Le truffe informatiche BEC: strategie di protezione per individui e aziende

12 febbraio 2025

Le Business Email Compromise (BEC) rappresentano una delle minacce informatiche più sofisticate e dannose per aziende e privati. Queste truffe sfruttano tecniche di ingegneria sociale per compromettere account email e indurre le vittime a effettuare pagamenti fraudolenti. 

Un caso emblematico sottoposto alla mia attenzione ha coinvolto l’amministratore unico di una società a responsabilità limitata. Durante una transazione commerciale i truffatori, insinuatisi nella corrispondenza con il legittimo destinatario del pagamento ed - in risposta ad una mail della società con la quale veniva richiesto il codice IBAN per il pagamento della fattura inviata - ha fatto seguitouna email, apparentemente legittima, contenente le richieste coordinate bancarie. Senza sospetti, in quanto la mail era la medesima con la quale era intervenuta la precedente corrispondenza tra le parti, il legale rappresentante della società ha effettuato il bonifico, rendendosi conto solo in seguito della truffa. Nonostante la tempestiva denuncia, il recupero del denaro è stato complesso a causa della rapidità con cui i fondi sono stati immediatamente prelevati. Senza considerare che la società ha dovuto effettuare nuovamente il medesimo pagamento al legittimo destinatario, per adempiere alle obbligazioni contrattuali assunte ed evitare azioni legali. Oltre al danno, la beffa!

Stante la sofisticatezza di una siffatta tipologia di truffa, e l’assenza di alcun controllo a livello bancario poiché sin dal 2014 (l Regolamento UE 260/2012), l’istituto di credito non è obbligato a controllare la congruità tra l'IBAN fornito dal cliente e altri elementi identificativi della titolarità del conto, mi sento di dire che anche il soggetto più accorto sarebbe potuto incorrere in un simile raggiro; ragion per cui persone fisiche e giuridiche devono essere consapevoli delle minacce e adottare strumenti di protezione adeguati al fine di prevenire o quanto meno ridurre il rischio di tali “attacchi informatici”.

Senza alcuna presunzione di esaustività ed a mero titolo esemplificativo, per le persone fisiche, tra gli strumenti di protezione adeguati si possono annoverare: i) la doppia verifica delle coordinate di pagamento prima di effettuare un bonifico (conferma telefonica e a video delle coordinate bancarie)ii) autenticazione a due fattori (2FA), sugli account email per ridurre il rischio di compromissione, iii) prestare particolare attenzione ai segnali di phishing, controllando attentamente indirizzi email e anomalie nel linguaggio utilizzato, iv) utilizzo di software di sicurezza avanzati, mantenendo aggiornati antivirus e strumenti antiphishing.

Per le aziende e professionisti: i) formazione del personale addetto ai pagamenti, sensibilizzandotutti i dipendenti sulle tecniche di ingegneria sociale e su come riconoscere email sospette, ii) introduzione di best practice aziendali quali l’introduzione di procedure di doppia verifica per transazioni finanziarie (gli utenti che gestiscono informazioni sensibili dovrebbero applicare l’autenticazione a più fattori), iii) implementazione di soluzioni di sicurezza avanzate, quali ad esempio, l’utilizzo di filtri email basati su intelligenza artificiale per identificare attività sospette,introduzione di strumenti antiphishing, mantenimento di antivirus aggiornati iv) monitoraggio e audit regolari (sussistono servizi che monitorano la diffusione dei dati aziendali in contesti di rischio e mostrano l’esposizione al cyber risk dell’azienda, offrendo assistenza in caso di vulnerabilità informatiche. 

Per concludere, con il progresso della tecnologia, le truffe informatiche sono destinate ad aumentare esponenzialmente e a diventare sempre più sofisticate. Questi attacchi possono essere finanziariamente devastanti per le aziende, tanto che in un avviso di qualche tempo fa, il Federal Bureau of Investigation (FBI) aveva avvertito che la BEC sarebbe stata una grave minaccia per l’economia globale.

Ne deriva che al fine di ridurre il rischio di essere vittime di frodi informatiche, è fondamentale adottare misure di sicurezza adeguate e promuovere la consapevolezza sulle minacce digitali. Solo con l’adozione di strategie preventive e l’uso di strumenti tecnologici avanzati, è possibile contrastare efficacemente queste minacce.

Avv. Chiara Reali

 

 

Archivio news

 

News dello studio

dic10

10/12/2025

Corte giustizia Unione Europea, Grande Sez., Sentenza, 25/11/2025, n. 713/23

Il mancato riconoscimento del matrimonio che due cittadini dell'Unione dello stesso sesso abbiano contratto conformemente al diritto dello Stato membro nel quale tali cittadini hanno esercitato la loro

dic10

10/12/2025

Legge 02/12/2025, n. 181- Introduzione del delitto di femminicidio e altri interventi normativi per il contrasto alla violenza nei confronti delle donne e per la tutela delle vittime. Pubblicata nella Gazz. Uff. 2 dicembre 2025, n. 280.

  La legge 181/2025 introduce il nuovo  art. 577-bis c.p. che così dispone: “Chiunque cagiona la morte di una donna quando il fatto è commesso come atto di odio o di discriminazione

dic10

10/12/2025

Consob - Delibera 15 ottobre 2025 n. 23700 -Introduzione del contributo di vigilanza dovuto dai soggetti che operano sui mercati delle cripto-attività. (Delibera n. 23700).

  I soggetti indicati nella tabella di cui sotto, sono tenuti a versare alla Consob, per l'esercizio 2025, un importo denominato «contributo di vigilanza» determinato nelle misure riportate

News Giuridiche

dic13

13/12/2025

Mediatori interculturali, etnopsicologi ed etnopsichiatri: la diversità sotto la lente delle istituzioni

Pratiche culturali diverse vengono spesso

dic12

12/12/2025

Patto di non concorrenza: i limiti imposti al lavoratore al vaglio della giurisprudenza

Nessun compenso può rendere valida la temporanea

dic12

12/12/2025

Locazioni brevi e obblighi di identificazione: la verifica de visu è ammessa digitalmente

<p>L’obbligo di cui all’<a href="https://onelegale.wolterskluwer.it/document/10LX0000120258ART117"