La frode sui pagamenti aziendali non colpisce più soltanto l’infrastruttura bancaria o il singolo momento in cui un bonifico viene autorizzato, ma si inserisce molto prima nel ciclo amministrativo, là dove vengono raccolti, aggiornati e validati i dati dei beneficiari. Il punto debole è sempre più spesso l’identità di pagamento: un fornitore apparentemente legittimo, un IBAN modificato in una fattura autentica, una richiesta di aggiornamento delle coordinate bancarie, un’anagrafica inserita correttamente dal punto di vista formale ma sbagliata nella sostanza. È su questa zona intermedia tra procurement, contabilità, master data management e tesoreria che Sis ID costruisce la propria proposta tecnologica, portando in Italia una piattaforma progettata per verificare in modo preventivo l’affidabilità dei beneficiari prima che un pagamento venga autorizzato.
Nata in Francia nel 2016 su iniziativa di tredici direttori finanziari e tesorieri del CAC 40, Sis ID si è sviluppata come piattaforma collaborativa per la prevenzione delle frodi sui bonifici. La svolta è arrivata nel 2025 con l’ingresso nel gruppo australiano Eftsure, società specializzata nella protezione dei pagamenti B2B e nella validazione dei fornitori, particolarmente radicata nei mercati australiano, neozelandese e statunitense. L’operazione ha dato vita a un’organizzazione che riunisce circa 460 specialisti distribuiti tra Europa, Stati Uniti e Australia e che punta a costruire una piattaforma globale per la sicurezza dei pagamenti aziendali. La complementarità tra le due realtà è soprattutto tecnologica e geografica: Eftsure porta in dote una forte presenza nei mercati anglosassoni e competenze nella supplier verification, mentre Sis ID contribuisce con la propria infrastruttura di verifica delle coordinate bancarie, il modello basato sulla community intelligence e le tecnologie sviluppate attorno alla verifica dei beneficiari.
La frode si è spostata sulla manipolazione dei dati
Il cambiamento più rilevante riguarda il modo in cui i criminali costruiscono l’attacco. La compromissione del pagamento non passa necessariamente da una violazione tecnica della banca, ma dalla manipolazione delle informazioni che l’azienda utilizza per decidere a chi pagare. Un caso tipico è quello del falso fornitore: la casella email di un partner viene compromessa, la comunicazione resta credibile perché arriva da un interlocutore reale, ma l’IBAN inserito nella fattura o nella richiesta di modifica delle coordinate bancarie viene sostituito con un conto controllato dai criminali.
Il meccanismo è particolarmente insidioso perché il pagamento, dal punto di vista procedurale, può apparire del tutto regolare. L’ordine esiste, il fornitore è noto, la fattura è coerente, la conversazione email sembra autentica e il dipendente non ha elementi immediati per riconoscere l’anomalia. L’intelligenza artificiale generativa rende questo schema ancora più efficace, perché consente di produrre messaggi privi di errori linguistici, coerenti con il tono dell’organizzazione e adattati al contesto della relazione commerciale.
Come osserva Anna Ongaro, Country Manager Italia di Sis ID, “oggi non parliamo più soltanto di email contraffatte riconoscibili da una lettera sbagliata nel dominio: parliamo di furto completo dell’identità dell’interlocutore, che per i team interni può essere un fornitore, un dipendente, un cliente o il CEO”.
La disponibilità di strumenti criminali acquistabili sul dark web ha ulteriormente industrializzato il fenomeno. Documenti di identità, account LinkedIn, pannelli di phishing, sistemi di spoofing, pagine di scam e servizi collegati al riciclaggio vengono commercializzati con logiche sempre più simili a quelle dei servizi digitali tradizionali. La fraud as a service riduce la barriera d’ingresso per gli attaccanti e consente campagne massive, nelle quali grandi gruppi e PMI vengono colpiti con logiche differenti ma con un obiettivo identico: ottenere un trasferimento di denaro verso coordinate bancarie controllate da terzi.
Perché validare solo l’IBAN non basta
Il presupposto tecnologico della piattaforma Sis ID è che un controllo limitato alla validità formale dell’IBAN non sia sufficiente. Un conto può esistere, appartenere a una banca reale e superare verifiche sintattiche, ma non avere alcuna relazione legittima con il beneficiario che l’azienda intende pagare. Il problema, quindi, non è soltanto stabilire se le coordinate bancarie siano tecnicamente corrette, ma verificare se quella specifica coppia azienda-IBAN sia affidabile, storicamente coerente e priva di segnali di anomalia.
La piattaforma restituisce un punteggio operativo pensato per essere usato dai team finanziari senza trasformare ogni pagamento in un’indagine manuale. Il risultato può essere verde, quando le coordinate risultano affidabili; rosso, quando il sistema rileva un rischio di frode o errore; arancione, quando il dato non è sufficientemente verificabile e richiede un processo di accreditamento aggiuntivo. L’obiettivo è generare una risposta binaria e utilizzabile nei flussi aziendali, lasciando alle procedure manuali solo i casi in cui l’automazione non dispone di evidenze sufficienti.
Sis ID dichiara che circa il 90% degli score viene prodotto automaticamente, senza intervento umano. Questo punto è importante perché distingue il modello da approcci basati su verifiche manuali, telefonate al fornitore, microdepositi o controlli bancari puntuali, che possono funzionare su volumi ridotti ma diventano poco sostenibili quando un’organizzazione gestisce centinaia o migliaia di pagamenti, modifiche anagrafiche e onboarding di fornitori. Nei processi manuali, inoltre, l’errore operativo resta una variabile rilevante: una coordinata inserita male in anagrafica può propagarsi fino al pagamento e produrre una perdita anche in assenza di frode.
Il motore di verifica combina fonti legali, bancarie, storiche e comunitarie
Il funzionamento della piattaforma si basa sull’aggregazione di più livelli informativi. Il primo livello riguarda le fonti legali e istituzionali, utilizzate per confermare l’esistenza dell’impresa, la sua identità giuridica e gli identificativi ufficiali disponibili nei diversi Paesi. Il secondo livello comprende le fonti bancarie, che permettono di verificare le coordinate di pagamento e, dove disponibile, la relazione con l’istituto finanziario. Il terzo livello è costituito dai dati condivisi dalla community, cioè dalle informazioni derivate dalle verifiche e dalle transazioni già processate dagli utenti della piattaforma. Il quarto livello è rappresentato dal servizio di accreditamento, che interviene quando il sistema non può produrre una risposta automatica sufficientemente affidabile.
Questa architettura multilivello consente di superare la logica del database unico. La piattaforma non interroga semplicemente un archivio di IBAN, ma costruisce una valutazione incrociando identità societaria, coordinate bancarie, storico delle relazioni di pagamento, dati provenienti da registri locali e segnali generati dalla comunità.
In Italia, per esempio, la verifica può fare leva su identificativi come partita IVA e codice fiscale; negli Stati Uniti su identificativi come l’EIN; in altri Paesi su equivalenti locali. La scelta di utilizzare identificativi univoci è centrale perché riduce l’ambiguità generata dalle sole denominazioni sociali, spesso registrate in modi differenti nei sistemi delle aziende e delle banche.
Il risultato di questa aggregazione è una sorta di single source of truth dei dati di pagamento, pensata per essere richiamata dai sistemi aziendali quando un beneficiario viene creato, modificato, pagato o sottoposto a revisione. La logica non è bloccare un singolo bonifico sospetto all’ultimo secondo, ma mantenere aggiornato nel tempo il livello di fiducia associato a ciascun soggetto pagabile.
La community intelligence trasforma ogni verifica in un segnale per la rete
Il tratto più distintivo del modello Sis ID è la componente collaborativa. La piattaforma utilizza una community che supera le 5.000 organizzazioni partecipanti e una base informativa alimentata da oltre 100 milioni di transazioni verificate. Ogni organizzazione contribuisce, su base volontaria, con dati anonimizzati e cifrati, che alimentano un patrimonio comune senza esporre informazioni sensibili in forma leggibile agli altri membri.
Il principio è simile a quello della threat intelligence nel mondo cybersecurity. Se un’organizzazione intercetta un indicatore di compromissione, quell’informazione può diventare utile per proteggere altre organizzazioni prima che vengano colpite. Nel caso dei pagamenti, l’indicatore non è un hash malevolo o un indirizzo IP sospetto, ma un IBAN, una relazione anomala tra beneficiario e conto, una variazione improvvisa o un comportamento incoerente rispetto alla storia osservata nella rete.
La crescita di questa base informativa ha ricevuto un’accelerazione significativa nel 2025 con l’integrazione in Eftsure. L’unione delle due piattaforme consente oggi di combinare informazioni raccolte in Europa, Stati Uniti, Australia e Nuova Zelanda, ampliando sia la copertura geografica sia il numero di relazioni di pagamento osservabili. Per Sis ID, la capacità di identificare anomalie dipende infatti dalla quantità e dalla varietà dei dati disponibili: più ampia è la rete, maggiore è la probabilità di individuare comportamenti sospetti prima che si traducano in una frode effettiva.
Ongaro sintetizza così il valore del modello: “All’interno della nostra community i clienti si scambiano, attraverso la piattaforma, feedback sull’affidabilità di un beneficiario da pagare”. La forza della rete sta nella capacità di vedere ciò che la singola azienda non può vedere da sola. Un fornitore che modifica le coordinate bancarie presso un solo cliente può sembrare un caso isolato; lo stesso cambiamento, osservato in relazione a più soggetti, Paesi o comportamenti di pagamento, può invece diventare un segnale di rischio. Per questo, aggiunge Ongaro, “molto spesso riusciamo a identificare casi di frode molto prima degli attori istituzionali”.
In undici anni la piattaforma ha bloccato circa 7.900 frodi e oggi gestisce circa 2 milioni di verifiche al mese. La scala è parte integrante del modello tecnologico, perché più ampia è la superficie osservata, maggiore è la probabilità di riconoscere pattern anomali prima che il pagamento venga eseguito.
Dal procurement alla tesoreria, il controllo entra nel ciclo Purchase-to-Pay
La piattaforma non è pensata per essere usata solo dalla tesoreria nel momento finale del pagamento. Il controllo può essere distribuito lungo l’intero processo Purchase-to-Pay, coinvolgendo procurement, accounting, gestione delle anagrafiche fornitori e treasury.
Durante l’onboarding, il sistema può verificare che il nuovo fornitore esista, che gli identificativi societari siano coerenti e che le coordinate bancarie siano associate al soggetto corretto. Quando un fornitore chiede di modificare l’IBAN, la piattaforma può confrontare il nuovo dato con la storia precedente e con i segnali disponibili nella community. Nella preparazione dei pagamenti può verificare massivamente le righe da autorizzare, mentre prima dell’esecuzione del bonifico può produrre un ultimo controllo sullo stato del beneficiario.
L’integrazione applicativa è quindi un elemento centrale. Sis ID può essere utilizzata come soluzione SaaS o integrata via API negli strumenti aziendali, con oltre 30 connettori verso ambienti gestionali e finanziari. La piattaforma può dialogare con ERP, TMS, sistemi di procurement e applicazioni di gestione delle anagrafiche, trasformando la verifica dei dati di pagamento in un controllo continuo e non in una procedura separata.
Il modello commerciale riflette questa impostazione tecnica. La tariffazione non è costruita sul numero di controlli eseguiti, ma sul numero di beneficiari attivi da verificare in un periodo di dodici mesi. Questa scelta consente alle aziende di moltiplicare i controlli senza disincentivi economici legati alla singola interrogazione. Ongaro cita il caso del gruppo francese Grands Frais, che ha parametrizzato controlli automatici su SAP e riesamina l’intera anagrafica fornitori due volte al giorno: quando un beneficiario che era verde diventa rosso, il sistema genera un alert e il team può intervenire prima che il rischio arrivi alla fase di pagamento.
Verification of Payee, cosa prevede la normativa europea e perché Sis ID ne critica l’implementazione
L’entrata in vigore del regolamento europeo sui bonifici istantanei SEPA ha introdotto un nuovo obbligo per banche e prestatori di servizi di pagamento: il Verification of Payee (VoP), o verifica del beneficiario. La misura, diventata operativa a partire dal 9 ottobre 2025 per una prima parte degli operatori europei, nasce con l’obiettivo di ridurre errori e frodi nei bonifici verificando che il nome del beneficiario inserito dall’ordinante sia coerente con il titolare dell’IBAN indicato.
Sis ID considera la misura un passo nella giusta direzione, ma ritiene che l’attuale implementazione presenti alcune criticità per le aziende. Il controllo viene infatti effettuato sulla denominazione del beneficiario e non su identificativi univoci come partita IVA, codice fiscale o equivalenti internazionali. In ambito corporate questo può generare un numero elevato di corrispondenze parziali, poiché una stessa impresa può essere registrata in modo diverso nei sistemi ERP, presso la banca ordinante e presso la banca del beneficiario.
“L’idea è molto interessante perché punta a rendere più sicuri i bonifici istantanei”, osserva Anna Ongaro. “Il problema emerge quando si gestiscono grandi volumi di pagamenti: piccole differenze nella ragione sociale possono produrre un numero significativo di casi da verificare manualmente. Utilizzando identificativi univoci si potrebbero raggiungere livelli di automazione molto più elevati”.
Secondo Sis ID, in alcuni contesti aziendali i casi classificati come close match o no match possono arrivare a rappresentare oltre la metà delle verifiche effettuate. Per questo la società ha sviluppato VoP Suite, una piattaforma che integra il controllo del beneficiario con ulteriori fonti informative, tra cui registri societari, dati bancari, storico delle transazioni e informazioni provenienti dalla propria community internazionale.
La verifica anticipata riduce il rischio prima dell’ordine di pagamento
Un altro elemento che distingue l’approccio di Sis ID dal VoP bancario tradizionale è il momento in cui viene eseguito il controllo. Il Verification of Payee interviene tipicamente all’iniziazione del pagamento, cioè quando il bonifico sta per essere disposto. Per molte aziende questo è troppo tardi, perché a quel punto il pagamento è già stato preparato, approvato internamente e inserito nei flussi finanziari.
La verifica preventiva consente invece di spostare il controllo a monte, nella fase di onboarding del beneficiario o di manutenzione dell’anagrafica. Un’anomalia può essere individuata quando il dato entra nel sistema, non quando il pagamento è pronto per uscire. Questa differenza è particolarmente rilevante nelle organizzazioni che gestiscono grandi volumi, perché riduce il numero di eccezioni da trattare all’ultimo momento e consente di mantenere un master data più affidabile.
La piattaforma può inoltre utilizzare anche i dati VoP come una delle fonti informative disponibili, ma li inserisce in un processo più esteso. Il valore non è soltanto sapere se il nome del beneficiario corrisponde all’IBAN al momento del pagamento, ma disporre di un profilo continuamente aggiornato che accompagna il beneficiario lungo tutto il ciclo amministrativo.
La copertura internazionale serve alle imprese medie, non solo ai grandi gruppi
La dimensione globale della piattaforma non risponde soltanto alle esigenze delle multinazionali. La frode sui pagamenti segue le catene commerciali e non la dimensione dell’azienda. Molte imprese italiane di medie dimensioni operano con fornitori, clienti e banche in più Paesi, pur non disponendo delle strutture di controllo tipiche dei grandi gruppi. Per questo Sis ID insiste sulla copertura internazionale come elemento funzionale alla prevenzione.
La soluzione consente verifiche in 211 Paesi, copre oltre 500 milioni di entità giuridiche e dispone di collegamenti diretti con più di 50 sistemi bancari nazionali. L’integrazione con Eftsure amplia ulteriormente la portata del gruppo, rafforzando la presenza in Australia, Nuova Zelanda, Stati Uniti ed Europa. L’obiettivo è costruire un’infrastruttura capace di seguire la natura transnazionale della frode, che spesso utilizza conti aperti in un Paese, passaggi intermedi in altri mercati e dispersione finale dei fondi verso giurisdizioni più difficili da presidiare.
Il mercato italiano viene considerato maturo per questo tipo di approccio perché l’attenzione alla sicurezza dei pagamenti è cresciuta rapidamente. Sis ID collabora già con realtà come ASTM, Fincantieri, BNL e Bridgestone e ha sviluppato partnership con operatori specializzati nella tesoreria e nella pianificazione finanziaria, tra cui Piteco, BNP Paribas, Esker e Kyriba. La società dispone di un team italiano dedicato di quattro persone e punta a consolidare la presenza locale anche attraverso attività con partner e clienti.
La garanzia fino a un milione di dollari cambia il rapporto con il rischio
Un elemento particolarmente rilevante dal punto di vista operativo è la garanzia finanziaria associata alla piattaforma. Sis ID sostiene di essere l’unico player globale in grado di offrire ai clienti una copertura automatica fino a un milione di dollari in caso di perdita collegata a una frode non intercettata. In passato la copertura era supportata da Allianz Trade; nella nuova organizzazione del gruppo è affidata a un altro operatore assicurativo internazionale di dimensioni comparabili.
L’aspetto non va letto soltanto come benefit commerciale. Per poter sostenere una garanzia di questo tipo, la piattaforma deve mantenere standard elevati di qualità dei dati, tracciabilità delle decisioni, sicurezza dei processi e robustezza delle procedure di verifica. In altre parole, la garanzia trasferisce parzialmente il rischio decisionale dalle funzioni interne del cliente al fornitore della soluzione, ma richiede che il motore di scoring e i processi di accreditamento siano sufficientemente rigorosi da rendere sostenibile l’assunzione di quel rischio.
Per i team di tesoreria e amministrazione questo punto è significativo perché tocca il tema della responsabilità personale e organizzativa. Chi autorizza quotidianamente pagamenti per importi elevati si trova spesso a gestire un rischio asimmetrico: la percentuale di frodi può essere bassa, ma l’impatto economico e reputazionale di un singolo errore può essere enorme. Una piattaforma che combina scoring, auditabilità, community intelligence e garanzia finanziaria prova a trasformare questo rischio da responsabilità individuale a processo governato.
L’estensione alle persone fisiche amplia il perimetro della fiducia
La roadmap non si ferma alla verifica delle persone giuridiche. Sis ID sta estendendo in Europa le proprie funzionalità anche alle persone fisiche, con l’obiettivo di supportare casi d’uso legati a freelance, prestatori indipendenti, lavoratori autonomi, clienti con addebito diretto, leasing e altre categorie di terzi non riconducibili a un’impresa tradizionale.
L’evoluzione risponde a una trasformazione dei processi amministrativi e finanziari, nei quali le aziende gestiscono un numero crescente di soggetti ibridi: consulenti, professionisti esterni, collaboratori, piccoli operatori economici e persone fisiche pagate o incassate con modalità ricorrenti. Anche questi profili possono essere esposti a furto d’identità, falsificazione documentale o sostituzione delle coordinate bancarie. Estendere la verifica oltre le sole società significa quindi trasformare la piattaforma in un sistema più ampio di gestione della fiducia sui terzi.
Dalla prevenzione della frode alla governance dei dati di pagamento
La traiettoria di Sis ID indica una trasformazione più ampia nel modo in cui le aziende dovranno gestire la sicurezza dei pagamenti. La prevenzione della frode non può essere separata dalla qualità del dato, dall’integrazione applicativa e dalla capacità di condividere segnali di rischio tra organizzazioni. In questo senso la piattaforma si posiziona all’incrocio tra fintech, cybersecurity, master data governance e automazione finanziaria.
L’integrazione con Eftsure rafforza questa impostazione, portando in un’unica organizzazione competenze sviluppate in mercati diversi e una copertura internazionale più estesa. “In dieci anni abbiamo trasformato la frode finanziaria da una minaccia subita passivamente a un rischio gestito in modo proattivo”, afferma Patrice Bouexel, General Manager Europe di Sis ID. “Sis ID non è solo uno strumento: è una rete di fiducia costruita azienda dopo azienda, Paese dopo Paese. La fusione con Eftsure ci dà i mezzi per portare questa protezione su scala globale, là dove i truffatori operano già”.
La differenza rispetto a un controllo puntuale dell’IBAN sta tutta qui. Sis ID non propone soltanto una verifica bancaria, ma un modello nel quale ogni dato di pagamento viene osservato, correlato, aggiornato e confrontato con una memoria collettiva. In un ambiente in cui l’intelligenza artificiale rende più credibili le identità false e più veloci le campagne di frode, la difesa non può dipendere solo dall’attenzione dell’operatore o dalla verifica dell’ultimo minuto. Deve diventare un processo continuo, distribuito lungo tutta la catena P2P e alimentato da dati condivisi su scala globale.
