Negli ultimi anni, le truffe legate ai pagamenti aziendali hanno assunto una forma sempre più subdola, precisa, e — soprattutto — credibile.
Basta un’email con un tono coerente. Un IBAN modificato. Una comunicazione che sembra arrivare da un fornitore conosciuto. E l’inganno è fatto.
Non si parla di minacce astratte. Si parla di episodi che succedono ogni giorno, anche in PMI e grandi aziende.
Quando basta una mail per mettere a rischio il tuo Business
A fine mese, mentre ufficio acquisti e amministrazione si occupano dei pagamenti ai fornitori, può bastare una semplice email con un logo credibile e un tono coerente per far scattare l’inganno. Un dettaglio apparentemente innocuo — un nuovo IBAN comunicato senza preavviso — rischia di far partire un bonifico verso un conto fraudolento. Il danno, in questi casi, è immediato.
Questo tipo di attacco ha un nome: Business Email Compromise (BEC).
E secondo l’FBI, è tra le minacce cyber più costose al mondo: nel 2023, ha generato oltre 2,9 miliardi di dollari di perdite a livello globale.
E non serve essere “una grande azienda” per finirci dentro. Basta una procedura non controllata o un disattenzione del personale.
Come riconoscere un rischio reale?
Dietro le cifre delle frodi più note — Pathé (19 milioni), Crelan Bank (75 milioni), Governo austriaco (1,2 milioni) — si nasconde uno schema ricorrente e pericolosamente semplice.
Un’email apparentemente legittima, firmata da un fornitore o un referente noto.
Un tono coerente, magari addirittura basato su scambi precedenti rubati da una casella violata.
La maggior parte delle frodi BEC (Business Email Compromise) avviene così: nessun malware, nessun virus da bloccare. Solo una comunicazione che fa leva su fretta, fiducia e routine.
Il vero problema è il falso senso di sicurezza
Molte aziende pensano che avere un buon antivirus o una password complessa sia sufficiente per proteggere l’intero patrimonio aziendale.
Ma le frodi non colpiscono (solo) la tecnologia. Colpiscono i comportamenti, le persone e la loro disattenzione.
Soprattutto quando non ci sono procedure, doppie conferme, o cultura del rischio.
Il punto è semplice — e vale per tutte le imprese, di ogni dimensione: la sicurezza non si improvvisa. Si costruisce.
Cosa può (e deve) fare una PMI oggi:
Non servono tecnologie fantascientifiche. Servono processi chiari, buonsenso digitale, e strumenti adatti al contesto.
Ecco alcune misure che ogni impresa può — e dovrebbe — adottare:
- Verifica sistematica delle coordinate bancarie prima di ogni modifica
- Doppia conferma su canale alternativo (telefono, PEC) per ogni variazione fornitore
- Alert automatici e tracciamento modifiche nei sistemi contabili
- Logging delle modifiche e accessi ai gestionali
- Formazione interna su phishing e ingegneria sociale
- Simulazioni periodiche di attacco (pen test e red teaming) per valutare le falle organizzative
- Backup strutturati + MFA su tutti i canali amministrativi
La business unit TEC di GBS Group lavora con le PMI per costruire infrastrutture IT che non siano solo sicure, ma che supportino davvero la continuità operativa.
La sicurezza nei pagamenti è un tassello critico di questo sistema.
Progettiamo policy, automatismi e sistemi che aiutano l’azienda a difendersi dagli errori umani, dalle truffe e dalle falle di processo — prima ancora che dai virus.