A fraude de desvio de salário é a prima, no processamento salarial, do desvio de faturas. Um atacante, fazendo-se passar por um colaborador, escreve aos RH ou ao processamento salarial para «atualizar a minha conta bancária». Os dados são alterados e, no dia de pagamento, o salário cai na conta do burlão. O colaborador só dá conta quando a sua remuneração não chega.
Porque o processamento salarial está exposto
As alterações de dados no processamento salarial chegam muitas vezes por e-mail e são tratadas sem uma verificação independente de que a nova conta pertence realmente ao colaborador. O IBAN é válido, o pedido parece de rotina, e a alteração mantém-se — até ao dia de pagamento.
Verifique a alteração, não apenas o ciclo
O momento de maior risco é uma alteração de dados. Verificar o nome do colaborador face ao novo IBAN nesse momento — e novamente antes do ciclo — apanha o desvio antes de o dinheiro se mover.
Uma rotina de verificação salarial
- 1 Verifique o nome do colaborador face ao IBAN sempre que dados bancários forem captados ou alterados.
- 2 Trate uma sem correspondência como uma paragem e confirme com o colaborador por um canal conhecido — não o e-mail que pede a alteração.
- 3 Antes de cada ciclo salarial, verifique o ficheiro em massa para que qualquer conta não correspondente seja sinalizada antes da libertação.
Fazê-lo à escala
Para além de um punhado de colaboradores, as verificações manuais não escalam. A Verification of Payee pode verificar cada linha de um ficheiro salarial via API antes da libertação, ou o pessoal pode fazer verificações pontuais a partir de um painel. A RoxPay oferece ambas, de modo que as equipas salariais e de RH coloquem uma verificação do nome à frente de cada pagamento de salário.