Os esquemas empresariais mais danosos não são intrusões técnicas. Na fraude do CEO, um atacante faz-se passar por um dirigente e pressiona o financeiro para uma transferência «urgente e confidencial». No esquema da fatura falsa de fornecedor (business email compromise), interceta ou falsifica uma fatura real e altera apenas os dados bancários. O pagamento que a empresa faz é o que pretendia fazer — para a conta errada.
Porque os controlos existentes a falham
A conferência com a encomenda confirma a mercadoria e o montante. Um segundo aprovador confirma que o pagamento deve ocorrer. Nenhum verifica quem possui a conta de destino. O IBAN é válido, a fatura parece real, a aprovação é genuína — então o dinheiro vai para o burlão.
A troca é sempre a conta
Quer seja fraude do CEO ou uma fatura adulterada, a constante é um IBAN alterado que não pertence ao verdadeiro beneficiário. É exatamente a discrepância que a Verification of Payee foi feita para revelar.
Como a VoP quebra o esquema
A Verification of Payee verifica o nome do beneficiário face ao IBAN no momento do pagamento e mostra o resultado antes da autorização. Um fornecedor genuíno devolve uma correspondência; um IBAN trocado devolve uma sem correspondência, porque a conta do burlão não está em nome do fornecedor. Esse sinal único e bem cronometrado interrompe o esquema enquanto o dinheiro ainda é seu.
- 1 Verifique o nome do beneficiário face ao IBAN antes de libertar quaisquer dados bancários novos ou alterados.
- 2 Trate uma sem correspondência como uma paragem firme e confirme através de um número de telefone conhecido — nunca os contactos da fatura suspeita.
- 3 Reverifique no momento do pagamento, não apenas no onboarding, para apanhar trocas a meio do ciclo.
A RoxPay entrega esta verificação via API e o painel RoxBusiness, de modo que as equipas financeiras possam colocar uma verificação do nome do beneficiário à frente de cada pagamento empresarial e travar o desvio de faturas e a fraude do CEO.