Nel 2025 le frodi via voice/video deepfake e gli schemi di business email compromise (BEC) stanno colpendo anche le PMI italiane, spesso con bonifici “autorizzati” su IBAN falsi. La combinazione di procedure interne deboli e pagamenti sempre più rapidi aumenta l’esposizione. In questo scenario, prevenzione operativa e coperture assicurative mirate diventano determinanti.
- Il contesto 2025: deepfake + bonifici istantanei
- Come avviene la frode: playbook e casi reali
- Le contromisure pratiche per le PMI (e cosa cambia con il voP)
Il contesto 2025: deepfake + bonifici istantanei
Nel 2024–2025 i casi di truffe online gestiti dalla Polizia Postale sono cresciuti, con 181 milioni di euro sottratti nel 2024 e ulteriori picchi nel 1° trimestre 2025; tra le tecniche ricorrenti figurano BEC, vishing e spoofing, spesso precursori di bonifici su IBAN manipolati.
Sul fronte pagamenti, l’Instant Payments Regulation (Reg. UE 2024/886) impone ai PSP dell’area euro di offrire l’invio dei bonifici istantanei e la verifica del beneficiario (Verification of Payee, VoP) entro il 9 ottobre 2025: un controllo nome-IBAN che aiuta a intercettare incongruenze prima dell’autorizzazione.
Dati Banca d’Italia (H1 2022–H1 2024) mostrano che, pur con tassi di frode medi contenuti, i bonifici concentrano importi medi fraudolenti molto più alti (~€3.500); e il tasso di frode degli istantanei è più elevato di quello dei bonifici ordinari (0,048% vs 0,017%).
Come avviene la frode: playbook e casi reali
Playbook tipico: l’attaccante compromette o imita la posta aziendale (BEC), inserisce pressioni di urgenza (o usa un deepfake vocale/video di un dirigente) e chiede un cambio IBAN o un bonifico extra-procedura. Il pagamento viene “autorizzato” dalla vittima e dirottato su conti mule. La difficoltà principale? Il rimborso bancario non è automatico per i pagamenti autorizzati (anche se frutto di raggiro), come evidenziato da decisioni ABF.
Caso reale: Nel 2024 una multinazionale è stata truffata per circa 25 milioni di dollari durante una videocall deepfake che simulava il CFO e altri colleghi. Il caso, ampiamente documentato, ha spinto molte aziende a rafforzare i controlli out-of-band.
Italia: BEC in cronaca. Nel 2025 la Polizia Postale ha più volte richiamato fondi sottratti con BEC a imprese (es. 120.000 € recuperati a Bari), ribadendo l’importanza di denunciare subito e attivare i canali di recall.
Le contromisure pratiche per le PMI (e cosa cambia con il voP)
- Doppia verifica “out-of-band” per nuovi IBAN o variazioni: chiamare un contatto già noto/registrato (non il numero nell’email) e confermare a voce; è la raccomandazione esplicita della Polizia Postale;
- Regole 4-eyes e soglie d’autorizzazione: per importi > X €, richiesta di due approvazioni e cool-off period quando non è strettamente necessario l’istantaneo;
- Lista bianca fornitori + controllo varianti: ogni cambio IBAN passa da un workflow con verifica documentale, confronto fatture/PEC e validazione da amministrazione;
- Call-back code & parola chiave: per richieste “urgenti” via chat/videocall si pretende un codice interno o una parola segreta concordata;
- Email hardening & formazione: DMARC/ SPF/ DKIM, MFA su caselle finance, security awareness su BEC/deepfake (richieste atipiche, urgenze, errori linguistici, richieste di segretezza);
- Usare (e pretendere) il VoP: dal 9 ottobre 2025 i PSP italiani devono offrire gratuitamente la Verifica del Beneficiario su SEPA: attivatela e integratela nei flussi (API o portale), sapendo che riduce ma non azzera il rischio (es. mule con nome “coerente”);
- In caso di errore: contattare subito banca e Polizia Postale per recall/FRAML; ogni minuto conta (soprattutto con istantanei).
Metriche per il board:
- % pagamenti con VoP attivo, % varianti IBAN verificate out-of-band, tempo medio di autorizzazione;
- Tasso di test anti-phishing superati dal team finance;
- MTTR nella gestione di un falso bonifico (dalla segnalazione alla richiesta di recall).
Questi KPI allineano sicurezza, compliance e tempi di cassa, e sono coerenti con l’obbligo europeo su VoP e istantanei.
Con controlli operativi (VoP, callback, 4-eyes, hardening email) l’azienda può ridurre drasticamente la probabilità di incidente e limitarne i costi, proteggendo liquidità, reputazione e continuità operativa.
