Il caso Mueller rappresenta uno dei casi di frode più emblematici in termini di “opportunità” fornite al frodatore da parte dell’organizzazione frodata. In particolare, la mancanza/carenza di adeguati presidi di controllo interni, oltre ad aver favorito la condotta fraudolenta, ha garantito, che la stessa si perpetrasse nel tempo.
Pertanto, muovendo dal case study sopracitato, risulta fondamentale, al fine di mitigare il rischio di frode, che le organizzazioni pongano in essere delle attività di monitoraggio e controllo efficaci.
IL CASO
Tra il 2003 e il 2007, Nathan J Mueller – Accounting Manager di una primaria società finanziaria americana (di seguito, “la Società”) – si occupava, tra le altre, di effettuare talune registrazioni contabili e di autorizzare l’emissione di assegni maggiori di USD 250 mila e, grazie al suo ruolo, è riuscito a mettere in atto ben due schemi fraudolenti finalizzati all’appropriazione indebita, da parte dello stesso, di disponibilità liquide aziendali pari a complessivi USD 8,5 milioni.
In particolare, Mueller e una sua collega, a seguito di un’erronea attribuzione di sistema, detenevano altresì i poteri necessari per l’emissione di assegni e pertanto, seppur non ufficialmente autorizzati, potevano emettere i titoli di credito e successivamente autorizzarli sulla base, invece, d’idonee autorizzazioni accordate dalla Società.
In ultimo, un ulteriore elemento di criticità dei sistemi di controllo interno ma al contempo di opportunità per il frodatore, è rappresentato dalla mancanza di segretezza delle password di accesso ai sistemi da parte di Mueller e dei suoi colleghi in quanto, tutti i componenti del team di lavoro conoscevano reciprocamente le password di accesso al sistema il quale, permetteva l’emissione e l’autorizzazione degli assegni.
Di seguito, si riportano gli schemi adottati da Mueller per perpetrare la frode in commento:
Fonte: elaborazione dell’Autore
A commento ed integrazione degli schemi sopra esposti si precisa quanto segue:
- Schema Universal (denaro sottratto: USD 88 mila)
✓ Mueller aveva maturato una significativa posizione debitoria personale nei confronti della società finanziaria «Universal» in relazione all’utilizzo della sua carta di credito;
✓ la Società aveva diversi fornitori nella cui ragione sociale era presente la parola «Universal»;
✓ Mueller emetteva ed autorizzava assegni verso la società finanziaria “Universal” e li spediva alla stessa allegando l’estratto conto della sua carta di credito personale;
✓ Mueller, grazie alle sue competenze contabili e alla possibilità di effettuare delle registrazioni su taluni conti (anche di natura transitoria), occultava contabilmente tale ammanco di cassa;
✓ Mueller ritenne tale sistema molto rischioso in quanto, nell’ambito di una transazione dimenticò di allegare all’assegno i riferimenti della sua carta di credito da riaccreditare e pertanto l’assegno tornò indietro alla contabilità fornitori della Società e fu – senza nessun controllo – restituito a Mueller in quanto, soggetto richiedente.
- Schema ACE (denaro sottratto: USD 8,4 milioni)
✓ Mueller costituì la «ACE Business Consulting» ed aveva acceso un conto corrente bancario a nome della stessa, presso un importante banca locale;
✓ la scelta del nome della società non fu casuale in quanto, la Società aveva diversi fornitori nella cui ragione sociale era presente la parola «ACE»;
✓ Mueller adottò la medesima strategia di occultamento contabile utilizzata nell’ambito dello schema “Universal”.
Tale frode, venne scoperta solo nell’agosto del 2007 quando, l’ex moglie di Mueller, amica della collega d’ufficio, confidandosi con la stessa le espresse i suoi dubbi in merito allo stile di vita sregolato e agiato condotto dall’ex-marito.
Alla luce di tale confidenza, la collega effettuò talune verifiche sul sistema contabile e si accorse di numerosi assegni emessi, a sua insaputa, dalla sua utenza. Immediatamente, la stessa informò la direzione aziendale la quale, successivamente licenziò e denunciò Nathan J Mueller il quale, ha scontato 5 anni e mezzo in una prigione federale ed attualmente si occupa di sensibilizzazione in temi di anti-frode ed etica.
PRINCIPALI TECNICHE DI FRAUD PREVENTION
Muovendo dal caso sopracitato, nel prosieguo si espongono le principali tecniche di fraud prevention applicabili per prevenire casi di malversazione, come quello perpetrato da Mueller.
- Segregation of duties
Il binomio frodi aziendali e mancanza di segregation of duties ossia, la segregazione dei ruoli e dei poteri (tra controllore e controllato) in ambito aziendale è ancora troppo spesso presente in quanto, per il frodatore rappresenta un ottimo “opportunità” per perpetrare, in modo indisturbato, l’azione fraudolenta.
La segregation of duties, in ambito aziendale, è uno strumento fondamentale di Corporate Governance, finalizzato al coinvolgimento dei soggetti con diversi poteri di gestione dell’impresa, affinché nessuno possa disporre di poteri illimitati e svincolati dalla verifica di altri soggetti e che le responsabilità di un processo chiave vengano condivise tra più di una persona o dipartimenti.
Pertanto, la segregation of duties mira a mitigare il rischio di frode eliminando la capacità di un singolo individuo di effettuare più processi nell’ambito della medesima transazione e quindi evitando che la medesima persona sia in grado, ad esempio, di appropriarsi indebitamente di denaro contante e al contempo di riuscire ad occultare contabilmente tale ammanco.
Con una segregation of duties adeguatamente progettata, il frodatore non avendo la possibilità di effettuare autonomamente l’intero schema fraudolento necessiterà della connivenza e dell’aiuto di un collega, aumentando così la possibilità di essere scoperto in quanto, le cospirazioni sono difficili da mantenere nel lungo periodo.
Con riferimento al caso Mueller, la segregation of duties è venuta meno per un’erronea attribuzione di profili autorizzativi a livello di sistema la quale, veniva scoperta e risolta dalla Società a metà del 2007- pochi mesi prima che si scoprisse la frode – senza verificare gli eventuali danni che tale misattribution of powers aveva arrecato alla Società.
Pertanto, se la Società avesse condotto delle review su base periodica dei poteri (dispositivi e autorizzativi) conferiti ai dipendenti a livello di sistema, si sarebbe immediatamente accorta dell’errore ed avrebbe, quanto meno, evitato il protrarsi della frode per oltre 3 anni.
- Sistemi di Multi Factor Authentication (MFA)
Come si evince dall’analisi del caso Mueller, un altro fattore che ha giocato un ruolo fondamentale è stato la condivisione delle password nell’ambito del medesimo team di lavoro.
Purtroppo, tale aspetto è ricorrente in diversi casi di frode ed uno strumento decisamente efficace per poter mitigare tale rischio è dato dai sistemi di Multi Factor Authentication ossia, nel momento in cui bisogna autenticarsi all’interno di un sistema c’è bisogno di una password e di una One Time Password (OTP) la quale, può essere calcolata mediante un token o può essere ricevuta, ad esempio, su un dispositivo mobile.
In aggiunta e per completezza, si osserva, che l’azione compiuta da Mueller in relazione all’utilizzo delle credenziali di accesso al sistema della collega, in Italia, costituisce il reato di accesso abusivo a sistema informatico ai sensi dell’art. 615 ter del Codice Penale. Pertanto, seppur tra colleghi c’era stata la divulgazione consapevole della password di accesso, l’uso della stessa per finalità non concordate tra gli stessi rappresenta un reato di cui all’articolo de quo. Tale aspetto viene altresì sancito dalla Suprema Corte di Cassazione la quale, sancisce, che “(…) nel caso in esame la circostanza che la ricorrente fosse a conoscenza della password di accesso al sistema informatico non esclude il carattere abusivo dei due accessi da lei effettuati, in considerazione del risultato ottenuto – palesemente in contrasto con la volontà del titolare della casella elettronica (…)” (1).
- Rotazione interna tra dipartimenti e periodi di vacanza obbligatori
Le rotazioni interne di un dipendente tra i diversi dipartimenti aziendali e i periodi di vacanza obbligatori- da non confondersi con le chiusure aziendali- sono degli strumenti atti a interrompere una eventuale routine fraudolenta ed identificare eventuali gap o anomalie.
Con riferimento a caso Mueller, una sua eventuale rotazione interna avrebbe sicuramente generato un decremento dei pagamenti effettuati mediante assegni dalla Società e pertanto, sulla base di tale variazione (mese su mese), l’organizzazione poteva intraprendere delle iniziative atte ed identificare le motivazioni sottostati e quindi a scoprire la condotta fraudolenta.
- Formazione in ambito anti-frode
In aggiunta ai sopracitati strumenti di fraud prevention attiva, non bisogna mai dimenticare di sensibilizzare costantemente i dipendenti in materia di anti-frode mediante l’erogazione di corsi di formazione.
Tali corsi dovrebbero porsi, quale obbiettivo principale, non solo quello di illustrare gli strumenti di detection e prevention messi in campo dall’organizzazione ma al contempo far comprendere innanzitutto i danni che tali misconduct apportano all’organizzazione e di conseguenza anche ai dipendenti e successivamente, bisognerebbe far comprendere agli stessi l’importanza del loro ruolo come parte attiva nel processo di prevenzione e identificazione delle frodi.
In aggiunta a quanto riportato in termini di tecniche di fraud prevention, si osserva, che alla luce dell’impatto generato dalla pandemia e pertanto della conseguente crisi economica, tale aspetto sta assumendo un’importanza sempre più rilevante a livello globale tanto, che a febbraio 2021, Lisa Osofsky, direttrice del “Serious Fraud Office” inglese, ha sottolineato l’importanza per le aziende d’investire in sistemi di controllo e anti-frode per prevenire illeciti (2).
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) Sentenza della Suprema Corte di Cassazione V Sezione Penale, Sentenza 52572/2017 del 6 giungo 2017
(2) “U.K.’s Financial Crimes Agency Wants Companies to Invest in Compliance”; Dylan Tokar; The Wall Street Journal; 2021
