Gli emittenti di fatture si stanno affrettando a seguire queste tendenze e rendere il pagamento delle fatture digitale il più semplice e agevole possibile. Ma prima di andare troppo avanti lungo questo percorso, dovrebbero riconoscere che i nuovi tipi e canali di pagamento aggiungono complessità alla catena di consegna dei pagamenti e richiedono un'attenzione aggiuntiva alla gestione dei fornitori. Senza un programma di supervisione, l'azienda ei suoi clienti potrebbero essere potenzialmente a rischio di eccessivi rifiuti o controversie, interruzioni del servizio, aumento dei costi di transazione e incidenti di sicurezza.
I Rapporto Verizon sulle indagini sulla violazione dei dati del 2022 ha osservato che gli attacchi ransomware da soli sono aumentati del 13% tra il 2020 e il 2021, un salto maggiore rispetto agli ultimi cinque anni messi insieme. Fornitori, partner e terze parti nella catena di consegna dei pagamenti sono stati responsabili del 62% degli incidenti di intrusione di sistema nel 2021, il che potrebbe rappresentare "tendenze più ampie che abbiamo visto nel settore, in termini di rischi interconnessi che esistono tra il fornitori, partner e terze parti", secondo gli analisti.
Gli emittenti di fatture non possono rinunciare all'offerta di opzioni di pagamento digitali: i clienti hanno già chiarito le loro preferenze. Tuttavia, possono scegliere a partner della piattaforma di pagamento che espande e integra il pagamento digitale delle bollette, rilevando e gestendo efficacemente i rischi.
Lezioni che possiamo imparare da Target
Per illustrare quanto possa essere dannoso un singolo attacco informatico, è utile esaminare uno degli esempi più visibili della storia recente: la violazione Target del 2013. Secondo uno ., Target ha dovuto investire 100 milioni di dollari dopo l'incidente per migliorare la propria infrastruttura di pagamento e altri 100 milioni di dollari in pagamenti a banche e società di carte di credito che dovevano rimborsare i clienti.
Ma ancora più catastrofico è stato il colpo alla sua reputazione e alla fiducia dei clienti. Il "buzz score" dell'azienda, che misura la percezione del marchio, è sceso di 45 punti durante la settimana successiva alla violazione e, a sua volta, i profitti sono diminuiti del 46% in un trimestre.
La tua azienda potrebbe non essere un mega-rivenditore come Target, ma questa esperienza può insegnare agli emittenti di fatture che la sicurezza informatica è sempre un calcolo "investi ora o paga dopo". Investi ora in una piattaforma di pagamento sicura o affronta le ricadute finanziarie quando si verifica una violazione della sicurezza.
Inoltre, un fornitore di piattaforme di pagamento che taglia gli angoli può compromettere le stesse protezioni attualmente in atto per proteggersi dalle perdite informatiche. Ad esempio, nel 2021, l'aumento delle perdite di ransomware ha causato il costo dei premi assicurativi informatici quasi il doppio nel 2021 e alcuni assicuratori hanno abbandonato completamente la copertura per le aziende che non potevano dimostrare che loro e il loro fornitore di piattaforme di pagamento dispongono di ragionevoli protezioni di sicurezza. Investire in anticipo, inclusa la selezione del giusto partner della piattaforma di pagamento, richiede impegno e lungimiranza, ma potrebbe salvarti da queste costose ripercussioni in futuro.
Quattro strategie di prevenzione del crimine informatico
Esistono numerose strategie di prevenzione del crimine informatico, ma ne tratterò brevemente quattro che il tuo fornitore di piattaforme di pagamento dovrebbe avere in atto per proteggersi dagli attacchi informatici.
Autenticazione a due fattori e biometrica
I clienti si aspettano sempre più di ricevere protezione come parte dell'esperienza di pagamento. E, giustamente. Un anno studio di Google, la New York University e la UC San Diego hanno scoperto che la semplice pratica dell'autenticazione a due fattori utilizzando i prompt sul dispositivo ha avuto molto successo nel prevenire la stragrande maggioranza dei dirottamenti degli account. L'invio di un messaggio direttamente al dispositivo in archivio e il fatto che l'utente tocchi il messaggio per l'autenticazione ha impedito il 100% dei bot automatizzati, il 99% degli attacchi di phishing in blocco e il 90% degli attacchi mirati.
Ancora meglio è l'autenticazione biometrica, che è integrata nei portafogli digitali e in alcuni tipi di pagamento mobile come Apple Pay e Google Pay. I clienti evitano del tutto di inserire le informazioni di pagamento, semplicemente utilizzando una scansione facciale o un'impronta digitale per accedere al proprio account.
Sì, l'autenticazione può aggiungere problemi all'esperienza di pagamento. Tuttavia, è un attrito necessario che, se opportunamente programmato, crea effettivamente un'esperienza migliore per i clienti. È essenziale configurare l'autenticazione "abbraccio di fiducia" all'inizio della relazione con il cliente con messaggi che consentano loro di sapere che sono protetti da transazioni fraudolente. Le regole aziendali possono quindi essere implementate per affrontare le anomalie che sollevano una bandiera rossa per potenziali frodi.
Il fornitore di pagamenti dovrebbe avere una strategia di coinvolgimento del cliente per educare i clienti e facilitare l'autenticazione a due fattori per funzioni come la registrazione del pagamento automatico. Per l'autenticazione biometrica integrata, è consigliabile lavorare con un fornitore di piattaforme che lo abiliti Apple Pay e Google Pay come opzioni di pagamento e genera credenziali univoche per l'emittente della fattura specifiche per ogni fattura del pagatore. I clienti apprezzano quando l'autenticazione è progettata come parte dell'esperienza di pagamento perché comprendono il rischio e la potenziale appropriazione indebita dei propri dati, nonché la seccatura evitabile per porre rimedio alla situazione.
Crittografia e tokenizzazione
La crittografia e la tokenizzazione svolgono ruoli diversi nella protezione dei dati, quindi entrambe dovrebbero essere sfruttate per facilitare i pagamenti digitali. La tokenizzazione è la sostituzione dei dati sensibili a livello di account con un valore crittografato univoco. La crittografia è il metodo in cui i dati vengono convertiti in un "valore segreto".
Usarli insieme aiuta le aziende a creare fiducia con i clienti evitando dannose violazioni dei dati. Inoltre, queste misure di sicurezza aiutano il fornitore della tua piattaforma di pagamento a soddisfare i requisiti di conformità normativa necessari per qualsiasi azienda che raccolga informazioni sulle carte di credito o di debito, il che le rende strumenti indispensabili nella cintura degli strumenti di sicurezza del tuo fornitore di piattaforma di pagamento.
Questi metodi proteggono i dati di pagamento sensibili dal furto e dal riscatto dei criminali informatici. Ancora meglio, questi metodi fungono da deterrenti, poiché gli hacker tendono a gravitare su obiettivi non protetti che offrono un grande guadagno con il minimo sforzo. Se non riescono a trovare facilmente e rapidamente informazioni preziose, si ritireranno e cercheranno altrove.
Un team di mitigazione del rischio
I criminali informatici sono sia creativi che abili, quindi è importante avere una difesa altrettanto formidabile dalla tua parte. Ciò significa che il tuo partner per i pagamenti si avvale di un team interfunzionale di professionisti del rischio, della conformità e della tecnologia esperti che sanno come progettare e costruire un ambiente di pagamento sicuro: un responsabile del rischio per guidare lo sviluppo di un ambiente di controllo scalabile; un responsabile della sicurezza delle informazioni per supervisionare il monitoraggio del perimetro, condurre test in corso ed eseguire audit di sicurezza; membri del personale dedicati alla riduzione del rischio operativo e all'implementazione di protocolli di sicurezza dinamici, se necessario; e un responsabile legale e della conformità per lavorare con le agenzie di regolamentazione, coordinare gli audit normativi e garantire la conformità normativa.
Tieni presente che la progettazione di protezioni dai rischi in un prodotto o servizio di pagamento è molto più conveniente rispetto al retrofit dopo il fatto, quindi cerca una piattaforma di pagamento con controlli integrati, nonché un team di talento che li adatti alle esigenze del cliente .
Audit, certificazioni e standard e test di sicurezza
Con l'intensificarsi dei tipi e delle tecnologie di pagamento, alcuni fornitori di piattaforme di pagamento non sono riusciti a dare la priorità a tempo e risorse negli audit interni ed esterni, nei test di sicurezza e nelle procedure di certificazione della sicurezza. Tuttavia, queste aree di supervisione forniscono un'efficace terza linea di difesa, dopo le operazioni e le funzioni di seconda linea come la gestione del rischio e la conformità, per garantire che la piattaforma sia solida dal punto di vista dell'"igiene della sicurezza" e della normativa. Le funzioni di audit di terza linea mantengono i fornitori di piattaforme di pagamento precisi, responsabili e forniscono garanzie al senior management e ai membri del consiglio che le prime due linee di difesa soddisfano le aspettative.
Per questo motivo, gli emittenti di fatture dovrebbero lavorare solo con un fornitore di piattaforme di pagamento che sia stato sottoposto a valutazioni e certificazioni complete sulla privacy e sulla sicurezza eseguite da terze parti qualificate. Ad esempio, per proteggere le risorse informative, un fornitore di piattaforme di pagamento dovrebbe disporre della certificazione ISO/IEC 27001 o di una certificazione equivalente incentrata sulla sicurezza.
La piattaforma dovrebbe inoltre essere conforme a PCI e disporre di processi in atto per consentire al personale di assistenza clienti dell'emittente di fatture di mantenere la conformità durante l'interazione con i clienti in merito al pagamento.
Ogni partner per i pagamenti preso in considerazione dovrebbe seguire il NIST CSF, un framework di sicurezza informatica contenente standard di settore e best practice per aiutare le organizzazioni a comprendere e ridurre i propri rischi.
Infine, chiedi ai potenziali fornitori di piattaforme di pagamento se conducono regolarmente corsi di formazione sulla sicurezza per il loro personale, compresi i rischi di ingegneria sociale, e testa i loro sistemi per identificare le vulnerabilità. Devi sapere di avere qualcuno all'interno che pensa come i criminali informatici e adotta misure preventive di conseguenza.
Protezione di ogni collegamento per i pagamenti delle fatture digitali
Lo stack di pagamento delle fatture di oggi è più complesso che mai con l'aggiunta di opzioni di pagamento delle fatture digitali: portafogli digitali, codici QR scan-and-pay, app di pagamento da persona a persona e altro ancora.
Non puoi controllare i criminali, ma puoi rafforzare la tua catena di approvvigionamento dei pagamenti, dall'inizio alla fine, collaborando con un fornitore di piattaforme di pagamento incentrato sulla sicurezza che ha messo in atto protezioni, come la verifica a due fattori; crittografia e tokenizzazione; un team di gestione del rischio e conformità; e audit professionali di terze parti, test di sicurezza e certificazioni.
L'evoluzione del pagamento delle bollette mobili è in pieno svolgimento. Ora i professionisti dei pagamenti devono lavorare insieme per stare un passo avanti rispetto a coloro che lavorano per sfruttarlo.