Le truffe informatiche BEC: strategie di protezione per individui e aziende

12 febbraio 2025

Le Business Email Compromise (BEC) rappresentano una delle minacce informatiche più sofisticate e dannose per aziende e privati. Queste truffe sfruttano tecniche di ingegneria sociale per compromettere account email e indurre le vittime a effettuare pagamenti fraudolenti. 

Un caso emblematico sottoposto alla mia attenzione ha coinvolto l’amministratore unico di una società a responsabilità limitata. Durante una transazione commerciale i truffatori, insinuatisi nella corrispondenza con il legittimo destinatario del pagamento ed - in risposta ad una mail della società con la quale veniva richiesto il codice IBAN per il pagamento della fattura inviata - ha fatto seguitouna email, apparentemente legittima, contenente le richieste coordinate bancarie. Senza sospetti, in quanto la mail era la medesima con la quale era intervenuta la precedente corrispondenza tra le parti, il legale rappresentante della società ha effettuato il bonifico, rendendosi conto solo in seguito della truffa. Nonostante la tempestiva denuncia, il recupero del denaro è stato complesso a causa della rapidità con cui i fondi sono stati immediatamente prelevati. Senza considerare che la società ha dovuto effettuare nuovamente il medesimo pagamento al legittimo destinatario, per adempiere alle obbligazioni contrattuali assunte ed evitare azioni legali. Oltre al danno, la beffa!

Stante la sofisticatezza di una siffatta tipologia di truffa, e l’assenza di alcun controllo a livello bancario poiché sin dal 2014 (l Regolamento UE 260/2012), l’istituto di credito non è obbligato a controllare la congruità tra l'IBAN fornito dal cliente e altri elementi identificativi della titolarità del conto, mi sento di dire che anche il soggetto più accorto sarebbe potuto incorrere in un simile raggiro; ragion per cui persone fisiche e giuridiche devono essere consapevoli delle minacce e adottare strumenti di protezione adeguati al fine di prevenire o quanto meno ridurre il rischio di tali “attacchi informatici”.

Senza alcuna presunzione di esaustività ed a mero titolo esemplificativo, per le persone fisiche, tra gli strumenti di protezione adeguati si possono annoverare: i) la doppia verifica delle coordinate di pagamento prima di effettuare un bonifico (conferma telefonica e a video delle coordinate bancarie)ii) autenticazione a due fattori (2FA), sugli account email per ridurre il rischio di compromissione, iii) prestare particolare attenzione ai segnali di phishing, controllando attentamente indirizzi email e anomalie nel linguaggio utilizzato, iv) utilizzo di software di sicurezza avanzati, mantenendo aggiornati antivirus e strumenti antiphishing.

Per le aziende e professionisti: i) formazione del personale addetto ai pagamenti, sensibilizzandotutti i dipendenti sulle tecniche di ingegneria sociale e su come riconoscere email sospette, ii) introduzione di best practice aziendali quali l’introduzione di procedure di doppia verifica per transazioni finanziarie (gli utenti che gestiscono informazioni sensibili dovrebbero applicare l’autenticazione a più fattori), iii) implementazione di soluzioni di sicurezza avanzate, quali ad esempio, l’utilizzo di filtri email basati su intelligenza artificiale per identificare attività sospette,introduzione di strumenti antiphishing, mantenimento di antivirus aggiornati iv) monitoraggio e audit regolari (sussistono servizi che monitorano la diffusione dei dati aziendali in contesti di rischio e mostrano l’esposizione al cyber risk dell’azienda, offrendo assistenza in caso di vulnerabilità informatiche. 

Per concludere, con il progresso della tecnologia, le truffe informatiche sono destinate ad aumentare esponenzialmente e a diventare sempre più sofisticate. Questi attacchi possono essere finanziariamente devastanti per le aziende, tanto che in un avviso di qualche tempo fa, il Federal Bureau of Investigation (FBI) aveva avvertito che la BEC sarebbe stata una grave minaccia per l’economia globale.

Ne deriva che al fine di ridurre il rischio di essere vittime di frodi informatiche, è fondamentale adottare misure di sicurezza adeguate e promuovere la consapevolezza sulle minacce digitali. Solo con l’adozione di strategie preventive e l’uso di strumenti tecnologici avanzati, è possibile contrastare efficacemente queste minacce.

Avv. Chiara Reali

 

 

Archivio news

 

News dello studio

mag15

15/05/2025

NIS2: The EUDV Service

The European Union Agency for Cybersecurity (ENISA) has developed the European Vulnerability Database - EUVD as provided for by the NIS2 Directive. The EUVD service, to be maintained by ENISA, is

mag14

14/05/2025

Infortuni sul lavoro e reato presupposto (Dlgs 231/2001)

  Con sentenza in data 21 marzo 2024 la Corte di appello di Palermo ha confermato la decisione del Tribunale di Sciacca che aveva riconosciuto A.A. colpevole del reato di lesioni colpose, aggravate

mag12

12/05/2025

Smart working, Garante privacy: no alla geolocalizzazione dei dipendenti

lL datore di lavoro non può geolocalizzare i dipendenti in smart working. Lo ha affermato il Garante privacy nel comminare una sanzione di 50mila euro ad un'Azienda che rilevava la posizione

News Giuridiche

mag19

19/05/2025

Doppio domicilio per il bambino ''conteso''? Il Garante dice no

Bigenitorialità: un ''abito'' su misura

mag19

19/05/2025

Il danno da demansionamento non è in re ipsa

È necessario individuare, anche in via

mag19

19/05/2025

Foto di un lifting sui social: l'Authority sanziona un chirurgo

Il Garante per la protezione dei dati personali