Pirateria delle buste paga. Gli hacker dirottano gli stipendi

Storm-2657 e la nuova pirateria delle buste paga. Attacchi ai sistemi payroll e stipendi dirottati verso conti dei criminali.

Milioni di stipendi sono erogati ogni mese in maniera regolare, coadiuvato da un meccanismo ormai dato per scontato. Nessuno si sarebbe mai aspettato che un processo così rodato potesse diventare il bersaglio di un attacco informatico. Eppure, qualcosa è effettivamente cambiato, in quanto alcuni bonifici non sono giunti più a destinazione e gli importi svaniti nel nulla.

Cos’è la pirateria delle buste paga e come funziona
La strategia e il modello criminale di Storm-2657
Come difendersi dalla pirateria delle buste paga

pirateria delle buste paga gli hacker dirottano gli stipendi image

Dietro queste anomalie c’è un sistema di nuova concezione, che gli esperti di sicurezza informatica hanno ribatezzato “pirateria delle buste baga“. Si tratta di una nuova minaccia che non punta al conto corrente bancario, ma al sistema che gestisce gli stipendi. La cosa non ha mancato di suscitare inquietudine e preoccupazioni sia negli esperti, che nei cittadini comuni, soprattutto dopo la rivendicazione un nuovo collettivo criminale: Storm-2657.

Ma come sempre, andiamo con ordine e affrontiamo per gradi, l’argomento.

Cos’è la pirateria delle buste paga e come funziona

La pirateria delle buste paga è una forma di attacco che mira a deviare gli stipendi dei dipendenti, intervenendo direttamente nei sistemi digitali di gestione del personale. Gli attaccanti non agiscono sulle banche, ma sui portali aziendali o sui servizi cloud utilizzati per l’elaborazione delle paghe. Una volta ottenuto l’accesso a un account, modificano l’IBAN del dipendente con uno controllato da loro, intercettando il bonifico al momento dell’erogazione mensile.

A differenza delle frodi tradizionali, questo attacco sfrutta l’automazione dei processi HR e la fiducia negli strumenti di payroll. Le intrusioni avvengono spesso tramite phishing mirato, in cui le vittime vengono indotte a fornire le credenziali di accesso o ad autenticarsi su portali falsi. In altri casi, gli aggressori compromettono direttamente i sistemi SaaS (Software as a Service) di gestione stipendi, sfruttando configurazioni errate o autenticazioni deboli per modificare i dati di pagamento senza destare sospetti immediati.

L’aspetto più preoccupante di questa frode è la discrezione con cui essa si manifesta. Le modifiche restano attive finché l’azienda o il dipendente non si accorgono dell’anomalia, spesso dopo più cicli di pagamento. A quel punto, il denaro è già transitato su conti esteri o intestati a prestanome, rendendo complesso ogni tentativo di recupero. Tutti questi elementi hanno reso il fenomeno della pirateria delle buste paga come una delle minacce economiche più pericolose del 2025.

La strategia e il modello criminale di Storm-2657

Storm-2657 è una cybergang individuata dai ricercatori di Microsoft Threat Intelligence nel 2025. Il gruppo ha condotto una vasta campagna di attacchi contro università e organizzazioni pubbliche, sfruttando piattaforme di gestione stipendi, come Workday, per dirottare i bonifici dei dipendenti. L’obiettivo non è l’interruzione dei servizi, ma il furto sistematico dei pagamenti mensili.

Il loro metodo di attacco è considerato uno dei più subdoli mai osservati fino a questo momento. Attraverso e-mail di phishing realizzate ad hoc, i criminali reindirizzano le vittime verso pagine di login falsificate, intercettando credenziali e codici MFA tramite tecniche Adversary-in-the-Middle. Una volta ottenuto l’accesso, modificano i dati bancari nei profili delle vittime e attivano regole automatiche nelle caselle di posta per cancellare le notifiche di modifica. In questo modo, la frode risulta invisibile ai controlli di routine.

Secondo le analisi di Microsoft, Storm-2657 ha compromesso almeno undici account in tre università statunitensi, inviando successivamente migliaia di e-mail a nuovi obiettivi in altri enti accademici e amministrazioni. Il gruppo fa un uso massiccio di infrastrutture cloud temporanee, canali di riciclaggio distribuiti e schemi di pagamento off-shore. Ciò rende chiaro che la pirateria delle buste paga sta venendo trasformato in un modello di business criminale replicabile ovunque, Italia compresa.

Come difendersi dalla pirateria delle buste paga

Le contromisure da adottare contro la piaga della pirateria delle buste paga devono essere principalmente mirate alla protezione degli account HR. Di seguito sono riportate alcuni consigli e soluzioni pratiche per proteggersi.

Verifica a due fattori resistente al phishing.
Sostituire o affiancare l’SMS/TOTP con metodi resistenti al man-in-the-middle riduce drasticamente il rischio di session hijacking.
Controllo manuale obbligatorio per ogni modifica IBAN.
Nessuna variazione dei dati di pagamento va applicata senza una doppia verifica, ossia autorizzazione HR e conferma diretta del dipendente via canale diverso (telefonata/portale personale).
Segregazione dei ruoli e principio del privilegio minimo sugli account payroll.
Registrare ogni cambiamento con timestamp e utente; impostare alert che notificano il management e quella persona quando l’IBAN viene cambiato.
Blocchi temporanei prima del ciclo payroll.
Va implementata una finestra di blocco modifiche 48–72 ore prima dell’esecuzione dei bonifici per consentire verifiche e stoppare variazioni sospette.
Convalida automatica dell’IBAN e verifica del beneficiario.
Vanno automatizzati i controlli che confrontino IBAN e intestatario. Scarti o discrepanze devono generare revisione manuale obbligatoria.

In conclusione

La pirateria delle buste paga segna un’evoluzione preoccupante nel panorama delle frodi digitali. Storm-2657 ha dimostrato che anche una procedura amministrativa può diventare un punto d’ingresso e che la velocità dei flussi digitali amplifica ogni errore di verifica. Il tutto sfruttando la fiducia cieca nei meccanismi automatizzati. Ecco perché si chiede che ogni cambiamento nei dati di pagamento venga trattato come un’operazione sensibile, da confermare e registrare. Solo iportando l’attenzione sulle persone e sulle procedure si può ridurre il vantaggio degli attaccanti.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.