Le truffe informatiche BEC: strategie di protezione per individui e aziende

12 febbraio 2025

Le Business Email Compromise (BEC) rappresentano una delle minacce informatiche più sofisticate e dannose per aziende e privati. Queste truffe sfruttano tecniche di ingegneria sociale per compromettere account email e indurre le vittime a effettuare pagamenti fraudolenti. 

Un caso emblematico sottoposto alla mia attenzione ha coinvolto l’amministratore unico di una società a responsabilità limitata. Durante una transazione commerciale i truffatori, insinuatisi nella corrispondenza con il legittimo destinatario del pagamento ed - in risposta ad una mail della società con la quale veniva richiesto il codice IBAN per il pagamento della fattura inviata - ha fatto seguitouna email, apparentemente legittima, contenente le richieste coordinate bancarie. Senza sospetti, in quanto la mail era la medesima con la quale era intervenuta la precedente corrispondenza tra le parti, il legale rappresentante della società ha effettuato il bonifico, rendendosi conto solo in seguito della truffa. Nonostante la tempestiva denuncia, il recupero del denaro è stato complesso a causa della rapidità con cui i fondi sono stati immediatamente prelevati. Senza considerare che la società ha dovuto effettuare nuovamente il medesimo pagamento al legittimo destinatario, per adempiere alle obbligazioni contrattuali assunte ed evitare azioni legali. Oltre al danno, la beffa!

Stante la sofisticatezza di una siffatta tipologia di truffa, e l’assenza di alcun controllo a livello bancario poiché sin dal 2014 (l Regolamento UE 260/2012), l’istituto di credito non è obbligato a controllare la congruità tra l'IBAN fornito dal cliente e altri elementi identificativi della titolarità del conto, mi sento di dire che anche il soggetto più accorto sarebbe potuto incorrere in un simile raggiro; ragion per cui persone fisiche e giuridiche devono essere consapevoli delle minacce e adottare strumenti di protezione adeguati al fine di prevenire o quanto meno ridurre il rischio di tali “attacchi informatici”.

Senza alcuna presunzione di esaustività ed a mero titolo esemplificativo, per le persone fisiche, tra gli strumenti di protezione adeguati si possono annoverare: i) la doppia verifica delle coordinate di pagamento prima di effettuare un bonifico (conferma telefonica e a video delle coordinate bancarie)ii) autenticazione a due fattori (2FA), sugli account email per ridurre il rischio di compromissione, iii) prestare particolare attenzione ai segnali di phishing, controllando attentamente indirizzi email e anomalie nel linguaggio utilizzato, iv) utilizzo di software di sicurezza avanzati, mantenendo aggiornati antivirus e strumenti antiphishing.

Per le aziende e professionisti: i) formazione del personale addetto ai pagamenti, sensibilizzandotutti i dipendenti sulle tecniche di ingegneria sociale e su come riconoscere email sospette, ii) introduzione di best practice aziendali quali l’introduzione di procedure di doppia verifica per transazioni finanziarie (gli utenti che gestiscono informazioni sensibili dovrebbero applicare l’autenticazione a più fattori), iii) implementazione di soluzioni di sicurezza avanzate, quali ad esempio, l’utilizzo di filtri email basati su intelligenza artificiale per identificare attività sospette,introduzione di strumenti antiphishing, mantenimento di antivirus aggiornati iv) monitoraggio e audit regolari (sussistono servizi che monitorano la diffusione dei dati aziendali in contesti di rischio e mostrano l’esposizione al cyber risk dell’azienda, offrendo assistenza in caso di vulnerabilità informatiche. 

Per concludere, con il progresso della tecnologia, le truffe informatiche sono destinate ad aumentare esponenzialmente e a diventare sempre più sofisticate. Questi attacchi possono essere finanziariamente devastanti per le aziende, tanto che in un avviso di qualche tempo fa, il Federal Bureau of Investigation (FBI) aveva avvertito che la BEC sarebbe stata una grave minaccia per l’economia globale.

Ne deriva che al fine di ridurre il rischio di essere vittime di frodi informatiche, è fondamentale adottare misure di sicurezza adeguate e promuovere la consapevolezza sulle minacce digitali. Solo con l’adozione di strategie preventive e l’uso di strumenti tecnologici avanzati, è possibile contrastare efficacemente queste minacce.

Avv. Chiara Reali

 

 

Archivio news

 

News dello studio

apr15

15/04/2025

Prolonged inaction by Italian State on widespread dumping put Terra dei Fuochi residents’ lives at risk

On January 30, 2025, the European Court of Human Rights issued its  judgment1 in the case of Cannavacciuolo and Others v. Italy (applications nos. 51567/14 and three others) stating that

apr15

15/04/2025

Identificazione e analisi dei mercati della terminazione delle chiamate vocali su rete mobile

La delibera 77/25/cons conclude il procedimento istruttorio concernente il VI ciclo di analisi dei mercati dei servizi di terminazione delle chiamate vocali su rete mobile, avviato con delibera n. 46/24/CONS.

apr15

15/04/2025

Approvazione dell’istanza di revisione del Listino dei servizi di accesso all’ingrosso forniti tramite le nuove infrastrutture mobili di cui al Piano Italia 5G dal Raggruppamento Temporaneo di Imprese (costituito da Infrastrutture Wireless Italiane S.p.A.

Con la delibera n. 78/25/CONS, Agcom ha approvato, ai sensi delle delibere n. 67/22/CONS e n. 26/23/CONS e sulla base dei criteri di equità e ragionevolezza, nel rispetto di quanto indicato nei

News Giuridiche

apr29

29/04/2025

Leasing e compravendita: una sentenza che cambia le regole del gioco

Il caso, le clausola arbitrale, la clausola

apr29

29/04/2025

Il danno da perdita del Superbonus 110 per inadempimento dell’appaltatore

L’onere di allegazione e probatorio a carico

apr29

29/04/2025

Sinistri stradali e responsabilità sanitaria: linee guida per una valutazione uniforme del danno

Le buone pratiche in ambito medico-legale