Il Business Email Compromise è una delle truffe più costose per le aziende italiane. Scopri come funziona e come proteggere i pagamenti.
Quando si parla di attacchi a un’azienda, in molti casi non si impiega un ransomware, o una sua variante. Spesso e volentieri basta una semplice e-mail, scritta nel modo giusto e inviata alla persona sbagliata al momento giusto. Si tratta del Business Email Compromise (BEC), un attacco che sfrutta fiducia, urgenza e gerarchie aziendali per ottenere un bonifico fraudolento.
Negli ultimi anni questa truffa si è affermata come una delle più efficaci e costose a livello globale, colpendo imprese di ogni dimensione. Questo perché si tratta di un’operazione che avviene nel più completo silenzio, venendo poi rilevata solo quando è troppo tardi.
Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.
Cos’è il Business Email Compromise
Come anticipato in fase di introduzione, il Business Email Compromise è una forma di frode informatica che sfrutta la posta elettronica aziendale per indurre un dipendente a effettuare un pagamento fraudolento. A differenza del phishing tradizionale, non punta a rubare credenziali in modo massivo, ma a colpire obiettivi specifici all’interno dell’organizzazione, come amministratori, responsabili finanziari o uffici contabilità.
L’attacco avviene tramite compromissione reale di un account aziendale o attraverso tecniche di impersonificazione, come lo spoofing del dominio o la creazione di indirizzi e-mail quasi identici a quelli legittimi. L’obiettivo è simulare una comunicazione credibile proveniente da un dirigente, un fornitore o un partner commerciale.
Ciò che rende il Business Email Compromise particolarmente efficace è l’assenza di allegati malevoli o link sospetti. La comunicazione appare pulita, coerente e contestualizzata rispetto alle attività aziendali. Il danno non deriva da un malware, ma da una decisione operativa presa sulla base di un messaggio fraudolento.
Come funziona una truffa BEC
Per comprendere al meglio il funzionamento e la pericolosità di questa truffa, procederemo a illustrarla attraverso una simulazione di attacco.
Raccolta di informazioni e spoofing
Una truffa BEC inizia sempre con una fase di ricognizione. L’attaccante raccoglie informazioni pubblicamente disponibili sull’azienda, come struttura organizzativa, ruoli chiave, fornitori, comunicati stampa e attività recenti. LinkedIn, sito istituzionale e social network forniscono spesso dettagli sufficienti per costruire uno scenario credibile.
In base alle informazioni raccolte, viene predisposto il canale di attacco. In alcuni casi si utilizza lo spoofing del dominio aziendale, configurando un server SMTP per inviare messaggi che sembrano provenire dall’indirizzo di un dirigente. In altri casi si registra un dominio simile a quello reale, modificando una sola lettera o estensione.
L’obiettivo in questa fase è creare un’identità digitale che appaia coerente con le comunicazioni interne e che non sollevi sospetti immediati.
Compromissione di account aziendali e impersonificazione
Non sempre si fa leva sul fattore psicologico, in quanto molti attaccanti preferiscono un approccio più diretto. Infatti, tramite phishing mirato o l’impiego di credenziali sottratte da un data breach precedente, un cybercriminale riesce a ottenere l’accesso a un account aziendale reale.
Una volta al suo interno, il criminale monitora le comunicazioni per comprendere le abitudini interne, i flussi di approvazione e i tempi di pagamento. Può intervenire in una conversazione esistente o crearne una nuova, sfruttando un contesto già attivo con un fornitore o tra dirigenti. Attraverso l’uso di un account legittimo, l’attacco è estremamente difficile da rilevare, perché i controlli tecnici come SPF, DKIM e DMARC risultano formalmente validi.
Il bonifico fraudolento
La fase finale della truffa è l’invio della richiesta di pagamento. Il messaggio viene formulato con tono urgente, spesso richiamando operazioni riservate, scadenze imminenti o presunte opportunità commerciali. L’importo richiesto può variare da poche migliaia a centinaia di migliaia di euro. In alternativa, l’attaccante può intercettare una fattura reale e modificarne le coordinate bancarie, inviando al reparto contabile una versione apparentemente corretta. Se il controllo incrociato non viene effettuato, il bonifico viene disposto verso un conto controllato dai criminali.
Il successo dell’operazione non dipende da vulnerabilità software, ma dall’assenza di verifica indipendente della richiesta. Una volta trasferito il denaro, il recupero diventa così complesso da risultare pressoché impossibile.
Varianti moderne: IA e deepfake
Con l’esplosione dell’IA generativa, anche il Business Email Compromise è divenuto più evoluto e subdolo. I modelli linguistici (LLM) consentono di produrre e-mail perfettamente coerenti con il tono e lo stile comunicativo di un dirigente, riducendo errori grammaticali o incongruenze che in passato potevano tradire l’inganno.
In alcuni casi documentati a livello internazionale, l’inganno non si limita alla posta elettronica. Sono stati utilizzati sistemi di sintesi vocale per simulare la voce di un amministratore delegato o di un responsabile finanziario, contattando telefonicamente il reparto contabilità per rafforzare la richiesta di pagamento. La componente vocale serve a superare eventuali dubbi generati dalla sola e-mail.
Queste varianti non cambiano la struttura dell’attacco, ma ne aumentano l’efficacia. L’elemento umano resta il bersaglio principale, mentre la tecnologia viene impiegata per rendere la simulazione più credibile e convincente.
Come difendersi dal Business Email Compromise
- Introdurre la doppia verifica per i pagamenti.
Ogni richiesta di bonifico superiore a una determinata soglia deve essere verificata tramite un secondo canale indipendente, come una chiamata a un numero già noto e certificato, non quello indicato nell’e-mail. - Configurare correttamente SPF, DKIM e DMARC.
L’implementazione rigorosa di questi protocolli riduce il rischio di spoofing del dominio aziendale e consente di intercettare tentativi di impersonificazione. - Limitare l’esposizione pubblica delle informazioni aziendali.
Dettagli su ruoli, gerarchie interne e procedure finanziarie non dovrebbero essere facilmente reperibili online, poiché alimentano la fase di ricognizione degli attaccanti. - Formare il personale su scenari BEC realistici.
Simulazioni interne e casi pratici aiutano dipendenti e dirigenti a riconoscere richieste sospette anche quando sembrano plausibili. - Monitorare accessi e anomalie sugli account e-mail.
Accessi da località insolite, modifiche improvvise alle regole di inoltro o attività notturne anomale possono indicare compromissioni in corso. - Segmentare le autorizzazioni concesse.
Nessun singolo dipendente dovrebbe poter autorizzare un pagamento rilevante senza un controllo incrociato. La separazione dei ruoli riduce l’impatto di un errore umano.
In conclusione
Alla luce di quanto discusso, si evince che la minaccia più costosa per un’azienda non è sempre quella più tecnica. Questo perché il Business Email Compromise si inserisce nei normali flussi operativi, imitandoli perfettamente. È proprio questa capacità di mimetizzarsi nelle comunicazioni quotidiane a renderlo così efficace.
Riconoscerne il pericolo è il primo passo per rafforzare procedure, verifiche e cultura aziendale. La tecnologia è importante, ma non sufficiente, poiché occorre introdurre controlli organizzativi che impediscano a una singola e-mail di trasformarsi in una perdita economica. La sicurezza, in questo caso, è prima di tutto disciplina operativa.
- Autore articolo
- Gli ultimi articoli
Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.