Scontrini falsi 2.0: perché i controlli manuali non bastano più contro l’AI

Il mondo delle trasferte aziendali e delle note spese si trova a dover fare i conti con una nuova generazione di frodi: ricevute e scontrini generati con l’intelligenza artificiale, talmente realistici da superare i tradizionali controlli manuali.

Il problema delle ricevute false esiste da tempo. Tuttavia, anche se riguarda una quota apparentemente ridotta di dipendenti, su larga scala può generare perdite significative. Nelle grandi organizzazioni, infatti, anche piccoli abusi possono trasformarsi in costi importanti. A questo si aggiungono conseguenze operative non trascurabili: i team di audit vengono sovraccaricati, l’amministrazione deve gestire più verifiche e contestazioni, i programmi aziendali di gestione delle trasferte perdono affidabilità e indagini condotte in modo improprio possono compromettere la fiducia dei dipendenti o esporre l’azienda a rischi legali.

«Grazie alla funzione di rilevamento delle ricevute generate dall’AI, circa l’1% delle ricevute esaminate è stato segnalato come potenzialmente creato con l’intelligenza artificiale, attraverso diversi generatori di immagini, tra cui ChatGPT, Gemini e Stable Diffusion», ha dichiarato Chris Juneau, Senior Vice President e Head of Product Marketing di SAP Concur. «L’intelligenza artificiale non sta aumentando la frequenza delle frodi nelle note spese, ma ne sta cambiando le modalità».

In altre parole, sono cambiati sia la convenienza sia il profilo di rischio delle frodi legate alle note spese. E poiché riconoscere le ricevute false generate dall’AI è sempre più difficile, il solo controllo manuale non è più sufficiente.

Come le ricevute generate dall’AI sfuggono ai controlli umani

I modelli di intelligenza artificiale generativa sono sempre più capaci di creare documenti visivamente credibili: loghi verosimili, caratteri coerenti, voci di spesa dettagliate, indicazione dell’IVA e totali che, a un primo controllo, appaiono corretti.

A rendere il fenomeno ancora più insidioso c’è la possibilità di modificare o eliminare i metadati, come dati EXIF, orari, date e informazioni di geolocalizzazione. In questo modo scompaiono molti dei segnali che, in passato, aiutavano a individuare una ricevuta sospetta.

A complicare ulteriormente il lavoro dei revisori ci sono poi la scalabilità e la varietà dei documenti prodotti: modelli diversi possono generare ricevute con stili differenti, rendendo molto più difficile riconoscere schemi ricorrenti o anomalie visive.

Il risultato è che queste ricevute, proprio perché appaiono realistiche e “normali”, abbassano il livello di attenzione di chi le controlla. E così le richieste di rimborso fraudolente rischiano di superare la revisione senza essere intercettate.

Analisi dei metadati e rilevamento tramite AI 

Con quasi il 70% delle note spese accompagnato da una ricevuta, il controllo manuale non basta più. Per questo le soluzioni più avanzate puntano su un approccio integrato, che combina analisi dei metadati e intelligenza artificiale.

• Analisi forense dei metadati: grazie al supporto di specialisti nell’analisi delle immagini, le piattaforme di audit possono individuare tracce e anomalie difficili da replicare in modo coerente da chi tenta la frode. Si tratta, ad esempio, di alterazioni nei dati EXIF o di impronte lasciate dal processo di generazione dell’immagine, segnali che possono rivelare la possibile origine artificiale della ricevuta.
• Rilevamento tramite intelligenza artificiale: i modelli addestrati su ampi archivi di ricevute, inclusi documenti già confermati come generati dall’AI, possono assegnare un punteggio di rischio alle immagini e segnalare quelle sospette. Il riaddestramento continuo dei modelli, insieme ai dati forniti da partner specializzati, consente ai sistemi di rilevamento di restare aggiornati anche quando cambiano le tecniche di falsificazione.

Usati insieme, questi strumenti permettono di superare i limiti della revisione manuale, riducono il rischio che le ricevute false sfuggano ai controlli e aiutano i revisori a concentrarsi sui casi più delicati. Il punto centrale è proprio questo: mentre le tecniche per creare ricevute false con l’AI diventano più sofisticate, anche gli strumenti per individuarle possono evolvere di pari passo.

Le funzioni amministrazione, travel e compliance si stanno già adeguando: rafforzano le regole per la presentazione delle note spese, rendono obbligatorie le ricevute elettroniche e integrano strumenti automatizzati nei processi di verifica e applicazione delle policy aziendali.

Il dato di fondo è chiaro: le ricevute generate dall’intelligenza artificiale sono una minaccia in crescita, difficile da riconoscere e capace di cambiare il modo in cui si valutano i rischi di frode nelle note spese. La risposta non può essere semplicemente aumentare i controlli manuali, ma adottare difese più intelligenti e basate sui dati: analisi dei metadati, modelli di machine learning, processi di verifica trasparenti e una maggiore collaborazione tra aziende, fornitori e operatori del settore.

Per chi gestisce i rischi legati a trasferte e note spese, è il momento di rivedere le policy interne, confrontarsi con il proprio fornitore T&E e integrare strumenti di rilevamento direttamente nel processo di gestione delle spese, prima che il fenomeno cresca ulteriormente.

Domande frequenti

1. Cosa sono le ricevute generate dall’intelligenza artificiale?

Sono immagini o PDF creati con modelli di AI generativa, come ChatGPT, Gemini o Stable Diffusion, che riproducono l’aspetto di una ricevuta reale: loghi, voci di spesa, IVA, totali e altri dettagli visivi pensati per renderle credibili.

2. Come fanno a superare i controlli manuali?

I modelli di AI generativa riescono ormai a creare documenti molto realistici e possono modificare o rimuovere i metadati, eliminando molti dei segnali d’allarme usati nei controlli tradizionali. Inoltre, possono imitare ricevute di tipo diverso, rendendo più difficile individuare schemi ricorrenti. Su grandi volumi, quindi, la sola verifica manuale non è più sufficiente.

3. Come si possono individuare le ricevute false in modo efficace?

Le difese più efficaci combinano l'analisi forense dei metadati e sistemi di rilevamento basati sul machine learning. L’analisi dei metadati permette di cercare anomalie nei dati EXIF e tracce lasciate dal processo di generazione dell’immagine; i modelli di machine learning, addestrati su grandi archivi di ricevute reali e generate dall’AI, assegnano invece un punteggio di rischio ai documenti sospetti. Il riaddestramento continuo dei modelli e le informazioni provenienti da partner specializzati aiutano a mantenere aggiornati i sistemi di rilevamento.

4. Quali misure concrete dovrebbero adottare le aziende?

Le aziende dovrebbero rafforzare le regole per la presentazione delle note spese, ad esempio richiedendo ricevute elettroniche quando possibile, e integrare strumenti automatici di rilevamento nei processi di gestione delle spese. Dovrebbero inoltre dare priorità alle richieste più sospette, rivedere le policy T&E, formare il personale sui nuovi schemi di frode e collaborare con fornitori in grado di aggiornare costantemente modelli e informazioni di rilevamento.

5. Come si possono conciliare controlli più rigorosi, fiducia dei dipendenti e carico operativo?

Serve un approccio basato sul rischio: i sistemi automatici dovrebbero ridurre il lavoro manuale, segnalando ai revisori solo le richieste con un profilo di rischio più alto. Allo stesso tempo, regole chiare e una comunicazione trasparente aiutano a spiegare perché una ricevuta viene sottoposta a verifica, tutelando il rapporto di fiducia con i dipendenti. È importante documentare le decisioni, seguire processi di verifica corretti e offrire ai dipendenti la possibilità di fornire facilmente chiarimenti o integrazioni.