Reati informatici e impresa

Frodi informatiche aziendali (BEC e CEO fraud): tutele e recupero

Schema del meccanismo del dirottamento del bonifico nella frode BEC: dal fornitore all'azienda, con l'attaccante che sostituisce l'IBAN e il pagamento che finisce su conti fraudolenti
Il meccanismo del dirottamento del bonifico: l'attaccante si inserisce tra fornitore e azienda, sostituisce l'IBAN e dirotta il pagamento.

Le illustrazioni di questa pagina sono schemi tecnici vettoriali realizzati dallo studio a fini divulgativi: non rappresentano casi reali e potranno essere sostituiti con grafiche editoriali. Ogni vicenda concreta dipende dalle evidenze del singolo caso.

Le frodi informatiche aziendali colpiscono le imprese sul terreno piu delicato: i pagamenti. Nelle forme della BEC (business email compromise) e della CEO fraud, l'attaccante non sfonda i sistemi con la forza, ma manipola comunicazioni e fiducia per ottenere che un bonifico venga disposto su un conto da lui controllato. Il caso tipico e il bonifico dirottato: l'IBAN del fornitore viene sostituito in una mail e il pagamento, apparentemente legittimo, finisce nelle mani dei truffatori. Si tratta di una frode informatica all'azienda ben distinta dal phishing rivolto al singolo consumatore, perche colpisce processi amministrativi e rapporti commerciali strutturati.

Questo articolo spiega come funzionano la BEC e la CEO fraud, perche il dirottamento dell'IBAN integra il reato di frode informatica previsto dall'art. 640-ter c.p., quando puo profilarsi la responsabilita della banca alla luce della disciplina PSD2 sui pagamenti, cosa fare nelle prime ore per tentare lo storno e il recupero delle somme, e come una perizia informatica forense aiuta a ricostruire l'attacco. E pensato per l'imprenditore, il responsabile amministrativo e il collega avvocato che assiste un'impresa colpita: l'assistenza legale incontra qui la competenza tecnico-forense, perche non basta affermare di essere stati truffati, occorre dimostrarlo con dati che reggano nel contraddittorio.

Pubblicità

Cos'e la BEC e la CEO fraud

La business email compromise (BEC) e una categoria di frode aziendale in cui l'attaccante si inserisce in uno scambio di posta elettronica legittimo, tra un'impresa e un suo interlocutore abituale, per dirottare un pagamento. Non sempre richiede di violare materialmente una casella: spesso e sufficiente registrare un dominio molto simile a quello reale (look-alike), oppure compromettere la posta di un fornitore meno protetto, per poi inserirsi nella conversazione al momento giusto.

La forza della BEC sta nella sua plausibilita. L'attaccante studia il contesto, conosce gli importi e le scadenze, imita lo stile delle comunicazioni e interviene quando c'e gia una fattura in attesa di pagamento. La richiesta che fa scattare la frode e quasi sempre la stessa: comunicare un nuovo IBAN su cui effettuare il bonifico, motivandolo con un cambio di banca, un controllo fiscale o una ristrutturazione interna.

La CEO fraud, o frode del falso dirigente, e una variante che sfrutta una leva diversa: l'autorita. Qui l'attaccante impersona l'amministratore, il direttore finanziario o un altro vertice aziendale, e scrive direttamente a un dipendente dell'amministrazione chiedendo un bonifico urgente, riservato, da eseguire senza passare per le procedure abituali. La pressione psicologica - urgenza, segretezza, gerarchia - serve a disinnescare i controlli ordinari e a indurre il dipendente ad agire in fretta.

Confronto tra BEC e CEO fraud: bersaglio, tecnica, leva psicologica e segnale d'allarme di ciascuna frode
BEC e CEO fraud a confronto: cambia il bersaglio (la fattura del fornitore o il dipendente) e la leva utilizzata.

Le due frodi condividono la matrice - manipolare le comunicazioni per ottenere un pagamento indebito - ma differiscono per bersaglio e tecnica. La BEC fa leva su un rapporto commerciale reale e gia in essere; la CEO fraud sull'identita di un dirigente e sull'urgenza. In entrambi i casi il risultato e lo stesso: somme aziendali che lasciano i conti dell'impresa verso destinazioni fraudolente, con margini di recupero che si riducono rapidamente con il passare delle ore.

E utile distinguere queste frodi B2B dal phishing rivolto al consumatore. Nel phishing con bonifico fraudolento e il rimborso della banca il bersaglio e il singolo correntista, indotto a cedere credenziali o a disporre un pagamento. Nella BEC e nella CEO fraud, invece, il bersaglio e l'organizzazione, con i suoi processi amministrativi: cambiano gli attori, i controlli coinvolti e, spesso, anche la valutazione delle responsabilita.

Il dirottamento dell'IBAN del fornitore

Il cuore tecnico della BEC e il dirottamento dell'IBAN del fornitore: la sostituzione delle coordinate bancarie su cui l'azienda effettuera il pagamento. L'azienda crede di pagare il proprio fornitore su un rapporto reale; in realta accredita le somme su un conto controllato dai truffatori, che provvedono a svuotarlo rapidamente trasferendo i fondi su altri conti, spesso detti conti "muli".

Il dirottamento puo avvenire in diversi modi. L'attaccante puo intercettare la fattura del fornitore e ritrasmetterla all'azienda con l'IBAN modificato; puo inviare una comunicazione separata che annuncia il cambio di coordinate; puo inserirsi in una conversazione gia avviata, rispondendo da un dominio quasi identico a quello legittimo. In tutti i casi il segnale d'allarme e lo stesso: una richiesta inattesa di cambiare l'IBAN di un fornitore conosciuto.

La tempistica e studiata. La frode si concretizza quando c'e gia un pagamento atteso, cosi la richiesta non desta sospetto: l'azienda si aspetta di dover pagare e riceve istruzioni coerenti con quell'aspettativa. Proprio per questo i controlli interni - verificare ogni cambio di IBAN su un canale diverso dalla mail, ad esempio con una telefonata a un numero gia noto - sono la difesa piu efficace, perche spezzano la catena dell'inganno nel punto in cui e piu fragile.

Il reato di frode informatica (640-ter c.p.)

Sul piano penale, il dirottamento fraudolento di un bonifico mediante manipolazione di dati e comunicazioni informatiche e generalmente ricondotto al reato di frode informatica previsto dall'art. 640-ter del codice penale. La norma punisce chi, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico, oppure intervenendo senza diritto su dati, informazioni o programmi, procura a se o ad altri un ingiusto profitto con altrui danno. Il riferimento puntuale all'articolo e alle aggravanti applicabili e da verificare con il testo vigente prima di farne uso processuale.

Rispetto alla truffa comune dell'art. 640 c.p., qui l'inganno passa attraverso la manipolazione informatica: la condotta incide sui dati e sulle comunicazioni elettroniche, non solo sulla psiche della vittima. Nella prassi delle frodi BEC, la qualificazione come frode informatica puo concorrere con altre fattispecie, ad esempio l'accesso abusivo a un sistema informatico (art. 615-ter c.p.) quando vi e stata effettiva intrusione nella casella di posta, o la sostituzione di persona. La corretta qualificazione dipende dalla ricostruzione concreta dell'attacco.

Per l'impresa colpita, la qualificazione penale ha un valore pratico: fonda la denuncia, attiva le indagini e puo agevolare il blocco dei conti di destinazione. Sul versante civile, l'individuazione del responsabile e dei conti coinvolti apre la strada alle azioni di recupero. La frode informatica e spesso connessa ad altre forme di abuso digitale, come accade quando un account viene violato e si configura un furto di identita digitale: la compromissione della posta e, non di rado, il presupposto tecnico dell'intera frode.

Responsabilita della banca e PSD2

Quando l'esecuzione del pagamento e contestata, entra in gioco la disciplina dei servizi di pagamento dettata dalla PSD2 (la seconda direttiva europea sui servizi di pagamento, recepita nell'ordinamento italiano). Uno dei suoi principi cardine e la ripartizione dell'onere della prova: in caso di operazione non autorizzata, spetta al prestatore di servizi di pagamento - la banca - dimostrare che l'operazione e stata autenticata, correttamente registrata ed eseguita, e che non vi sono state carenze nei presidi di sicurezza. I riferimenti normativi puntuali sono da verificare con il testo vigente.

Va precisato che la BEC e la CEO fraud presentano una peculiarita rispetto alle frodi al consumatore: spesso il bonifico e disposto dall'azienda stessa, sia pure tratta in inganno sull'IBAN del beneficiario. Non si tratta quindi sempre di operazione "non autorizzata" in senso tecnico, perche l'ordine proviene dal titolare del conto. Cio non esclude in radice profili di responsabilita della banca, che vanno valutati in concreto: ad esempio quando l'istituto abbia ignorato segnali anomali, non abbia applicato adeguati presidi antifrode, o vi siano stati ritardi nella gestione della richiesta di blocco e di recall una volta segnalata la frode.

Distinguere autorizzato da fraudolento. Nelle frodi BEC il bonifico e spesso disposto dall'impresa, ingannata sulle coordinate del beneficiario. La valutazione della responsabilita della banca non e automatica: dipende dai presidi adottati, dalla tempestivita nella gestione del recall e dalla diligenza richiesta al prestatore di servizi di pagamento. Ogni profilo va esaminato sul caso concreto, con il testo normativo vigente alla mano.

In parallelo, rileva la banca del beneficiario, cioe quella che ha aperto il conto fraudolento. Gli obblighi di adeguata verifica della clientela e di monitoraggio delle operazioni sospette possono assumere rilievo nella valutazione delle responsabilita e nelle azioni di recupero, soprattutto se le somme sono ancora, in tutto o in parte, sul conto di destinazione.

Cosa fare subito: blocco, storno, denuncia

Nelle frodi con bonifico dirottato il tempo e la variabile decisiva. La finestra utile per bloccare e tentare il recupero delle somme si misura in ore, non in giorni: una volta che i fondi vengono prelevati o trasferiti su altri conti, recuperarli diventa molto piu difficile. Per questo la reazione deve essere immediata e ordinata.

Sequenza delle azioni nelle prime 24-48 ore dopo un bonifico dirottato: allertare la banca, denunciare, mettere in sicurezza la posta, conservare le prove, avvisare il fornitore
Le prime 24-48 ore: la sequenza delle azioni urgenti per tentare lo storno e il recupero delle somme.

Il primo passo e allertare la banca. Va richiesto con urgenza il blocco dell'operazione e, se possibile, lo storno o il recall del bonifico: la procedura interbancaria con cui la banca ordinante chiede alla banca del beneficiario di restituire le somme. Il recall ha successo soprattutto se attivato prima che il conto fraudolento venga svuotato, motivo per cui ogni ora persa pesa sul risultato.

In parallelo va sporta denuncia all'autorita giudiziaria, anche tramite la Polizia Postale e delle Comunicazioni, descrivendo l'accaduto e allegando la documentazione. La denuncia attiva le indagini e puo agevolare il sequestro delle somme ancora rintracciabili. Va poi messa in sicurezza la casella di posta coinvolta - cambio password, attivazione dell'autenticazione a piu fattori, verifica di eventuali regole di inoltro create dall'attaccante - per impedire che la frode prosegua o si ripeta.

Le azioni urgenti

  • Banca: richiedere blocco, storno e recall del bonifico, subito e per iscritto.
  • Denuncia: all'autorita giudiziaria e alla Polizia Postale, con la documentazione.
  • Posta: cambio password, MFA, verifica di regole e inoltri sospetti.
  • Prove: conservare mail, header, log e fatture per la perizia forense.
  • Fornitore: verificare l'IBAN reale su un canale certo, mai via mail.

Infine, e essenziale conservare ogni prova digitale: le mail con le intestazioni tecniche complete (header), i log di accesso alla posta, le fatture nelle versioni originale e manipolata, le comunicazioni con la banca. Questo materiale e la base sia per le indagini sia per la successiva ricostruzione tecnico-forense, e va preservato senza alterarlo.

Pubblicità

La perizia informatica forense

La perizia informatica forense ricostruisce come si e svolto concretamente l'attacco, partendo dalle tracce digitali. Analizza le intestazioni tecniche delle mail per individuare i domini look-alike e i percorsi di invio, esamina i log di accesso alla casella di posta per stabilire se vi sia stata una compromissione e da dove, verifica la presenza di regole di inoltro o filtri creati dall'attaccante per intercettare la corrispondenza.

Il valore di questa analisi e duplice. Sul piano probatorio, traduce l'accaduto in elementi tecnici verificabili, utilizzabili davanti al giudice, alla banca o alle autorita: non un racconto, ma dati documentati e ripercorribili. Sul piano della responsabilita, aiuta a chiarire dove si e verificata la falla - se nella posta dell'azienda, in quella del fornitore o in un dominio fraudolento esterno - dato spesso determinante per valutare le rispettive colpe.

E qui che l'assistenza legale e la competenza tecnica devono procedere insieme. La ricostruzione tecnica fonda la strategia legale, e la strategia legale orienta cosa cercare e come documentarlo perche regga nel contraddittorio. Lo studio affianca l'impresa e il legale con il supporto della consulenza tecnica di parte e della perizia informatica forense, restando nei limiti deontologici e senza alcuna promessa di esito.

Prevenzione tecnica e organizzativa

La difesa piu efficace contro la BEC e la CEO fraud e organizzativa prima ancora che tecnologica, perche queste frodi colpiscono le procedure e la fiducia. La regola d'oro e una sola: nessun cambio di IBAN e nessun pagamento urgente fuori procedura va eseguito sulla base della sola mail. Ogni variazione di coordinate deve essere verificata su un canale indipendente - una telefonata a un numero gia noto del fornitore, non a quello indicato nella mail sospetta.

Sul piano organizzativo aiutano la separazione dei ruoli e la doppia firma per i pagamenti oltre una certa soglia, procedure scritte per la gestione dei cambi di IBAN, e la consapevolezza del personale amministrativo, che e il vero bersaglio di queste frodi. La formazione su come riconoscere urgenza simulata, segretezza richiesta e domini look-alike riduce sensibilmente il rischio.

Sul piano tecnico contano l'autenticazione a piu fattori sulle caselle di posta, le configurazioni anti-spoofing del dominio (i protocolli di autenticazione della posta), il monitoraggio delle regole di inoltro e degli accessi anomali. Sono presidi che non eliminano il rischio, ma alzano la soglia di difficolta per l'attaccante e rendono piu probabile l'intercettazione tempestiva dell'anomalia.

Il recupero delle somme

Il recupero delle somme segue piu binari, da percorrere in parallelo e con tempestivita. Il primo e la via bancaria: il recall del bonifico e l'eventuale blocco delle somme ancora presenti sul conto di destinazione. Quanto prima si attiva la procedura, tanto maggiori sono le probabilita che i fondi siano ancora rintracciabili e bloccabili.

Il secondo binario e quello penale: la denuncia, le indagini e l'eventuale sequestro delle somme aprono la strada alla restituzione nell'ambito del procedimento. Il terzo e quello civile, verso i diversi soggetti coinvolti: l'autore della frode, se identificato; eventualmente la banca, ove emergano profili di responsabilita; e i soggetti che, per colpa, abbiano contribuito al risultato. La valutazione di queste azioni richiede sempre l'esame del caso concreto.

Quando la frode si inserisce in un rapporto commerciale - tipicamente il pagamento di una fattura del fornitore - si pongono anche questioni di adempimento dell'obbligazione: chi ha pagato sull'IBAN sbagliato ha estinto il debito verso il fornitore? La risposta dipende dalle circostanze e dalla diligenza tenuta dalle parti, e va valutata con il legale, anche in connessione con gli strumenti ordinari di recupero crediti tra imprese, dal sollecito al pignoramento, quando il pagamento dirottato lascia aperto il debito originario.

Quando l'impresa concorre per colpa

Non sempre la responsabilita ricade interamente su terzi. Nelle frodi BEC e CEO fraud puo profilarsi un concorso di colpa dell'impresa vittima, quando l'organizzazione abbia trascurato presidi e cautele ragionevolmente esigibili. Ad esempio: aver eseguito un cambio di IBAN senza alcuna verifica indipendente, aver disposto un pagamento urgente fuori da ogni procedura, aver ignorato segnali evidenti di anomalia.

Questo profilo e rilevante in piu direzioni. Nei rapporti con la banca, l'eventuale negligenza dell'impresa puo incidere sulla ripartizione delle responsabilita e sull'esito delle azioni. Nei rapporti con il fornitore, la diligenza di ciascuna parte - chi ha custodito male la propria posta, chi ha pagato senza controllare - puo orientare la soluzione della controversia. La valutazione e sempre concreta e dipende dalle evidenze raccolte.

E importante essere chiari su un punto: nessuna analisi, per quanto accurata, garantisce un esito. La ricostruzione tecnica e la strategia legale forniscono elementi verificabili che le autorita, la banca e il giudice valutano liberamente. Il valore di un lavoro ben fatto sta nel rendere la posizione dell'impresa piu solida e meglio documentata, attivando per tempo le tutele disponibili - non nel predeterminare il risultato. Per questo, davanti a un bonifico dirottato, contano due cose insieme: la rapidita della reazione e la qualita della documentazione tecnica e legale.

Domande frequenti

Che cos'e la BEC (business email compromise)?

La BEC e una frode aziendale in cui l'attaccante compromette o imita una casella di posta legittima per inserirsi nello scambio tra azienda e fornitore. Sostituisce l'IBAN su una fattura o una comunicazione di pagamento, cosi il bonifico viene disposto su un conto controllato dai truffatori invece che sul conto reale del fornitore.

Qual e la differenza tra BEC e CEO fraud?

Nella BEC il bersaglio e il pagamento di una fattura del fornitore, dirottato sostituendo l'IBAN nella corrispondenza. Nella CEO fraud l'attaccante impersona un dirigente (l'amministratore o il CEO) e induce un dipendente dell'amministrazione a disporre un bonifico urgente e riservato. La prima sfrutta un rapporto commerciale reale, la seconda la leva dell'autorita e dell'urgenza.

Il dirottamento del bonifico e un reato?

Il dirottamento fraudolento di un bonifico mediante manipolazione di dati e comunicazioni informatiche e generalmente ricondotto al reato di frode informatica previsto dall'art. 640-ter del codice penale, eventualmente in concorso con altre fattispecie come l'accesso abusivo a sistema informatico. La qualificazione puntuale va verificata caso per caso e con il testo vigente delle norme.

La banca puo essere responsabile dell'operazione non autorizzata?

Per i servizi di pagamento la disciplina PSD2 pone a carico del prestatore di servizi di pagamento la prova di aver autenticato e correttamente eseguito l'operazione. In caso di operazione non autorizzata o di carenze nei presidi di sicurezza, possono profilarsi profili di responsabilita della banca, da valutare in concreto. I riferimenti normativi sono da verificare con il testo vigente.

Cosa devo fare subito dopo un bonifico dirottato?

Occorre agire entro poche ore: allertare immediatamente la banca per chiedere blocco, storno e recall del bonifico; sporgere denuncia (anche presso la Polizia Postale); mettere in sicurezza la posta compromessa con cambio password e autenticazione a piu fattori; conservare ogni prova digitale; avvisare il fornitore verificando l'IBAN su un canale certo. La finestra utile per il recupero e molto breve.

Tutte le domande frequenti del sitoSfogliale raggruppate per tema e per argomentoApri l'indice FAQ →

La tua azienda ha subito una frode informatica?

Se hai disposto un bonifico su un IBAN dirottato, o se sei un collega che assiste un'impresa colpita da BEC o CEO fraud, lo studio offre una valutazione riservata del caso, esaminando le evidenze disponibili e le tutele attivabili - dal recall bancario alla perizia forense. Nessuna promessa di esito: solo un confronto chiaro su metodo, fonti e margini di intervento.

Contatta lo studio
Pubblicità