Le truffe informatiche BEC: strategie di protezione per individui e aziende

12 febbraio 2025

Le Business Email Compromise (BEC) rappresentano una delle minacce informatiche più sofisticate e dannose per aziende e privati. Queste truffe sfruttano tecniche di ingegneria sociale per compromettere account email e indurre le vittime a effettuare pagamenti fraudolenti. 

Un caso emblematico sottoposto alla mia attenzione ha coinvolto l’amministratore unico di una società a responsabilità limitata. Durante una transazione commerciale i truffatori, insinuatisi nella corrispondenza con il legittimo destinatario del pagamento ed - in risposta ad una mail della società con la quale veniva richiesto il codice IBAN per il pagamento della fattura inviata - ha fatto seguitouna email, apparentemente legittima, contenente le richieste coordinate bancarie. Senza sospetti, in quanto la mail era la medesima con la quale era intervenuta la precedente corrispondenza tra le parti, il legale rappresentante della società ha effettuato il bonifico, rendendosi conto solo in seguito della truffa. Nonostante la tempestiva denuncia, il recupero del denaro è stato complesso a causa della rapidità con cui i fondi sono stati immediatamente prelevati. Senza considerare che la società ha dovuto effettuare nuovamente il medesimo pagamento al legittimo destinatario, per adempiere alle obbligazioni contrattuali assunte ed evitare azioni legali. Oltre al danno, la beffa!

Stante la sofisticatezza di una siffatta tipologia di truffa, e l’assenza di alcun controllo a livello bancario poiché sin dal 2014 (l Regolamento UE 260/2012), l’istituto di credito non è obbligato a controllare la congruità tra l'IBAN fornito dal cliente e altri elementi identificativi della titolarità del conto, mi sento di dire che anche il soggetto più accorto sarebbe potuto incorrere in un simile raggiro; ragion per cui persone fisiche e giuridiche devono essere consapevoli delle minacce e adottare strumenti di protezione adeguati al fine di prevenire o quanto meno ridurre il rischio di tali “attacchi informatici”.

Senza alcuna presunzione di esaustività ed a mero titolo esemplificativo, per le persone fisiche, tra gli strumenti di protezione adeguati si possono annoverare: i) la doppia verifica delle coordinate di pagamento prima di effettuare un bonifico (conferma telefonica e a video delle coordinate bancarie)ii) autenticazione a due fattori (2FA), sugli account email per ridurre il rischio di compromissione, iii) prestare particolare attenzione ai segnali di phishing, controllando attentamente indirizzi email e anomalie nel linguaggio utilizzato, iv) utilizzo di software di sicurezza avanzati, mantenendo aggiornati antivirus e strumenti antiphishing.

Per le aziende e professionisti: i) formazione del personale addetto ai pagamenti, sensibilizzandotutti i dipendenti sulle tecniche di ingegneria sociale e su come riconoscere email sospette, ii) introduzione di best practice aziendali quali l’introduzione di procedure di doppia verifica per transazioni finanziarie (gli utenti che gestiscono informazioni sensibili dovrebbero applicare l’autenticazione a più fattori), iii) implementazione di soluzioni di sicurezza avanzate, quali ad esempio, l’utilizzo di filtri email basati su intelligenza artificiale per identificare attività sospette,introduzione di strumenti antiphishing, mantenimento di antivirus aggiornati iv) monitoraggio e audit regolari (sussistono servizi che monitorano la diffusione dei dati aziendali in contesti di rischio e mostrano l’esposizione al cyber risk dell’azienda, offrendo assistenza in caso di vulnerabilità informatiche. 

Per concludere, con il progresso della tecnologia, le truffe informatiche sono destinate ad aumentare esponenzialmente e a diventare sempre più sofisticate. Questi attacchi possono essere finanziariamente devastanti per le aziende, tanto che in un avviso di qualche tempo fa, il Federal Bureau of Investigation (FBI) aveva avvertito che la BEC sarebbe stata una grave minaccia per l’economia globale.

Ne deriva che al fine di ridurre il rischio di essere vittime di frodi informatiche, è fondamentale adottare misure di sicurezza adeguate e promuovere la consapevolezza sulle minacce digitali. Solo con l’adozione di strategie preventive e l’uso di strumenti tecnologici avanzati, è possibile contrastare efficacemente queste minacce.

Avv. Chiara Reali

 

 

Archivio news

 

News dello studio

mag12

12/05/2026

Approvazione delle condizioni tecnico economiche del servizio “Open Stream FWA 5G” per il completamento della copertura nelle c.d. aree bianche (Listino "C&D”) da parte di Open Fiber S.p.A. beneficiario di aiuto di Stato

Con la delibera n. 96/26/CONS Agcom approva, ai sensi delle delibere n. 120/16/CONS e n. 171/25/CONS e sulla base dei criteri indicati negli Orientamenti della Commissione europea, nel rispetto di quanto

mag12

12/05/2026

Avvio del procedimento e della consultazione pubblica concernenti l’approvazione delle offerte di riferimento di TIM per gli anni 2025 e 2026 relative ai servizi di terminazione delle chiamate nella rete telefonica pubblica fissa

In applicazione della delibera n. 13/22/CONS di analisi dei mercati dei servizi d’interconnessione nella rete telefonica pubblica fissa, TIM ha pubblicato le offerte di riferimento relative ai

mag12

12/05/2026

Concorsi pubblici ed intelligenza artificiale

(T.A.R. Lazio Roma, Sez. III bis, 02/02/2026, n. 1895CONCORSI A PUBBLICI IMPIEGHI › Bando del concorso, requisiti, ammissione ed esclusioneParti: P.C. c. Ministero dell'Istruzione e

News Giuridiche

mag17

17/05/2026

Telemarketing e teleselling: stop alle telefonate amministrative con finalità di marketing

Il Garante Privacy sanziona per 563.000

mag16

16/05/2026

La nuova decadenza biennale delle azioni di responsabilità nelle procedure concorsuali

La modifica dell'art. 2394-bis c.c. pone

mag15

15/05/2026

Rendicontazione condominiale, dal criterio misto alla nullità del rendiconto incompleto

Evoluzione giurisprudenziale: Cassazione