato ai dati registrati (27%). Cybercrime Con il 22% sul totale delle frodi subite dalle aziende italiane, le frodi informatiche (o cybercrime) rappresentano la seconda categoria di frode più frequentemente dichiarata, in aumento rispetto al 2011 (19%) e seconda solo all’appropriazione indebita. Tuttavia è possibile che il fenomeno sia sottostimato in quanto meno facilmente individuabile da parte delle aziende o talvolta non volutamente condiviso (ad esempio in caso di violazioni nell’accesso a dati riservati). In Italia, un’azienda su tre percepisce il rischio di cybercrime in aumento rispetto al 2011, mentre quasi la metà ritiene che il rischio sia rimasto invariato. A livello globale invece la metà delle aziende che hanno risposto percepisce il rischio cybercrime in aumento. Il fenomeno del cybercrime non è solo un problema tecnologico, ma è un problema di tipo strategico, che permea i processi aziendali delle società, sempre più orientati all’utilizzo delle tecnologie e di Internet. Questo dato è confermato anche dal fatto che il cybercrime colpisce trasversalmente più tipologie di settori: servizi finanziari, assicurativo, energia, comunicazioni, intrattenimento e media. Nell’edizione 2011, invece, il settore più colpito era quello dei servizi finanziari, con frodi collegate all’ e-banking, alla clonazione di carte di credito/debito, o al cosiddetto cyber-laundering. Gli impatti del cybercrime che preoccupano maggiormente le aziende italiane sono: danni reputazionali (per il 65% delle aziende intervistate), rischi connessi alla violazione di normative (64%), perdite finanziarie dirette conseguenti alla frode informatica (60%), interruzione dei servizi (59%) a causa di attacchi a sistemi informativi centralizzati (hacking), ma anche furto o perdita di dati personali sugli utenti (58%), furto di informazioni e dati riservati (55%). Più della metà delle aziende del campione italiano pensa che il cybercrime sia una minaccia proveniente dall’esterno e non dall’interno dell’azienda stessa; il 23% pensa che si tratti di un 7 rischio tanto esterno quanto interno e solo il 7% ritiene che sia una minaccia interna. Il 3% delle aziende italiane ha riportato di aver vissuto episodi di Cybercrime tramite i social network come Facebook e Twitter, mentre il 12% non sa rispondere se sia stata vittima di questa tipologia di frode. Per la cyber criminalità i profili presi di mira sono quelli che hanno un maggior numero di follower. 8 1Le frodi economico finanziarie nell’edizione 2014 La dimensione del fenomeno All’edizione della Global Crime Survey 2014 hanno risposto 5.128 organizzazioni di oltre 95 paesi a livello globale, di cui il 54% ha più di 1000 dipendenti. Più di un terzo (35%) della popolazione della Survey è composto da società quotate. In Italia hanno aderito 101 organizzazioni, di cui il 50% ha a livello di gruppo più di 1000 dipendenti in tutto il mondo e il 34% è quotato in borsa. Nell’edizione 2014 della PwC Economic Crime Survey, il fenomeno delle frodi economico – finanziarie risulta in crescita rispetto a quanto emerso dalla precedente Survey del 2011, in particolare: • in Italia si registra un aumento del 6%: un’azienda su quattro (23%) ha dichiarato di essere stata vittima di frodi, contro il 17% del 2011; • in Europa Occidentale l’aumento è del 5% (35% nel 2014, contro il 30% del 2011), mentre a livello mondiale il fenomeno frodi è in crescita del 3%: il 37% delle aziende intervistate ha dichiarato di aver subito almeno una frode, contro il 34% del 2011. I Paesi le cui aziende dichiarano il maggior numero di frodi sono il Sudafrica, l’Ucraina, la Russia. Rispetto allo scenario globale, quindi, l’Italia si posiziona sotto la media globale del 37%, vicina a paesi quali Turchia, Perù, Hong Kong/Macao, Giappone, Portogallo, Danimarca, Arabia Saudita. In base ai risultati sopra riportati sembrerebbe pertanto che il dato italiano sulla diffusione del fenomeno rappresenti una situazione maggiormente “positiva” dell’Italia rispetto a quella globale. Considerando comunque che in Italia si è registrato un incremento del 6% del numero di frodi dichiarate dalle aziende rispetto al 2011, si potrebbe anche pensare che la percentuale di frodi dichiarate in questa edizione possa essere sottostimata, a causa della combinazione di più fattori come la predisposizione delle aziende a non divulgare il fenomeno oppure a causa della difficoltà per le aziende stesse ad individuare alcune sofisticate e sempre più diffuse tipologie di frodi (come ad esempio le frodi legate al “cybercrime”). Grafico 1. Evoluzione delle frodi dichiarate nelle diverse edizioni della PwC Economic Crime Survey dal 2003 al 2014 (confronto Italia - Europa Occidentale - Globale) 50 40 30 20 10 9 Quali sono le aree geografiche più colpite nel mondo? L’Africa continua a riportare la più alta percentuale di frodi economico-finanziarie (50%). Il Nord America si posiziona al secondo posto (41%), riflettendo anche l’elevato numero di risposte alla Survey e l’utilizzo di sofisticati processi di “fraud detection”. A seguire l’area dell’Europa dell’Est riporta un numero di aziende vittime di frodi pari al 39%, superiore alla media globale. In Europa Occidentale i risultati si attestano sul 35% dei casi in media (contro il 30% del 2011). Tale risultato potrebbe essere influenzato dall’attuale focus dei legislatori, inclusa l’Unione Europea, in particolare sulle frodi del settore bancario e dei servizi finanziari. Il Medio Oriente (21%) presenta una situazione singolare: nonostante il livello di frodi economicofinanziarie sia il più basso di tutte le aree geografiche, le aziende che hanno risposto di aver subito una frode hanno indicato un elevato numero di tipologie e casi di frode. Grafico 2. Frodi economico-finanziarie divise per aree geografiche (2014) 10 I settori più colpiti in Italia In Italia, le aziende che hanno dichiarato di aver subìto un maggior numero di frodi appartengono al settore manifatturiero (67%), energia e utilities (43%), trasporti e logistica (40%), servizi finanziari (28%). A livello globale i settori più colpiti risultano essere: servizi finanziari (49%), retail (49%), telecomunicazioni (48%), turismo (41%), settore pubblico (41%). Grafico 3. Le frodi economico – finanziarie riportate per settore in Italia (2014) Tipologie di frodi In Italia, le categorie di frodi più diffuse denunciate dalle aziende nel periodo della Survey sono le seguenti: • al primo posto si attesta l’appropriazione indebita, che rappresenta il 65% circa delle frodi dichiarate; • al secondo posto si classificano il “cybercrime” (dichiarato nel 22% dei casi) e le frodi contabili (anch’esse riportate nel 22% dei casi). Se da un lato il cybercrime riporta un incremento del 3% rispetto al 2011, le frodi contabili registrano in questa edizione una vera e propria ”esplosione” rispetto al 2011, in cui non erano state dichiarate dalle aziende; • al terzo posto si collocano le frodi fiscali, le contraffazioni e le violazioni delle proprietà intellettuali, le frodi nell’area degli acquisti, ciascuna al 13%. Si noti in particolare che, nell’ambito di tale raggruppamento, il fenomeno della corruzione evidenzia un trend crescente con un aumento del 3% (13% del 2014, contro il 10% del 2011) e le frodi fiscali risultano in netto aumento (13% nel 2014, mentre nel 2011 non erano state segnalate dalle aziende); • al quarto posto, i comportamenti anticoncorrenziali (9%), che presentano un aumento del 5% rispetto al 2011, e le frodi commesse nell’ambito della selezione e gestione delle risorse umane (9%). A seguire troviamo le frodi aventi ad oggetto mutui e finanziamenti (4%) e i crimini relativi al riciclaggio, lo spionaggio industriale e l’insider trading che risultano in netta diminuzione rispetto alla precedente edizione. 11 Come nell’edizione del 2011, in Italia l’appropriazione indebita si conferma la tipologia di frode più diffusa (65%), in linea con il livello globale (69%). A livello mondiale le tipologie di frode maggiormente dichiarate dalle aziende sono: l’appropriazione indebita (69%); le frodi nell’area degli acquisti (29%); la corruzione e concussione (27%). A livello europeo si attestano l’appropriazione indebita (61%); il cybercrime (26%); le frodi nell’area degli acquisti (18%). Grafico 4. Tipologia di frodi dichiarate dalle aziende italiane a confronto con i dati globali e dell’Europa Occidentale (2014) 0% 10% 20% 30% 40% 50% 60% 70% 80% 12 Focus: aumento delle frodi contabili (+22%) e delle frodi fiscali (+13%) in Italia L’edizione italiana della PwC Crime Survey 2014 riporta una vera e propria “esplosione” delle frodi contabili e di bilancio (in aumento del 22%) e delle frodi fiscali (in crescita del 13%), rispetto all’edizione del 2011, in cui tali fenomeni non erano stati praticamente segnalati. Tali risultati possono condurre alle seguenti considerazioni: •Le frodi contabili sono commesse principalmente con l’obiettivo di fornire ai destinatari del bilancio e della reportistica aziendale (tra cui investitori, creditori, finanziatori) informazioni non veritiere e corrette in merito al patrimonio dell’impresa e alla sua redditività, allo scopo di condizionare i giudizi e le decisioni dei destinatari stessi. Le frodi fiscali sono perpetrate con l’intenzione di omettere il pagamento dei reali debiti d’imposta verso lo stato. In un periodo di crisi economica come quello attuale, le difficoltà finanziarie possono spingere le aziende ad alterare i bilanci e la reportistica aziendale, presentando risultati migliori rispetto a quelli reali, al fine di ottenere benefici altrimenti non raggiungibili. Si pensi ad esempio all’accesso alle fonti di finanziamento per assicurarsi la continuità aziendale, al rating da parte di agenzie internazionali che possono condizionare l’andamento del titolo azionario, al raggiungimento di obiettivi da parte del management per l’ottenimento di bonus, al minor pagamento di imposte. • La maggior rilevazione delle frodi contabili e fiscali può essere collegata ad una crescente attenzione da parte delle aziende al monitoraggio e alla prevenzione del fenomeno. Infatti in tale edizione emergono due aspetti principali: - l’aumento delle aziende che hanno effettuato attività di fraud risk assessment (+16% rispetto al 2011); - l’aumento del numero di eventi fraudolenti individuati tramite attività di fraud risk management/monitoraggio (+15% rispetto al 2011). Procurement fraud (13%): una nuova categoria introdotta nel 2014, in un contesto internazionale di crescente adozione di sistemi di outsourcing Tale categoria si classifica a livello globale al secondo posto (29%), mentre in Italia al terzo posto, dichiarata dal 13% delle aziende. Nell’ambito del processo degli acquisti le fasi in cui si sono manifestate più frodi sono: la selezione dei fornitori (67%), il processo di assegnazione delle gare d’appalto (33%), la gestione dei contratti con i fornitori (33%), i pagamenti (33%). Spesso tali frodi sono difficili da individuare per la complicità tra dipendenti interni e soggetti esterni. I sistemi per mitigare i rischi di tali frodi possono essere: •introdurre sistemi di due diligence per la selezione e il monitoraggio dei rischi connessi ai fornitori; • potenziare il sistema di controllo interno, con particolare attenzione alla definizione dei poteri autorizzativi e separazione dei ruoli e delle responsabilità nei processi di gestione delle anagrafiche e inserimento a sistema di nuovi fornitori, gestione degli ordini, fatturazione e pagamenti; • introduzione di sistemi di analisi informatiche dei dati (es. rilevazione del numero di pagamenti appena sotto il limite autorizzativo e di pagamenti inusuali e ripetuti ad uno specifico fornitore, match tra dati anagrafici e bancari dei fornitori e dati dei dipendenti, ecc); 13 • introduzione di procedure formalizzate sul monitoraggio di agenti e intermediari che operano in particolare nei paesi emergenti ad alto rischio di corruzione. Due tipologie di minacce per i processi aziendali Da un punto di vista analitico, le frodi economico-finanziarie possono essere classificate in due tipologie di minacce: • Minacce specifiche: sono le frodi che si manifestano attraverso un episodio “specifico”, circoscritto a “specifiche” azioni di un dipendente “disonesto”, come ad esempio le violazioni commesse in caso di asset misappropriation di beni e/o denaro. • Minacce al sistema aziendale: sono le frodi che costituiscono un attacco multilaterale al “sistema aziendale” e possono avere degli impatti maggiori rispetto agli episodi specifici, determinare sanzioni onerose e deteriorare la reputazione. Tali crimini infatti permeano attraverso i punti di debolezza potenzialmente esistenti nel sistema aziendale. Si fa riferimento ad esempio agli episodi di corruzione (in violazione di norme legislative, come ad esempio l’US Foreign Corrupt Practices Act - FCPA - o l’UK Bribery Act), al coinvolgimento dell’organizzazione in attività di riciclaggio o alle pratiche anticoncorrenziali. I crimini economici rappresentano una minaccia pervasiva nell’ambito del business e possono colpire un elevato numero di processi aziendali. Grafico 5. I processi aziendali a rischio di frode Correlazione tra frodi dichiarate e fraud risk assessment Nell’edizione della Global Economic Crime Survey 2014, è stato comparato il livello di frodi dichiarate in Italia con il dato relativo alla percentuale di aziende che hanno svolto procedure di valutazione e monitoraggio dei rischi di frode (“Fraud Risk Assessment”) nello stesso periodo. Dall’analisi è emerso che: • nell’ambito del 23% di aziende che hanno dichiarato frodi, il 70% ha condotto attività di fraud risk assessment nel periodo di osservazione della Survey (contro il 54% del 2011); • si è ridotto il numero di aziende che ha dichiarato di non aver mai svolto attività di fraud risk assessment (il 25% del 2014, contro il 37% del 2011). 14 Dai risultati sopra riportati, emerge pertanto che le organizzazioni sono sempre più consapevoli del fatto che un monitoraggio sistematico dei rischi di frode ed una maggiore attenzione all’efficacia dei controlli interni aumentano le probabilità di intercettare i casi di frode e di mitigare i rischi. La frequenza con cui il 70% delle aziende italiane ha svolto attività di fraud risk assessment è la seguente: annuale (37%), semestrale (7%), trimestrale (10%), con una maggior frequenza rispetto a quella trimestrale (3%). Il 13% ha svolto tali attività una sola volta nel periodo della Survey. Grafico 6. Frequenza del Fraud Risk assessment (2014) Un solido sistema di Fraud Risk Assessment prevede: • la mappatura dei rischi di frode dei processi aziendali; • la valutazione dei rischi di frode più rilevanti, in base alla significatività e alla probabilità di accadimento; • l’identificazione e valutazione dei controlli interni implementati per mitigare i rischi; • il monitoraggio e l’aggiornamento periodico dei programmi anti-frode presenti nell’organizzazione, al fine di colmare le carenze di controllo. 15 Metodi di intercettazione delle frodi In Italia, un’azienda su due (50%) ha dichiarato che la frode è stata intercettata grazie ad attività di monitoraggio che possono rientrare nel più ampio “sistema di controllo interno aziendale”: tale sistema include in particolare attività e processi di monitoraggio delle transazioni sospette e l’analisi informatica dei dati (20%), attività di fraud risk management (15%), attività di routine della funzione Internal Audit (10%), e, in minor misura, tramite la funzione sicurezza aziendale (IT e fisica) (5%). Da questi dati emergono due considerazioni principali: •nell’area dell’Europa Occidentale (31%) e in generale a livello globale (25%), i sistemi di monitoraggio delle transazioni sospette, potenziati in particolare attraverso l’implementazione di metodologie di analisi informatiche dei dati, risultano strumenti più avanzati nell’intercettazione delle frodi rispetto al contesto italiano (20%). •rispetto all’edizione del 2011, le attività di fraud risk management in Italia risultano significativamente aumentate (15% nel 2014, mentre nel 2011 non erano state dichiarate dai rispondenti), attestandosi sopra la media globale e dell’Europa Occidentale (entrambe all’11%). Tale fenomeno indica che le organizzazioni considerano gli strumenti studiati “su misura” per la prevenzione e il monitoraggio delle frodi come validi alleati al fine della mitigazione dei danni. É interessante notare come il 15% delle frodi sia stato intercettato grazie a “soffiate esterne”, dimostrando che lo sviluppo di una cultura aziendale improntata sui principi del codice etico e il rispetto della compliance aziendale rappresentano un efficace strumento di individuazione e prevenzione di eventi fraudolenti. Sempre nell’ambito della cultura aziendale, il “whistleblowing system” e le soffiate interne hanno contribuito ad individuare le frodi nel 20% dei casi. Si noti che il sistema di whistleblowing, pur essendo stato implementato in Italia da un numero inferiore di aziende rispondenti alla Survey rispetto alla media globale (Italia 56% contro il 62% globale), è ritenuto più efficace dalle aziende italiane (nel 60% dei casi) che a livello mondiale (nel 50% dei casi). Parallelamente allo sviluppo di un sistema di controllo interno e di una cultura aziendale fondata sul codice etico, le frodi talvolta possono essere individuate anche accidentalmente: infatti il 5% delle aziende italiane ha intercettato il problema per caso. Grafico 7. Metodi di intercettazione delle frodi (2014) Metodi fuori 0% 5% 10% 15% 20% 25% 30% 35% 16 Le aziende rispondono sempre più severamente contro i fraudster. Azioni legali, denuncia alle autorità e licenziamento sono le principali reazioni delle aziende italiane nei confronti delle frodi commesse da insider. Come reagiscono le aziende? Nel periodo della Survey 2014 è emerso che le aziende italiane hanno reagito più severamente rispetto al 2011 contro gli autori interni ed esterni delle frodi, in particolare: • le aziende italiane che hanno intercettato frodi commesse internamente (da dipendenti o da manager a vario livello) hanno avviato azioni legali e richieste di risarcimento dei danni nell’86% dei casi, un dato in fortissima crescita (+56%) rispetto al 2011 in cui tali misure erano state attuate solo nel 30% dei casi e nettamente sopra la media globale (44%). Tali provvedimenti sono tipicamente correlati a frodi consistenti nell’appropriazione indebita di asset aziendali, come ad esempio la cassa e i beni di magazzino. Contro i fraudster interni, inoltre, il 79% delle aziende ha risposto con il licenziamento, la denuncia alle forze dell’ordine (79%) e la notifica della frode alle autorità di vigilanza, come la CONSOB (64%). • Per quanto riguarda le frodi esterne, nel 78% dei casi le aziende vittime hanno interrotto le relazioni d’affari in corso con l’autore della frode ed avviato cause legali per i risarcimenti dei danni (67%), denunciando il fatto alle forze dell’ordine (56%). Grafico 8. Reazioni alle frodi (Italia 2014 -2011) Danni economici In Italia, un’azienda vittima di frodi su quattro (26%) ha indicato di aver subìto nel periodo della Survey danni quantificati tra circa 0,8 e 75 milioni di euro, contro stime più basse della media globale (18%) e dell’Europa Occidentale (15%). 17 In Italia, circa un’azienda su cinque (22%) non è in grado di stimare quanto sono “costate” le frodi nel periodo della Survey. É significativo notare inoltre che circa un’azienda italiana su cinque (22%) non è in grado di stimare i danni economici derivanti dai crimini finanziari (rispetto all’8% della media globale e dell’Europa Occidentale). É allarmante il fatto che, a livello mondiale, il 2% delle organizzazioni intervistate ha riportato danni per un importo superiore ai 75 milioni di Euro. Grafico 9. Impatto finanziario complessivo dei danni provocati dalle frodi (2014)* Grafico 10. Relazione tra impatto finanziario della frode e profilo dell’autore (2014)* In particolare, gli eventi fraudolenti con impatto finanziario più elevato sono quelli realizzati da autori interni all’azienda. In Italia, le frodi con gli impatti finanziari tra i 3,7 milioni e i 75 milioni di Euro (9%) sono state commesse esclusivamente da autori interni. 18 Le frodi non causano solo danni economici, ma si ripercuotono sulla motivazione e il morale dei dipendenti e indeboliscono la reputazione aziendale. Danni collaterali Nelle attività di lotta contro le frodi, le aziende non sono preoccupate solo dei potenziali danni economici, ma anche dei cosiddetti “danni collaterali”, difficilmente stimabili in termini finanziari. Le aziende italiane hanno dichiarato che gli impatti più significativi delle frodi si manifestano sulla motivazione e il morale dei dipendenti (22% nel 2014, dato fortemente in crescita rispetto al 5% del 2011) e sulla reputazione e brand (17% nel 2014, in lieve diminuzione rispetto al 19% del 2011). Si evidenziano inoltre significativi danni che possono derivare dalle sanzioni delle autorità di vigilanza (13% contro il 14% del 2011) e influenzare il prezzo delle azioni (9% nel 2014, in aumento rispetto al 5% del 2011). Grafico 11. Impatti significativi delle frodi sul business (2014 ) Le organizzazioni sono consapevoli che la realizzazione di un buon clima aziendale, il consolidamento dell’immagine di un brand affidabile e la costruzione di rapporti di fiducia con i partner commerciali e le autorità di vigilanza contribuiscono a migliorare la reddittività aziendale. Tali fattori sono fondamentali in un mondo interconnesso dove le eventuali notizie “negative” che derivano dal verificarsi di eventi fraudolenti si diffondono rapidamente tramite Internet, i social media e la trasmissione delle news 24 ore al giorno, 7 giorni su 7. 19 La percezione del futuro In quest’edizione della Crime Survey italiana è stato chiesto alle aziende di indicare gli eventi fraudolenti che rappresentano i maggiori rischi per le organizzazioni nel futuro. Dal grafico 12, che riassume le risposte per l’Italia e il confronto con i dati globali, si può evincere che le situazioni maggiormente temute sono: •l’appropriazione indebita (30%) e le frodi perpetrate nell’ambito del processo degli acquisti (30%); •gli episodi di corruzione e concussione (27%); •il cybercrime (18%), le violazioni delle proprietà intellettuali (17%), il riciclaggio di denaro (13%) e le frodi contabili (13%). Grafico 12. La percezione delle aziende per i prossimi due anni 0% 5% 10% 15% 20% 25% 30% 35% 40% Grafico 13. Confronto frodi dichiarate e percezione del futuro (Italia – 2014) Sulla base dei dati riportati nel Grafico 13, emerge che per alcune tipologie di frodi, ed in particolare in relazione ai fenomeni “corruzione” e “frodi nell’area acquisti”, il numero di frodi (in %) che le aziende prevedono di dover “fronteggiare” nei prossimi due anni è sensibilmente maggiore rispetto a quanto dichiarato dalle stesse nel periodo della Survey. Per tale motivo le aziende sono seriamente “preoccupate” per il futuro visto che si aspettano uno scenario senz’altro peggiore rispetto al presente. 20 2 Il fraudster Profilo del fraudster: senior manager, uomo tra i 41 e 50 anni, in azienda da più di 10 anni. Nella Crime Survey 2014 abbiamo chiesto ai partecipanti che hanno avuto esperienze di frodi di profilare il fraduster. A livello globale, l’esecutore delle frodi è interno all’azienda per il 56% di rispondenti ed esterno all’azienda per il 40% dei rispondenti. Il 4% delle aziende non ha questa informazione. Grafico 14. Il fraudster è interno o esterno all’azienda? In Italia, il 61% dei rispondenti ha affermato che l’esecutore delle frodi è interno all’azienda e il 39% che è esterno. A livello di settore è interessante notare come quello finanziario sia l’unico a riportare l’andamento contrario: il 60% delle frodi sono commesse da autori esterni, mentre il 40% da autori interni. 21 Identikit del fraudster interno all’azienda Dalla Survey italiana del 2014 risulta cambiato, rispetto al 2011, il profilo del “fraudster” interno all’azienda: appartiene al senior management, è in servizio nell’azienda da più di 10 anni, è uomo, età tra i 41 e i 50 anni, ha un titolo di studio tra la scuola secondaria e la laurea. Nel 2011, invece, apparteneva al middle management, in servizio da 3 a 5 anni, uomo, età tra i 31 e i 40 anni, diploma di scuola secondaria. Diversamente da quanto registrato in Italia, a livello globale nel 2014 l’autore interno è: appartenente al middle management, in servizio da 3 a 5 anni, uomo, età tra i 31 e i 40 anni, con titolo di studio tra la scuola secondaria e la laurea. Grafico 15. Profilo del fraudster interno In Italia, l’autore delle frodi compiute nel periodo della Survey appartiene nel 36% dei casi al senior management, pertanto possiede un elevato grado di esperienza e può avere maggiori opportunità e conoscenze per poter perpetrare l’evento fraudolento. Nel grafico 16 si riportano i livelli del fraudster emersi dal confronto con i dati delle principali aree geografiche e con la media a livello mondiale e nel grafico 17 il confronto tra le caratteristiche del fraudster tra 2014 e 2011: Grafico 16. Il livello del fraudster nell’ambito dell’organizzazione 22 Grafico 17. Caratteristiche del fraudster - Italia confronto 2014 -2011 23 Grafico 18. Il triangolo delle frodi (Italia - 2014) Elementi che spingono a perpetrare le frodi interne I tre principali elementi che spingono a perpetrare i crimini economici sono le opportunità e abilità, la razionalizzazione, gli incentivi e le pressioni. In Italia, tre quarti dei rispondenti (72%) hanno indicato che le opportunità e le abilità sono il fattore che ha contribuito maggiormente alla commissione delle frodi interne. L’opportunità di perpetrare l’evento fraudolento senza essere scoperti può essere favorita in situazioni di assenza di controllo o di controlli insufficienti. L’abilità del management è caratterizzata dalle competenze tecniche necessarie alla realizzazione dell’atto e dalla capacità del management di ovviare eventuali controlli interni. Seguono la razionalizzazione (21%), che rappresenta il comportamento mediante il quale l’autore della frode minimizza o giustifica a livello soggettivo l’atto illecito. Infine si collocano gli incentivi e le pressioni (7%), legati alla volontà di conseguire obiettivi di redditività o di risultato il cui mancato conseguimento avrebbe impatti per la direzione o per i suoi singoli elementi (es. bonus legati a risultati, conseguimento di obiettivi di business plan comunicati al mercato). Dei tre fattori le opportunità sono l’elemento che l’organizzazione può tenere più sotto controllo per prevenire i rischi di frode, al contrario delle abilità del management e dei dipendenti. Frodi esterne Grafico 19. Profilo del frodatore esterno • Per quanto riguarda le frodi esterne, è significativo notare come in questa edizione ben il 67% dei casi risulti realizzato da clienti, mentre nel 2011 la maggioranza delle frodi era perpetrata da soggetti che non avevano alcuna relazione professionale con l’azienda (in particolare ex dipendenti, concorrenti, ma anche organizzazioni criminali e, nel caso delle frodi informatiche, da hackers). • Le frodi realizzate da fornitori e quelle realizzate da agenti o intermediari rappresentano il restante 33% delle frodi esterne. 24 3Corruzione “Corruptio omni pessima” (Ciò che era ottimo, una volta corrotto, è pessimo)3 Il contesto normativo Nell’ordinamento giuridico italiano il reato di “Corruzione” è descritto agli articoli 318-322 del Codice Penale4. Il reato di corruzione (art. 318) è indicato come un reato “a carico” del pubblico ufficiale nell’esercizio delle sue funzioni a seguito della modifica introdotta dalla legge 190 del 2012 “Il pubblico ufficiale che, per l’esercizio delle sue funzioni o dei suoi poteri, indebitamente riceve, per sé o per un terzo, denaro o altra utilità o ne accetta la promessa è punito con la reclusione da uno a cinque anni”; tuttavia tale definizione va letta insieme con il dettato dell’art. 321 (pene per il corruttore) secondo cui,5 le pene stabilite per il pubblico ufficiale in sostanza si applicano anche a chi dà o promette (al pubblico ufficiale o all’incaricato di un pubblico servizio) il denaro od altra utilità. La normativa italiana in materia di corruzione ha subito un notevole cambiamento nell’ultimo decennio con l’introduzione del (noto) Decreto Legislativo 231 del 2001 che disciplina la “Responsabilità Amministrativa delle Società e degli Enti” 6 e, più recentemente, della citata legge 6 novembre 2012, n. 190 recante le “Disposizioni per la prevenzione e la repressione della corruzione e dell’illegalità nella pubblica amministrazione” 7. In particolare con la prima, che impone la responsabilità amministrativa e patrimoniale agli Enti soggetti alla normativa in caso di commissione, da parte di soggetti apicali di Società o Enti, dei reati previsti dal codice penale tra cui il reato di concussione e corruzione (art.258 del D. Lgs.), si è voluto introdurre un forte strumento di “prevenzione” e “controllo” del rischio (per l’azienda e/o l’ente) derivante da atti corruttivi. Papa Gregorio I Magno (da “Moralia in Iob” ) 3 4 Art. 318, Corruzione per l’esercizio della funzione; Art. 319, Corruzione per un atto contrario ai doveri d’ufficio; Art. 319 ter, Corruzione in atti giudiziari; Art. 320, Corruzione di persona incaricata di pubblico servizio; Art. 321, Pene per il corruttore; Art. 322, Istigazione alla corruzione. 5 Art. 321, “Pene per il corruttore”: “Le pene stabilite nel primo comma dell’articolo 318, nell’articolo 319, nell’articolo 319-bis, nell’art. 319-ter, e nell’articolo 320 in relazione alle suddette ipotesi degli articoli 318 e 319, si applicano anche a chi dà o promette al pubblico ufficiale o all’incaricato di un pubblico servizio il denaro od altra utilità”. 6 “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300”. 7 Pubblicata in Gazzetta Ufficiale 13 novembre 2012, n. 265. 8 25 Art. 25 - Concussione, induzione indebita a dare o promettere utilità e corruzione: 1. In relazione alla commissione dei delitti di cui agli articoli 318, 321 e 322, commi 1 e 3, del codice penale, si applica la sanzione pecuniaria fino a duecento quote. 2. In relazione alla commissione dei delitti di cui agli articoli 319, 319-ter, comma 1, 321, 322, commi 2 e 4, del codice penale, si applica all’ente la sanzione pecuniaria da duecento a seicento quote. 3. In relazione alla commissione dei delitti di cui agli articoli 317, 319, aggravato ai sensi dell’articolo 319-bis quando dal fatto l’ente ha conseguito un profitto di rilevante entità, 319-ter, comma 2, 319-quater e 321 del codice penale, si applica all’ente la sanzione pecuniaria da trecento a ottocento quote. 4. Le sanzioni pecuniarie previste per i delitti di cui ai commi da 1 a 3, si applicano all’ente anche quando tali delitti sono stati commessi dalle persone indicate negli articoli 320 e 322-bis. 5. Nei casi di condanna per uno dei delitti indicati nei commi 2 e 3, si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, per una durata non inferiore ad un anno. In base alle disposizioni di tale normativa infatti risultano puniti, in caso di conseguimento di “un’utilità” da parte della Società o Ente, o meglio quando vengono commessi, reati nel suo interesse o a suo vantaggio da: i) persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso; ii) da persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui al precedente punto. Se le persone sopra indicate hanno agito nell’interesse esclusivo proprio o di terzi, l’ente non è responsabile (art.5). La normativa 190 del 2012 ha introdotto gli aspetti della prevenzione e della repressione del fenomeno corruttivo nell’ambito della Pubblica Amministrazione. In particolare tale norma presenta un carattere “multi-discliplinare”, in cui strumenti “sanzionatori” si configurano solamente come alcuni dei fattori per la lotta alla corruzione e all’illegalità nell’azione amministrativa; sono infatti evidenziati tanto i fattori di prevenzione quanto quelli di repressione, attraverso nuovi obblighi ed adempimenti a carico di diversi soggetti della Pubblica Amministrazione. L’aspetto più interessante resta tuttavia l’introduzione di strumenti di prevenzione, come la figura del “Responsabile della prevenzione e della corruzione” (art.1 commi 7, 8, 10, 12, 14) il quale tra i principali compiti dovrà predisporre il “piano triennale di prevenzione della corruzione”, che include i seguenti principali punti9: i) individuare le attività, tra le quali quelle di cui al comma 16, nell’ambito delle quali è più elevato il rischio di corruzione, anche raccogliendo le proposte dei dirigenti; ii) prevedere, per le attività individuate ai sensi della lettera i), meccanismi di formazione, attuazione e controllo delle decisioni idonei a prevenire il rischio di corruzione; iii) prevedere, con particolare riguardo alle attività individuate ai sensi della lettera i), obblighi di informazione nei confronti del responsabile chiamato a vigilare sul funzionamento e sull’osservanza del piano; iv) monitorare i rapporti tra l’amministrazione e i soggetti che con la stessa stipulano contratti o che sono interessati a procedimenti di autorizzazione, concessione o erogazione di vantaggi economici di qualunque genere, anche verificando eventuali relazioni di parentela o affinità sussistenti tra i titolari, gli amministratori, i soci e i dipendenti degli stessi soggetti e i dirigenti e i dipendenti dell’amministrazione; É importante inoltre sottolineare che la legge 190 del 2012 introduce per la prima volta il nuovo reato di corruzione tra privati, riferito a tutte quelle ipotesi in cui il “corrotto” non sia un pubblico ufficiale. Infatti l’articolo 1 (comma 76) della legge 190, che sostituisce l’art. 2635 del Codice Civile, prevede che: “Salvo che il fatto costituisca più grave reato, gli amministratori, i direttori generali, i dirigenti preposti alla redazione dei documenti contabili societari, i sindaci e i liquidatori, che, a seguito della dazione o della promessa di denaro o altra utilità, per sé o per altri, compiono od omettono atti, in violazione degli obblighi inerenti al loro ufficio o degli obblighi di fedeltà, cagionando nocumento alla società, sono puniti con la reclusione da uno a tre anni. (…) Le pene stabilite nei commi precedenti sono raddoppiate se si tratta di società con titoli quotati in mercati regolamentati italiani o di altri Stati dell’Unione europea o diffusi tra il pubblico in misura rilevante (…)”. É opinione comune tuttavia che probabilmente gli effetti della suddetta normativa 190/2012 potranno manifestarsi soltanto nei prossimi anni, considerato che uno dei principali strumenti di prevenzione (il “piano di prevenzione” appunto), ha carattere prospettico e le attività in esso indicate si riferiscono al successivo triennio a partire dal 31 gennaio 2014 (data ultima per la predisposizione dei piani di prevenzione da parte delle Amministrazioni). 9 Gli altri aspetti sono: v) monitorare il rispetto dei termini, previsti dalla legge o dai regolamenti, per la conclusione dei procedimenti; vi) individuare specifici obblighi di trasparenza ulteriori rispetto a quelli previsti da disposizioni di legge. 26 Nonostante l’impulso normativo sopra descritto, il reato di corruzione in Italia risulta ancora diffuso se consideriamo le numerose indagini operate dalla Magistratura sul territorio italiano che hanno coinvolto e coinvolgono aziende italiane e straniere. Tuttavia, come meglio descritto nelle pagine successive, in base ai dati del nostro sondaggio, i casi di corruzione riportati risultano invece abbastanza “contenuti” (13%), dopo i casi di appropriazione indebita di asset aziendali (65% dei casi), frodi contabili e informatiche (entrambe con il 22% dei casi). Le risposte alla Survey sul fenomeno della corruzione In Italia il 13% delle aziende rispondenti alla Survey, che hanno subito frodi negli ultimi 24 mesi, ha riportato almeno un caso di corruzione10. Si registra pertanto un aumento della diffusione del fenomeno rispetto alla passata edizione della nostra Survey 2011, nella quale veniva evidenziato il 10% dei casi di corruzione. A livello globale tuttavia la diffusione di tale reato, negli ultimi 24 mesi, si attesta ad un livello pari a più del doppio rispetto al dato italiano (27%). Risulta quindi di tutta evidenza come in Italia il fenomeno della corruzione sia notevolmente “sottostimato” rispetto al resto del mondo. Una spiegazione di tale risultato potrebbe essere ricercata nella scarsa disponibilità delle aziende rispondenti a “denunciare” tale fenomeno oppure per la difficoltà di individuare tale tipologia di frode, tenuto conto che in diversi casi essa può manifestarsi dietro “normali” transazioni commerciali come l’erogazione di donazioni, omaggi, ecc. oppure a seguito di una precedente frode (es. fatturazioni fittizie finalizzate alla creazione di fondi neri destinati alla corruzione). 10 27 Si precisa che il nostro questionario è stato sottoposto prevalentemente ad aziende del settore privato. In Italia il fenomeno della corruzione risulta notevolmente “sottostimato” rispetto al resto del mondo. Una spiegazione di tale risultato potrebbe essere ricercata nella scarsa disponibilità delle aziende rispondenti a “denunciare” tale fenomeno oppure per la difficoltà di individuare tale tipologia di frode, tenuto conto che in diversi casi essa può manifestarsi dietro “normali” transazioni commerciali come l’erogazione di donazioni, omaggi, ecc. oppure a seguito di una precedente frode (es. fatturazioni fittizie finalizzate alla creazione di fondi neri destinati alla corruzione). Grafico 19: Il fenomeno della corruzione nelle diverse aree geografiche del mondo e in Italia 2014 Inoltre, in Italia i casi di corruzione riportati dal nostro campione risultano “in linea” con il resto delle regioni dell’Europa occidentale (12%), ma non con il resto dei Paesi europei (Europa Orientale), dove il dato riportato risulta addirittura tra i peggiori insieme all’Africa (39%). Si evidenzia tuttavia che tali risultati non sembrano coerenti con l’indicatore della corruzione percepita 2012 (“CPI 2012”)11 pubblicato da Transparency International12 e che colloca l’Italia solo al 72° posto su 176 Paesi esaminati, con un punteggio di 42 su 100, subito dopo Brasile, Sud Africa, Repubblica di Macedonia. 11 Il CPI (Corruption Perception Index) è un indice che determina la percezione della corruzione nel settore pubblico e nella politica in numerosi Paesi nel mondo, attribuendo a ciascuna Nazione un voto che varia da 0 (massima corruzione) a 100 (assenza di corruzione). 12 Transparency International è un’organizzazione non governativa, no profit, leader nel mondo per le sue azioni di contrasto alla corruzione e di promozione dell’etica. 28 Come si può notare dal grafico che segue, nell’ambito delle tipologie di frodi dichiarate dalle aziende nel periodo della Survey, la corruzione, con il 13%, risulta tra i reati meno “dichiarati”, soltanto prima dei casi di frode dovuti a comportamenti anti-concorrenziali, frodi nell’ambito del personale (entrambi con il 9%) e frodi sui mutui e finanziamenti (4%). Grafico 20: Il fenomeno della corruzione a confronto con le altre tipologie di frodi 0% 29 10% 20% 30% 40% 50% 60% 70% 80% Le minacce al sistema aziendale: corruzione, riciclaggio e comportamenti anticoncorrenziali. La “corruzione”, insieme al “riciclaggio” e ai “comportamenti anticoncorrenziali” costituiscono una minaccia al sistema aziendale. I principali impatti percepiti dalle aziende che derivano da tali tipologie di frodi, declinati nelle tre dimensioni “perdite finanziarie”, “interruzione dell’attività produttiva” e “danni reputazionali”, evidenziano che la corruzione rappresenta per le aziende la principale causa di tali problematiche. Grafico 21: Corruzione, riciclaggio e comportamenti anticoncorrenziali – impatti (Italia – 2014) Rischi associati all’espansione in mercati ad alto rischio di corruzione Come suggerisce il grafico sotto riportato, quasi un terzo (27%) delle organizzazioni rispondenti al sondaggio e che investono (o che hanno investito nel periodo della Survey) in Paesi ad alto rischio di corruzione ha confermato di aver perso un’opportunità perché vittima di un atto corruttivo perpetrato da un concorrente. Mentre, il 39% dei rispondenti, tra coloro che investono in mercati ad “alto rischio corruzione”, ha probabilmente perso un’opportunità commerciale a causa del versamento di una tangente pagata da parte di un concorrente. Grafico 22: Perdita di opportunità commerciali a favore di concorrenti che potrebbero aver pagato una tangente operando in Mercati ad Alto Rischio di corruzione (Italia – 2014) 0% 10% 20% 30% 40% 50% 30 Percezione del futuro A livello italiano, quasi un terzo delle aziende che hanno risposto alla nostra Survey, ritiene di poter essere “vittima” di episodi di corruzione in futuro. Tale dato risulta essere più del doppio (27%) rispetto alla percentuale di casi riportati nel periodo della Survey 2014 (13%). Si nota inoltre che solo in relazione all’Italia, si registra una discrepanza tra i casi registrati (13%) e i casi percepiti (27%), mentre a livello globale, il dato relativo ai casi “percepiti” (29%) in sostanza conferma il dato degli eventi dichiarati (27%). Tale risultato, potrebbe essere spiegato con il fatto che probabilmente il dato relativo ai casi di corruzione riportati in Italia (13%) risulterebbe significativamente sottostimato. Grafico 23: Corruzione: confronto tra casi dichiarati e percezione del futuro 0% 31 10% 20% 30% 40% 50% 60% 4 Cybercrime: i rischi di un mondo in rete Nell’edizione della Crime Survey del 2014 l’evoluzione delle tecnologie insieme ad una crescita esponenziale dei social media e di Internet hanno cambiato in modo permanente gli scenari del business e dei consumatori. Sfortunatamente, la connettività e l’accesso a Internet presentano delle “zone d’ombra” nelle quali sofisticati e motivati criminali possono operare di nascosto. Per tale ragione le organizzazioni non sanno di essere o essere state vittime di cyber attacchi, fino a quando questi eventi non si verificano e proprio per tale motivo le varie tipologie di frodi informatiche rappresentano le più pericolose casistiche di frodi economico-finanziarie. L’esperienza delle aziende In Italia, con il 22% sul totale delle frodi subite dalle aziende italiane, le frodi informatiche (o cybercrime) rappresentano la seconda categoria di frode più frequentemente dichiarata, in aumento rispetto al 2011 (19%) e seconda solo all’appropriazione indebita. Tuttavia è possibile che il fenomeno sia sottostimato in quanto meno facilmente individuabile da parte delle aziende o talvolta non volutamente condiviso (ad esempio in caso di violazioni nell’accesso a dati riservati). In Italia, un’azienda su tre (33%) percepisce il rischio di cybercrime in aumento rispetto al 2011, mentre quasi la metà ritiene che il rischio sia rimasto invariato. A livello globale invece la metà delle organizzazioni che hanno risposto percepisce il rischio cybercrime in aumento. Grafico 24: Cybercrime - Percezione del rischio nel periodo della Survey 32 Cybercrime: un fenomeno sommerso Sulla base dei dati raccolti in Italia, se da un lato il 22% delle aziende vittime di frodi ha subìto degli episodi di cybercrime, una percentuale significativa di coloro che hanno risposto di non essere stati colpiti da eventi fraudolenti potrebbe aver subito un attacco e non saperlo. Tale situazione si traduce nell’allarmante risposta che il 25% degli intervistati ha dichiarato di non sapere a quanto ammontano le perdite finanziarie a seguito di una frode informatica ed esprime pertanto la pericolosità del fenomeno. Grafico 25 – Impatti finanziari del Cybercrime Un altro aspetto collegato alla mancata trasparenza del fenomeno del cybercrime è il seguente: anche quando una frode informatica è individuata, spesso non viene comunicata. Oltre alla violazione della privacy, ci sono altre informazioni che a livello strategico non devono essere divulgate, quindi per ragioni competitive tali “perdite di dati” rimangono confidenziali. Ad esempio, in caso di violazione da parte di cyber criminali di informazioni sull’offerta di acquisto di società target o su offerte formulate nella partecipazione a gare d’appalto, probabilmente le società ritengono più opportuno non divulgare l’incidente. Quindi la maggior parte dei danni che derivano dal cybercrime non sono resi pubblici o divulgati, da un lato perché non si sa di essere stati vittima di attacchi e quindi i danni sono difficili da quantificare, dall’altro lato perché non c’è la volontà da parte delle aziende di rendere pubbliche tali informazioni. Tale situazione crea dei rischi nell’ecosistema del business a livello globale che dipende dalle tecnologie e dalle proprietà intellettuali. 33 Crimini informatici: minaccia esterna o interna? Più della metà delle aziende del campione italiano pensa che il cybercrime sia una minaccia proveniente dall’esterno e non dall’interno dell’azienda stessa; il 23% pensa che si tratti di un rischio tanto esterno quanto interno e solo il 7% ritiene che sia una minaccia interna. Il cybercrime è un problema strategico Il fenomeno del cybercrime non è solo un problema tecnologico, ma è un problema di tipo strategico, che permea i processi aziendali delle società, sempre più orientati all’utilizzo delle tecnologie e di Internet. Questo dato è supportato anche dal fatto che il cybercrime colpisce trasversalmente più tipologie di settori: servizi finanziari, assicurativo, energia, comunicazioni, intrattenimento e media. Nell’edizione 2011, invece, il settore più colpito era quello dei servizi finanziari, con frodi collegate all’ e-banking, alla clonazione di carte di credito/debito, o al cosiddetto cyberlaundering. I processi aziendali più a rischio cybercrime sono: POS (“Point of sale purchases”): servizi di pagamento o incasso con carte di credito, di debito e prepagate negli esercizi commerciali. Transazioni ATM (“Automated teller machine”): i prelievi effettuati con il bancomat. Tutela della privacy dei dati dei clienti archiviati a sistema: spesso i clienti forniscono dati sensibili sulle informazioni personali, finanziarie, piani di assicurazione e condizioni mediche, soprattutto nel settore sanitario. E-commerce: le transazioni effettuate su Internet sono il bersaglio dei cyber criminali con l’obiettivo di rubare dati identificativi personali e coordinate bancarie. Posta elettronica: i criminali informatici possono penetrare i sistemi di posta elettronica aziendali ed accedere alle email per rubare informazioni commerciali, proprietà intellettuale o comunicazioni strategiche. Infrastrutture IT: le fattispecie di frode riportate sopra possono essere commesse in caso di punti di debolezza delle infrastrutture IT, ad esempio le reti WIFI e i sistemi Cloud. Programmi fedeltà: i dati forniti alle aziende (es. supermercati, negozi di abbigliamento, ecc.) nell’ambito di iniziative promozionali possono essere utilizzati da parte di hackers per il furto di identità o per la profilazione delle vittime di potenziali attacchi informatici. Fusioni e acquisizioni: al completamento di un’operazione di fusione o acquisizione, le società spesso ritardano la completa integrazione dei sistemi informativi e lo sviluppo di nuove policy sulla sicurezza. In tal modo l’ambiente IT diventa più vulnerabile da parte di hackers che possono rubare proprietà intellettuali o altri dati sensibili. Supply chain: fornitori, appaltatori e distributori appartengono ad un ecosistema. Una violazione nella supply chain può avere un effetto a cascata sulla sicurezza della rete mettendo a rischio l’accesso a dati sensibili. Ricerca e Sviluppo: le tecnologie, i segreti commerciali e le proprietà intellettuali sono un “target” molto ambìto da Stati, società partecipate dai governi, associazioni criminali e possono essere rubate per favorire organizzazioni concorrenti. Espansione del business in nuovi mercati: quando una società entra in un nuovo mercato può essere vittima del governo locale o dei concorrenti locali che possono avere l’obiettivo di rubare le sue tecnologie, la lista dei clienti o i piani di marketing. 34 Il ruolo dei social network In particolare nell’edizione 2014 emerge che il 3% delle aziende italiane ha riportato di aver vissuto episodi di Cybercrime tramite i social network come Facebook e Twitter, mentre il 12% non sa se è stata vittima di questa tipologia di frodi. Per la cyber criminalità i profili presi di mira sono quelli che hanno un maggior numero di follower. Cyberattack al profilo di un’azienda in Facebook Lo schema di frode consiste nell’attacco informatico al profilo di un’azienda. Il cyber criminale ruba le credenziali degli amministratori dei profili sul social network dell’azienda per attivare su vasta scala attacchi “phishing”, attraverso il post di annunci di vendita di prodotti inesistenti. Cliccando su questi annunci, che appaiono come link apparentemente innocui, l’utente del social network viene indirizzato su pagine web che contengono programmi definiti ”malware” progettati per impadronirsi delle coordinate bancarie di chi fa acquisti online. Danni collaterali Gli impatti del cybercrime che preoccupano maggiormente le aziende italiane sono: danni reputazionali (per il 65% delle aziende intervistate), rischi connessi alla violazione di normative (64%), perdite finanziarie dirette conseguenti alla frode informatica (60%), interruzione dei servizi (59%) a causa di attacchi a sistemi informativi centralizzati (hacking), ma anche furto o perdita di dati personali sugli utenti (58%), furto di informazioni e dati riservati (55%). Grafico 26: Impatti del Cybercrime che preoccupano le aziende (2014) Danni reputazionali 65% Rischi normativi/legali 64% Perdite finanziarie derivanti da atti di criminalità informatica 60% Interruzione dei servizi 59% Furto/perdita di dati personali identificabili 58% Violazioni della Proprietà intellettuale, furto di informazioni riservate 55% Costo delle indagini e delle verifiche sui danni subiti 53% Altro 35 1% Data Appendix - Italia 2014 Grafico 27: Paesi con la più alta percentuale di organizzazioni che hanno dichiarato di aver subito frodi Grafico 28: Paesi con la più bassa percentuale di organizzazioni che hanno dichiarato di aver subito frodi 36 Note metodologiche 2014 La Global Economic Crime Survey è stata realizzata tra Agosto 2013 e Maggio 2014. I dati sono stati raccolti mediante la distribuzione di un questionario compilabile on-line. Alla Survey hanno aderito complessivamente 5.128 aziende (3.877 del 2011) appartenenti a 95 Paesi (78 nel 2011). A livello italiano, l’invito alla compilazione del questionario è stato distribuito a circa 3.000 aziende e hanno aderito 101 aziende. I grafici che seguono mostrano la composizione del campione italiano. Tabella 1: Qualifica dei partecipanti Qualifica professionale % partecipanti Chief Financial Officer/Direttore finanziario/Controller 31% Manager 15% Direttore/Responsabile di Funzione 14% Altra qualifica dirigenziale/C-level executives 10% Amministratore Delegato/Presidente/Chief Executive Officer/Managing Director 10% Membro del Consiglio di Amministrazione 8% Senior Vice President/Vice Presidente/Direttore 5% Direttore/Responsabile di Business Unit 2% Altro 2% Chief Operating Officer/Direttore generale 1% Chief Information Officer/Technology Director 1% Responsabile dei Sistemi Informativi o Reponsabile della Security 1% Tabella 2: Industry di appartenenza dei partecipanti % partecipanti 37 Assicurativo 22% Servizi Finanziari Farmaceutico Servizi Professionali Energy, utilities e industria mineraria Retail & Consumer Intrattenimento & Media Trasporti e logistica Settore Pubblico e P.A. Altri settori Manifatturiero Tecnologico Ingegneria e costruzioni Automobilistico Chimico Comunicazioni Turismo 18% 8% 8% 7% 7% 6% 5% 4% 4% 3% 3% 2% 1% 1% 1% 1% Tabella 3: Funzioni di appartenenza dei partecipanti Funzioni di appartenenza % partecipanti Contabilità e Finanza 27% Executive management 22% Internal Audit 16% Altro 10% Compliance 9% Advisory/Consulenza 4% Legale 4% Risk management 2% Security 2% Fiscale 2% Information Technology 1% Produzione 1% Acquisti 1% Tabella 4: Dimensione delle aziende Tabella 5: Tipologia di aziende 38 Terminologia Per ovviare alle differenze terminologiche presenti nelle legislazioni dei diversi Paesi per descrivere le fattispecie di frodi economico-finanziarie, ai fini di questa Survey abbiamo individuato le categorie riportate qui di seguito. Appropriazione indebita Furto di beni (inclusi denaro/liquidità, forniture e attrezzature) da parte di dirigenti, dipendenti o persone che godono di una posizione fiduciaria all’interno dell’azienda, per il proprio beneficio personale. Comportamenti anti-concorrenziali Pratiche / comportamenti che ostacolano o indeboliscono la concorrenza sul mercato, quali i cartelli e gli accordi collusivi con i concorrenti (ad esempio finalizzati a fissare i prezzi, ad alterare il corretto svolgimento delle gare d’appalto, a spartirsi il mercato), nonché le forme di abuso di posizione dominante. Corruzione e concussione La corruzione consiste nell’illecito utilizzo di una posizione/carica ufficiale per ottenere un vantaggio contravvenendo ai propri doveri. Tale risultato può essere raggiunto attraverso la promessa di un beneficio economico o di altro genere di favore, o mediante intimidazioni o minacce. L’espressione include l’accettazione di tali incentivi/benefici. La concussione è il reato perpetrato dal pubblico ufficiale o l’incaricato di un pubblico servizio, che, abusando della sua qualità o dei suoi poteri, costringe taluno a dare o a promettere indebitamente, a lui o ad un terzo, denaro od altra utilità. Frodi contabili / falsificazioni di bilancio Bilanci e/o altri documenti vengono modificati o compilati in modo tale che il loro contenuto non rifletta il valore reale o le attività finanziarie dell’azienda. Tale risultato può essere raggiunto attraverso manipolazioni contabili, indebitamenti o finanziamenti fittizi (fraudolenti), emissione di crediti fittizi (fraudolenti) e transazioni non autorizzate/ “rogue trading”. Frodi finanziarie e reati economico-finanziari Uso intenzionale di comportamenti ingannevoli al fine di sottrarre ad altri denaro, assets o diritti. Frode fiscale Pratica illegale con cui un’organizzazione omette intenzionalmente di pagare i reali debiti d’imposta allo Stato. Frodi informatiche o cybercrime Anche definita “cybercrime”, la criminalità informatica include gli illeciti economici realizzati utilizzando strumenti informatici (computer) e internet. Tipici esempi di cybercrime sono la diffusione di virus, l’appropriazione illecita di dati tramite download illegali, l’accesso a informazioni personali finalizzate al furto d’identità mediante l’utilizzo di comunicazioni elettroniche (phishing) o mediante violazione di sistemi informativi (pharming), nonchè il furto di altre informazioni personali come i dati bancari. Da questa definizione sono esclusi i casi in cui il computer è usato come prodotto oggetto della frode, mentre include tutti i casi di frode economica nei quali il computer, internet o altri strumenti elettronici sono l’elemento principale della frode. 39 Fraud Risk Assessment La procedura di “Fraud Risk Assessment” prevede le seguenti attività: (i) verifica dei rischi di frode a cui le attività sono esposte; (ii) valutazione dei rischi più rilevanti (in base all’impatto e alla probabilità che si realizzino); (iii) identificazione e valutazione dei controlli posti in essere (se presenti) per mitigare i rischi chiave; (iv) valutazione dei programmi anti-frode presenti; (v) identificazione delle azioni per colmare eventuali gap nel sistema dei controlli interni. Frodi collegate ai mutui Le frodi relative ai mutui ipotecari consistono in false e/o errate dichiarazioni e/o omissioni relative a operazioni real estate compiute da una o più parti coinvolte nell’operazione. Frodi nell’area acquisti Condotta illecita in cui colui che la commette trae vantaggio evitando obblighi o causando danno alla sua organizzazione. Colui che perpetra la frode può essere un impiegato, il proprietario, un membro del consiglio di amministrazione, un ufficiale pubblico o un fornitore coinvolto nell’acquisto di servizi, merci o beni dell’organizzazione coinvolta. Frodi nell’area delle risorse umane (selezione del personale e payroll) Frodi commesse dai membri della funzione Risorse Umane che includono: le frodi nella gestione delle retribuzioni del personale, la creazione di dipendenti fittizi e di falsi stipendi, le frodi nel processo di selezione (es. assunzione di amici e/o parenti, personale non qualificato, falsificazione di documenti, ecc.). Incentivi/Pressioni Il soggetto ha problemi finanziari che non è in grado di risolvere attraverso mezzi leciti e quindi inizia a considerare la commissione di azioni illegali come soluzione. Il problema finanziario può essere di natura professionale (es. il lavoro è a rischio) oppure personale (es. debiti personali). Insider Trading Per Insider Trading illegale si intende generalmente l’acquisto o la vendita di un titolo, violando obblighi fiduciari o altre relazioni di riservatezza, qualora si sia in possesso di informazioni privilegiate e non pubbliche, inerenti il titolo. L’insider trading include anche il rivelare informazioni privilegiate, il trading del titolo da parte della persona a cui l’informazione privilegiata è rivelata e il trading da parte di soggetti che si appropriano indebitamente dell’informazione privilegiata. Mercati ad alto rischio di corruzione Considerando che i livelli di rischio di corruzione possono prestarsi ad interpretazioni soggettive, ai fini di questa indagine i Paesi con un Indice di Percezione della Corruzione (“CPI”) 2012 secondo Transparency International pari o inferiore a 50 sono considerati mercati con un alto livello di rischio di corruzione. Perdita finanziaria Nel valutare le perdite finanziarie conseguenti ad un caso di frode, dovrebbero essere considerate tanto le perdite dirette quanto quelle indirette. Per perdite dirette si intende l’importo effettivo della frode, mentre le perdite indirette includono generalmente i costi di indagine e quelli sostenuti per risolvere il problema, le sanzioni eventualmente applicate dalle Autorità di Controllo, le spese processuali ed eventuali danni 40 d’immagine. Questa definizione dovrebbe escludere eventuali importi stimati in relazione a “mancate opportunità di business”. Opportunità o abilità Il soggetto sfrutta la propria posizione, esperienza e conoscenza nel perpetrare la frode con una bassa percezione del rischio di essere scoperto. Razionalizzazione Il comportamento mediante il quale l’autore della frode minimizza o giustifica a livello soggettivo l’atto illecito Riciclaggio di denaro Azioni volte a “ripulire” i proventi di un reato occultando la loro reale provenienza. Senior executive Il senior executive (ad esempio l’Amministratore Delegato, il CEO, il Managing Director) è il dirigente aziendale con i maggiori poteri decisionali all’interno dell’azienda. Spionaggio industriale Atto o realizzazione di attività di spionaggio volte ad ottenere informazioni segrete anche attraverso l’utilizzo di delatori. Violazioni della Proprietà Intellettuale Include la realizzazione e /o distribuzione di prodotti falsi, tutelati da brevetto/registrazione o diritto d’autore, nonché la produzione diffusione di banconote o monete false. 41 Contatti | Forensic Services Franco Lagro Alberto Beretta +39 02 7785593 [email protected] +39 02 7785335 [email protected] Partner | Forensic Partner | Forensic L’Addendum italiano alla settima edizione è stato curato da: Achille Fiore Senior Manager | Forensic +39 06 570252407 [email protected] Elisa Stefanoni Manager | Forensic +39 06 570256235 [email protected] Informazioni sul gruppo Forensic Services di PwC Il gruppo Forensic Services del network globale di PwC è leader nella fornitura di servizi di prevenzione, e investigazione delle frodi finanziarie e di altre criticità, nonché nella predisposizione di soluzioni e strumenti di compliance per i propri clienti, tanto nel settore privato quanto in quello pubblico. 42 www.pwc.com/crimesurvey PwC helps organisations and individuals create the value they’re looking for. We’re a network of firms in 157 countries with more than 184,000 people who are committed to delivering quality in assurance, tax and advisory services. Tell us what matters to you and find out more by visiting us at www.pwc.com. This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law, PricewaterhouseCoopers does not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it. © 2014 PwC. All rights reserved. Not for further distribution without the permission of PwC. “PwC” refers to the network of member firms of PricewaterhouseCoopers International Limited (PwCIL), or, as the context requires, individual member firms of the PwC network. Each member firm is a separate legal entity and does not act as agent of PwCIL or any other member firm. PwCIL does not provide any services to clients. PwCIL is not responsible or liable for the acts or omissions of any of its member firms nor can it control the exercise of their professional judgment or bind them in any way. No member firm is responsible or liable for the acts or omissions of any other member firm nor can it control the exercise of another member firm’s professional judgment or bind another member firm or PwCIL in any way.
