10 minutos de leitura 25 jul 2019
ey-dois-manequins

Como a transformação digital aumenta os riscos de fraude para o consumidor e no retalho

À medida que o uso de novas tecnologias aumenta num mundo omnicanal, aumentam também as armadilhas potenciais de cibersegurança.

A transformação digital alargou-se ao setor de produtos de consumo e retalho (PCR), da automação de processos de fabrico às vendas e distribuição, logística e digitalização de pagamentos dos clientes. Mas, à medida que as empresas de PCR vão adotando novas tecnologias impressionantes, deparam-se também com novos riscos de fraude.

Analisámos a dinâmica emergente da fraude digital quando as organizações passam por essas jornadas de transformação e delineámos formas que permitem às empresas resolver essa lacunas, combater as más práticas e implementar mecanismos de monitorização para prevenir e mitigar fraudes. Mas, comecemos por analisar primeiro as mudanças sofridas pelas empresas de PCR na era digital.

Mulher a fazer uma transação eletrónica
(Chapter breaker)
1

Capítulo 1

O que está a impulsionar a transformação digital nos PCR?

Em resposta às exigências dos consumidores, importadores e exportadores, fornecedores, transportadoras e distribuidores estão interligados por via dos dados agora mais do que nunca.

Nos últimos cinco anos, o mercado de retalho eletrónico cresceu mais de 100% ao ano e, em 2017, as vendas de retalho eletrónico representaram 10,2% das vendas globais do retalho, com a Indonésia, Índia, México e China a figurarem como os mercados em mais rápido crescimento nesta área. Em 2019, as vendas de retalho eletrónico devem contribuir para até um terço do total de vendas a retalho na China.

E as expetativas dos consumidores estão a mudar, à medida que as marcas de venda direta ao consumidor vão adquirindo clientes individuais em grande escala. O retalho omnicanal está a tornar-se no novo normal. Dada a velocidade, facilidade e conveniência esperadas pelos clientes, o setor está a transformar os processos de ponto de venda em lojas tradicionais, plataformas online para chegar diretamente ao consumidor e sistemas de cadeia de abastecimento que agilizam o processo de encomendas e compras.

O investimento em tecnologia — como é o caso dos sistemas de gestão de distribuição para rastrear vendas secundárias (distribuidor para retalhista), terminais de pontos de venda para vendas terciárias (retalhista para o consumidor) e software de automação para monitorização do desempenho e otimização de percursos de vendas — ajudou as empresas no caminho da digitalização.

O cenário de risco vai mudando à medida que cada vez mais stakeholders usam a tecnologia digital. Incidentes de fraude perpetrados por membros da empresa, organizações interligadas e terceiros estão a expor e a explorar as novas vulnerabilidades dos modelos de negócio em rede.

Além de promover o acesso a mercados emergentes em rápido crescimento, a digitalização permite o estabelecimento de cadeias de fornecedores multidirecionais, conectando importadores e exportadores, fornecedores, transportadoras, distribuidores e clientes. A automação está a simplificar o fabrico, a logística e os pagamentos e agiliza a integração com redes de terceiros que vinculam subcontratados, fabricantes, armazenistas e distribuidores. Esses processos geram dados em tempo real que podem ser usados para uma melhor gestão e monitorização.

No entanto, à medida que cada vez mais atores usam a tecnologia digitalizada, o cenário de risco também vai mudando. Incidentes de fraude perpetrados por membros da empresa, organizações interligadas e terceiros estão a expor e a explorar as novas vulnerabilidades dos modelos de negócio em rede.

Comerciante a vender um sapato a um turista
(Chapter breaker)
2

Capítulo 2

Novos problemas

Ciber-criminosos, funcionários desonestos ou descuidados e terceiros fraudulentos podem afetar as suas melhores intenções em matéria de estratégias digitais.

A digitalização concentrou as preocupações nas fraudes. O 15º Global Fraud Survey da EY constatou que 36% dos entrevistados consideraram a fraude e a corrupção o maior risco para os negócios e 37% classificaram os ciberataques como o maior risco. No setor de Produtos de Consumo e Retalho (PCR) existe toda uma série de grandes vulnerabilidades a considerar:

  • Dados pessoais confidenciais recolhidos através de comércio eletrónico: Os retalhistas são alvos apetecíveis para os criminosos, porque mantêm atualizados dados que os criminosos podem usar, tais como nomes, moradas e dados de cartões de crédito. Os grandes ataques de pirataria têm consequências para o negócio e para a reputação das empresas.
  • Ciberameaças à plataforma de transações online: Ataques de negação de serviço ou de negação de serviço distribuído representam um grande risco comercial, pois as vendas são interrompidas quando os canais online são comprometidos. Isso pode ser o resultado de um ataque malicioso ou de uma falha do sistema, uma vez que a plataforma não consegue responder ao volume de tráfego nos dias de pico de vendas, como é o caso da Black Friday.
  • Risco interno: Os funcionários da empresa podem cometer fraudes ao usar sistemas e processos internos. Por exemplo, no sistema de vendas secundárias (distribuidor para retalhista), a equipa pode aumentar as vendas em pontos de venda novos ou existentes para reivindicar benefícios indevidos, e no sistema de vendas terciário (retalhista para consumidor final), os colaboradores podem reter benefícios promocionais que se destinam aos consumidores.

A digitalização vincula sistemas online e processos físicos, partilhando dados em tempo real entre funções internas e terceiros para reduzir o tempo de resposta de pedidos e mitigar excesso de stock e existências. Isso abre novas vulnerabilidades, principalmente quando as empresas não atualizar as medidas de controlo e de monitorização. Em seguida apresentamos essas vulnerabilidades por categoria.

Ponto de Venda (PdV)

A digitalização transformou a funcionalidade PdV registando e agregando dados transacionais. No entanto, o PdV também é um dos principais alvos de fraude, que afeta tanto as vulnerabilidades do retalho de loja como as do comércio eletrónico. Isto inclui:

  • O próprio terminal pode ser direcionado, com dispositivos PdV móveis vulneráveis a malware através de redes Wi-Fi na loja.
  • A maioria dos terminais aceita pagamentos contactless para rápida integração do cliente, o que apresenta riscos de segurança e autenticação.
  • As caixas automáticas podem atrair fraudes cometidas pelos clientes — por exemplo, digitalizar um item e embalar outro item mais caro ou vários itens.

Estes pequenos incidentes extrapolados em várias lojas podem representar perdas significativas.

O mercado eletrónico

O comércio online gera um aumento de operações de retalho — permitindo que os retalhistas negoceiem mais rapidamente e com mais pessoas — mas também aumenta o risco de atividades fraudulentas que acabam por prejudicar o comércio eletrónico.. Tendências recentes incluem:

  • Manipulação de resultados: Colaboradores que recebem pagamentos de vendedores em troca da manipulação de resultados no mercado para aumentar a visibilidade.
  • Fraude com comissões: Colaboradores que recebem favores de vendedores pela redução da percentagem de comissões a serem pagas pelo vendedor pelas vendas realizadas num mercado online.
  • Fraude na arbitragem de custos: Os vendedores compram os seus próprios produtos com ofertas de reembolso no mercado online, vendendo-os depois offline.
  • Reembolso ou fraude promocional: Os colaboradores inflacionam esquemas de reembolso e promoção em determinados produtos para favorecerem vendedores específicos e receberem pagamentos em troca.
  • Fraude de cliques: Os concorrentes e outras pessoas clicam deliberadamente em anúncios de pagamento por clique (PPC) - por vezes com recurso a tecnologia - para gerar custos fraudulentos para os anunciantes, prejudicando as campanhas de PPC. Isto aumenta o custo da publicidade com taxas de conversão mais baixas e dados do utilizador distorcidos para empresas online.
  • Fraude de manipulação de pagamentos: vendedores fraudulentos enumeram produtos para venda e solicitam pagamento antecipado. O vendedor recebe o pagamento, mas o produto não existe ou não é enviado, e os dados bancários ou do cartão de crédito dos compradores podem ser usados como parte de um esquema de fraude mais amplo.

Programas de fidelização

A digitalização transformou a funcionalidade PdV registando e agregando dados transacionais. No entanto, o PdV também é um dos principais alvos de fraude, afetando as vulnerabilidades nas operações de retalho físico e online. Isto inclui:

A fraude do programa de fidelidade é endémica, principalmente em mercados emergentes — por exemplo, na Ásia, onde a maioria das compras ocorre em dinheiro ou feita através de aplicações móveis, em vez de cartão de crédito.

As aplicações de fidelização registam todas as transações de um cliente, incluindo transações em dinheiro, e recolhem dados valiosos sobre o cliente para os retalhistas sobre as escolhas e comportamentos do cliente, incluindo informações sobre conta e localização bancárias. Esses dados valiosos atraem piratas informáticos.

Os programas de fidelidade também são direcionados para fraudes internas, incluindo abuso de pontos, ofertas e promoções. Os colaboradores envolvidos não passam as promoções aos clientes, ou concedem pontos extras a amigos ou familiares, com ou sem uma compra, em troca de bens ou dinheiro.

As funções de gestão do risco têm de considerar que, embora os riscos associados às transações sejam muito semelhantes, o cenário difere de região para região, consoante as normas culturais, hábitos de compra e graus de adoção da tecnologia. Medidas de salvaguardas e soluções devem refletir isso.

Por exemplo, as economias desenvolvidas estão testar o reconhecimento facial como parte de um esquema de autorização de pagamentos. No entanto, nas economias asiáticas emergentes, que apresentam o maior crescimento no comércio eletrónico, os pagamentos são feitos principalmente em dinheiro através de aplicações para smartphones e cartões pré-pagos. Tudo isto é transferível, não vinculado a contas bancárias e não exige uma referência de crédito.

Vulnerabilidades da cadeia de fornecedores

Os sistemas de gestão e controlo de existências que rastreiam e localizam itens de armazém e se integram no sistemas de retaguarda (contabilidade ou planeamento de recursos empresariais) — e frequentemente com PdV e software de gestão de ativos — monitorizam os níveis e movimentos de stocks. No entanto, as organizações de Produtos de Consumo e Retalho estão a reportar incidentes de fraude que estão a expor brechas nos sistemas de vendas secundárias e terciárias.

Exemplos de fraudes internas por abuso de sistemas de vendas secundárias (distribuidor para retalhista) incluem:

  • Vendas inflacionadas em pontos de venda novos ou existentes para reivindicar benefícios indevidos – equipa de vendas que manipulam o sistema para reivindicar incentivos
  • Incentivos reivindicados pela criação de "vendedores fantasmas" – uma resposta à pressão por incentivos e metas
  • Lacunas no processo de criação de pontos de venda que podem permitir a criação de pontos de venda falsos no sistema de vendas secundárias pelos distribuidores para reivindicar benefícios comerciais indevidos
  • Falhas nos esquemas de pagamentos provocadas para inflacionar vendas ou enganar estabelecimentos comerciais.
    Problemas de segurança de bases de dados relacionados com autorizações, permitindo o acesso não autorizado a bases de dados e soluções alternativas, tais como partilha de palavras-passe para contornar aprovação de fluxos de trabalho

Exemplos de fraude por abuso de sistemas de vendas terciários (retalhista para consumidor final) incluem:

  • O sistema PdV usado apenas para faturar produtos promocionais pelo que os dados transacionais não são indicativos do comportamento real do cliente
    Benefícios promocionais que não são passados para o consumidor final – o cliente paga o preço total e o funcionário regista a promoção separadamente (por exemplo, numa oferta de "dois por um" ficam com o artigo extra)
  • Vendas contratadas em horário não-comercial, para que algumas vendas não sejam registadas no sistema
  • Piratas informáticos que exploram vulnerabilidades nas plataformas de transações digitais, incluindo especialistas que encontram brechas no sistema e piratas externos que conhecem o sistema
  • Uso indevido de pontos de recompensa para reivindicar pontos em compras de clientes e aplicá-los a outro cartão de fidelidade (cartão de um funcionário ou pertencente a um familiar ou amigo)

Uma procura mais detalhada em dados de vendas primárias, secundárias e terciárias permite descobrir vulnerabilidades mais específicas. Por exemplo, embora os dispositivos PdV móveis e os sistemas de gestão de distribuição tenham melhorado a visibilidade das transações e dos níveis de stock, os níveis de transparência variam dependendo do pacote de software usado. Sistemas em grande escala que lidam com grandes volumes de transações, principalmente na Ásia, podem não detetar pequenos incidentes individualmente insignificantes, mas generalizados nos negócios.

Consequentemente, embora as empresas estejam cientes de que existem lacunas no sistema de vendas secundário, não estão cientes da dimensão das perdas gerais.

Máscaras penduradas num mercado
(Chapter breaker)
3

Capítulo 3

Resolver fugas: avaliar proativamente as vulnerabilidades

Siga uma abordagem tripartida para determinar possíveis pontos problemáticos e comece a mudar comportamentos e proteger melhor os seus ativos.

Com as empresas de Produtos de Consumo e Retalho a gastarem grandes quantias em projetos de transformação de tecnologia nas suas principais operações de negócio, as partes interessadas responsáveis por esses projetos devem avaliar as vulnerabilidades de fraude que surgirem. É necessário um foco específico em projetos de alto valor que tenham impacto financeiro sob a forma de incentivos ou pagamentos para funcionários da empresa e terceiros externos envolvidos na cadeia de valor.

Isso complementa a necessidade de uma estratégia proativa para detetar e solucionar brechas nos processos e sistemas envolvidos na iniciativa de transformação digital, com o objetivo de impedir a fraude antes que ela aconteça, em vez de reagir após o evento. Uma estratégia proativa exige que as organizações determinem onde estão os problemas e tomem medidas para resolvê-los usando uma combinação de controlos, monitorização e incentivo à mudança de comportamentos.

Uma abordagem tripartida para uma avaliação forense proativa pode agregar valor para as empresas que tentam mitigar possíveis fugas:

1. Identificar e compreender

 

 

  • Identificar a iniciativa de transformação com o maior impacto financeiro
  • Compreender a finalidade e os objetivos da iniciativa de transformação
  • Compreender os principais indicadores de desempenho vinculados ao projeto de transformação que resultariam em potenciais benefícios para as partes interessadas internas e externas e o seu impacto financeiro na organização
  • Analisar ligações entre processos e sistemas críticos para os negócios envolvidos na iniciativa de transformação

  •  

     

    2. Executar testes de funcionalidade e análise de dados

    • Executar testes de funcionalidade da aplicação ou plataforma do sistema que está a ser implementado
    • Projetar cenários de risco de fraude relevantes para os processos de negócios vinculados à aplicação ou plataforma do sistema em foco
    • Extrair dados de fontes relevantes e execute análises forenses de dados para testar a hipótese de cenários de risco de fraude aplicáveis aos negócios
    • Realizar verificações adicionais para validar as exceções identificadas com base na análise de dados

    3. Mitigar

    • Identificar áreas vulneráveis e classifique-as por ordem de prioridade
    • Criar controlos práticos para mitigar riscos
    • Criar um quadro de monitorização baseada em parâmetros que ajudem a identificar sinais de alerta continuamente e para o futuro
    • Auxiliar na implementação dos controlos em consultas com a administração
    • Definir e concordar com um mecanismo de revisão contínuo dos controlos

    Quando os principais riscos de uma organização são identificados usando cenários de teste e análise de dados dentro da abordagem tripartida acima referida, a monitorização de tipos específicos de incidentes pode ser incorporada na estrutura de controlo.

    No entanto, tendo em conta a quantidade de registos e transações eletrónicas, que está a aumentar significativamente, as empresas enfrentam uma tarefa árdua. Eles têm de adotar mecanismos de análise proactivos para avaliar dados, destacar lacunas e identificar padrões usando ferramentas intuitivas com recurso à tecnologia.

    A análise é uma ferramenta bastante poderosa. Por exemplo, a análise de tendências dos dados de vendas online ajuda a identificar padrões de compra ilícitos, como compras por atacado e rentabilidade repetidas. As análises retrospetivas nos terminais PdV podem ser usadas para identificar atividades inadequadas ou fraudulentas, complementando as análises aos pagamento efetuados por parte dos fornecedores de cartões de crédito.

    Tendo em conta a quantidade crescente de registos e transações eletrónicas, as empresas têm uma tarefa árdua pela frente. Estas terão de adotar mecanismos de análise proativos para avaliar dados, destacar lacunas e identificar padrões usando ferramentas intuitivas com recurso à tecnologia.

    A visualização de dados e a machine learning permitem que grandes organizações identifiquem tendências em torno de atividades potencialmente fraudulentas e comuniquem com as empresas para aconselhar que funcionários podem representar os maiores riscos na sua organização.

    Conclusão e principais elementos a reter

    A digitalização transformou o ambiente de PCR de uma fora positiva, uma vez que o comércio eletrónico acelera o comércio quase instantâneo numa ampla gama de produtos de todo o mundo. O sucesso do retalho online e omnicanal é altamente lucrativo, mas a digitalização também está a criar um cenário de risco diferente.

    As novas ameaças incluem ciber criminosos que intercetam sistemas de vendas físicas e online, funcionários desonestos ou descuidados e terceiros que procuram deliberadamente oportunidades para explorar brechas ou soluções alternativas do sistema de maneira a torná-lo mais vulnerável a intercetações ou esquemas fraudulentos. O setor de Produtos de Consumo e Retalho digitalizado produz grandes quantidades de dados que podem ser aproveitados para aumentar os negócios – e protegê-los também.

    Em vez de ter que disciplinar ou dispensar pessoas que são apanhadas, é possível identificar onde está o risco nos negócios e mudar proativamente os comportamentos. É importante continuar a monitorar e a avaliar a integridade das transações para identificar que estratégias e processos fazem a diferença e garantir que as atividades e grupos certos estejam a ser devidamente direcionados.

    O setor atual de Produtos de Consumo e Retalho exige sistemas para identificar e combater os riscos de fraude criados pela digitalização. Os novos desenvolvimentos na tecnologia de retalho também trazem novas oportunidades de intercetação e exploração. A adoção da abordagem tripartida para a avaliação forense é essencial para gerir os riscos associados aos incidentes de fraude nos PCR.

    Resumo

    Incidentes de fraude perpetrados por membros da empresa, organizações conectadas e terceiros estão a expor e a explorar as novas vulnerabilidades dos modelos de negócio em rede. Uma estratégia proativa exige que as organizações determinem onde estão os problemas e que tomem medidas para resolvê-los usando uma combinação de controlos, monitorização e incentivo à mudança de comportamentos.

    Sobre este artigo