Fraudeurs hebben het gemunt op salarissen

Met openbare contactgegevens die makkelijk te vinden zijn op social media stuurt de fraudeur namens een medewerker een mail met daarin een ‘gewijzigd’ rekeningnummer aan de salarisadministrateur. Zonder de juiste checks and balances kan het zomaar gebeuren dat de volgende salarisbetaling in verkeerde handen valt. Vergezocht? Toch komt het steeds vaker voor.

Marcel de Dood, manager services van HR & Payroll Solutions bij Centric Netherlands kreeg het deze maand nog van meerdere klanten te horen. “Nadat ik een bericht hierover deelde op LinkedIn, reageerden meerdere salarisadministrateurs met soortgelijke voorvallen, ook van langer geleden. Het is dus een beproefde methode. Gezien de hoeveelheid recente meldingen, lijkt deze vorm van fraude nu aan populariteit te winnen.”

Preventie: awareness & authenticatie

Wat kun je daar als werkgever tegen doen? “Awarenessprogramma’s stellen medewerkers in staat om salarisfraude te herkennen”, legt De Dood uit. “Maar dan nog blijft het opletten: onlangs bleek bij Bol.com dat zelfs getrainde salarisprofessionals hier in een onbewaakt moment kunnen intuinen. Beter is het om een HRM-systeem te gebruiken waarin medewerkers zelf personele wijzigingen doorvoeren en dan uitsluitend via multifactorauthenticatie, als extra beveiligingslaag.”

Ook organisaties die nog niet beschikken over de laatste techniek kunnen preventief actie ondernemen. De Dood: “Bijvoorbeeld met heldere procedures, zoals de regel dat medewerkers bij een gewijzigd rekeningnummer áltijd persoonlijk gebeld moeten worden om het rekeningnummer te verifiëren.”

‘Dankzij oplettendheid hebben we verkeerde betalingen voorkomen’

Ook salarisadministrateur Ron Heij van Strukton Civiel zag fraudepogingen binnen zijn organisatie voorbijkomen: “In de afgelopen maanden hebben we meerdere frauduleuze mails ontvangen met het verzoek een rekeningnummer te wijzigen. Dankzij de oplettendheid van onze medewerkers hebben we verkeerde betalingen kunnen voorkomen.”

Zelfs als een verkeerd rekeningnummer is ingevoerd bij een medewerker, hoeft dat niet automatisch te leiden tot een verkeerde betaling. Veel banken voeren namelijk eerst een IBAN-Naam Check uit, een controle of naam en rekeningnummer wel bij elkaar horen.

IBAN-Naam Check: horen naam en rekeningnummer wel bij elkaar?

Dorine van Basten, commercieel directeur van SurePay, de bedenker en uitvoerder van de IBAN-Naam Check die voor diverse banken deze controle uitvoert, ziet criminelen hun tactiek daarop aanpassen: “Wat je nu ziet is dat fraudeurs een rekeningnummer opgeven van een kleinere bank die niet is aangesloten op de IBAN-Naam Check. Een betaling naar een dergelijke rekening kan dan niet worden geverifieerd. De meeste banken attenderen betalers als verificatie niet mogelijk is. Het is aan de betaler of die de betaling toch doorzet of eerst nader onderzoek doet.”

Organisaties die graag zeker zijn van geverifieerde betalingen kunnen de controle overigens ook zelf laten uitvoeren, via de IBAN-Naam Check voor Bedrijven van SurePay. Dorine: “Als bedrijf lever je daarvoor bestanden met IBAN's en namen aan, die SurePay vervolgens controleert. Door adressystemen te koppelen aan de API van SurePay, zijn nieuw ingevoerde contacten of gewijzigde bankrekeningnummers zo realtime te controleren.” Verschillende banken, gemeenten en andere organisaties maken al gebruik van deze in-house IBAN-Naam Check.

Tips om fraude te voorkomen

• Controleer het e-mailadres van de afzender
• Verifieer telefonisch of de medewerker inderdaad een nieuw rekeningnummer wil doorgeven
• Bied medewerkers HR-selfservice aan, zodat het wijzigen van een rekeningnummer alleen kan met de juiste authenticatie
• Implementeer de IBAN-Naam Check voor Organisaties
• Tot slot: doe altijd aangifte van fraudepogingen!