Tra i rischi cyber che colpiscono le aziende, il Business Email Compromise (BEC) è uno dei più subdoli. Non richiede malware complessi né tecniche di hacking particolarmente avanzate: si basa sulla capacità di convincere una persona, tramite una mail credibile, a compiere un’azione sbagliata. È la truffa della “finta mail del capo” o del “finto fornitore” che chiede un bonifico urgente, un cambio IBAN o l’invio di dati sensibili. E spesso, quando l’errore viene scoperto, il denaro è già sparito.
- Che cos’è il Business Email Compromise
- Le varianti più comuni di BEC
- Perché il BEC è in crescita
- Le aree più esposte in azienda
- Checklist interna anti-BEC
- Il ruolo della formazione del personale
- Coperture assicurative utili in ottica BEC
Che cos’è il Business Email Compromise
Nel BEC il criminale non prova solo a infettare un computer, ma a imitare il comportamento e la comunicazione di figure interne o esterne all’azienda. Può compromettere l’account reale di un dirigente o di un fornitore, oppure registrare un dominio molto simile a quello dell’azienda, in modo che la differenza nell’indirizzo email passi inosservata.
Il contenuto del messaggio è studiato per apparire perfettamente plausibile: fa riferimento a fatture, progetti, scadenze, utilizza un tono coerente con il ruolo della persona impersonata e insiste spesso sull’urgenza. È proprio questa combinazione di credibilità e pressione temporale che spinge chi riceve l’email ad agire senza prendersi il tempo di verificare.
Le varianti più comuni di BEC
Negli anni si sono consolidate alcune forme ricorrenti di Business Email Compromise, che prendono di mira in particolare uffici amministrativi e di tesoreria:
- Finta email del titolare o del CEO
L’ufficio amministrativo riceve un messaggio che sembra arrivare dal titolare o da un alto dirigente. Nella mail si chiede un bonifico urgente per chiudere un’operazione “riservata” o approfittare di una finestra temporale molto stretta. Il tono è autoritario e al tempo stesso pressante, con l’invito a non coinvolgere altri per motivi di riservatezza. - Cambio IBAN del fornitore
Arriva una comunicazione che pare provenire da un fornitore abituale, con cui l’azienda ha davvero rapporti di lunga data. Il testo avvisa che, per motivi organizzativi o bancari, i pagamenti futuri dovranno essere indirizzati a un nuovo conto. L’IBAN riportato è però quello del criminale, e se la modifica viene recepita senza verifiche, il danno è diretto e immediato. - Fatture false o manipolate
In altri casi i criminali replicano fatture reali, modificandone soltanto i dati di pagamento, oppure inseriscono nel flusso documenti che sembrano perfettamente coerenti con i rapporti in essere. L’errore, stavolta, non è tanto nel “fidarsi del mittente”, quanto nel non verificare con sufficiente attenzione il contenuto e la destinazione dei fondi.
Perché il BEC è in crescita
Il BEC è in crescita perché sfrutta un contesto in cui le informazioni sono più accessibili che mai e i processi di pagamento sono sempre più digitali e veloci. Un criminale può ricostruire la struttura di un’azienda analizzando sito web, profili LinkedIn, comunicati stampa: in poco tempo capisce chi decide, chi paga, quali fornitori sono coinvolti.
In parallelo, gli strumenti di scrittura automatica e di intelligenza artificiale rendono sempre più facile produrre email in un italiano corretto, prive degli errori grammaticali che un tempo facevano scattare l’allarme. Il ritmo di lavoro poi gioca a favore dell’attaccante: chi gestisce pagamenti e scadenze spesso vive giornate piene, in cui una richiesta in più, se presentata nel modo giusto, può essere eseguita senza la dovuta distanza critica.
Le aree più esposte in azienda
Non tutte le funzioni aziendali hanno la stessa esposizione al rischio BEC. I truffatori si concentrano sui punti in cui si uniscono capacità di disporre fondi e volume di comunicazioni via email.
Le aree più sensibili sono in genere:
- Amministrazione, finanza e tesoreria, che gestiscono bonifici, incassi e rapporti con banche e fornitori;
- Ufficio acquisti, costantemente in contatto con fornitori e abituato a ricevere fatture, solleciti, comunicazioni su modalità di pagamento;
- Direzione e top management, spesso usati come “volto” delle mail fasulle, perché è raro che chi riceve metta in discussione una richiesta che sembra arrivare dal vertice.
Checklist interna anti-BEC
Per ridurre il rischio di cadere in una truffa BEC è fondamentale introdurre alcune regole chiare e semplici, che diventino prassi quotidiana negli uffici più esposti.
Per i cambi IBAN:
- non accettare mai modifiche comunicate solo via email;
- verificare la richiesta con un contatto alternativo (telefonata a un numero noto, non a quello indicato nella mail);
- aggiornare l’anagrafica del fornitore solo dopo una conferma certa.
Per i pagamenti urgenti e “fuori routine”:
- prevedere un doppio controllo o una doppia firma, specie sopra una certa soglia;
- confrontare la richiesta con contratti, ordini o accordi preesistenti;
- diffidare delle richieste che insistono su segretezza e urgenza, soprattutto se inusuali per il mittente.
Per le email sospette in generale:
- controllare attentamente l’indirizzo del mittente, non solo il nome visualizzato;
- fare attenzione a piccole anomalie nello stile o nel linguaggio;
- in caso di dubbio, fermarsi e chiedere un confronto interno prima di procedere al pagamento.
Il ruolo della formazione del personale
La formazione è l’elemento che trasforma queste regole da teoria a pratica quotidiana. Un conto è avere una procedura scritta in un documento aziendale, un altro è fare in modo che chi paga fatture e gestisce flussi di cassa la applichi davvero, anche nei momenti di fretta.
Una formazione efficace sul BEC non deve essere teorica o troppo tecnica: è più utile partire da esempi reali, mostrare schermate di email truffaldine, far notare i dettagli che le tradiscono e costruire insieme al personale amministrativo una serie di “campanelli d’allarme” condivisi. Ripetere periodicamente queste sessioni, anche in formato breve, aiuta a mantenere alta l’attenzione e a far sì che la prudenza diventi una parte naturale del modo di lavorare.
Coperture assicurative utili in ottica BEC
Quando una truffa BEC ha successo, l’azienda si trova ad affrontare una perdita finanziaria immediata, spesso di importo rilevante, oltre a eventuali contestazioni da parte di clienti o fornitori. Una polizza cyber ben strutturata può offrire un supporto importante, sia sul piano economico sia su quello della gestione dell’incidente.
Tra le garanzie da valutare rientrano:
- copertura delle perdite finanziarie causate da bonifici disposti in buona fede su istruzioni fraudolente;
- garanzie di responsabilità verso terzi, nel caso in cui un cliente o un fornitore subisca un danno e chieda un risarcimento;
- rimborsi per spese di indagine e consulenza, incluse le verifiche su come è avvenuta la truffa e l’eventuale supporto nella comunicazione con le autorità e con gli stakeholder.
Conclusioni
Il Business Email Compromise dimostra che non basta “avere un buon antivirus” per sentirsi al sicuro: si tratta di un rischio che passa soprattutto dalle persone, dai processi e dalla fiducia che c’è all’interno e all’esterno dell’azienda. Una singola email, se non gestita con attenzione, può trasformarsi in un bonifico sbagliato o in un cambio IBAN non verificato, con conseguenze pesanti sulla liquidità aziendale.
Ridurre questo rischio significa mettere ordine nelle procedure di pagamento, dare al personale strumenti concreti per riconoscere i tentativi di truffa, favorire il dialogo tra amministrazione, direzione e IT e, dove opportuno, dotarsi di una copertura assicurativa cyber che possa assorbire l’impatto economico di un errore in buona fede. In altre parole, trasformare la prudenza in un’abitudine strutturata, non in una semplice raccomandazione di buon senso.
