Frode nei pagamenti

Molti schemi di frode sono noti da anni, ma i metodi di inganno delle vittime si evolvono costantemente. I criminali adattano abilmente le loro strategie alle circostanze attuali e utilizzano tecnologie moderne per rendere l’attacco più difficile da rilevare.

Desideriamo illustrarvi schemi specifici di frode noti come Business E-Mail Compromise (BEC), particolarmente rilevanti per le aziende, e spiegare come proteggervi.

Il BEC è una tecnica di frode via e-mail in cui vengono presi di mira aziende o individui. I criminali usano account e-mail falsificati o violati per accedere a informazioni sensibili. Si spacciano per partner commerciali affidabili, dirigenti o dipendenti. Talvolta utilizzano persino messaggi vocali o video creati con l’intelligenza artificiale che risultano molto realistici.

L’obiettivo di questi attacchi è indurre le vittime a trasferire denaro o a fornire informazioni riservate.

Oggi il BEC è considerato uno dei rischi digitali più gravi per aziende di ogni dimensione. Oltre a significative perdite finanziarie, può causare danni reputazionali duraturi. Le forme più comuni di BEC includono fatture false, frodi del CEO e attacchi relativi ai pagamenti salariali.

Indirizzi e-mail insoliti o sconosciuti
Minime variazioni nel nome del mittente o nel dominio dell’e-mail
Messaggi con urgenza anomala o pressione temporale
Linguaggio insolito, errori grammaticali o ortografici
Richieste di riservatezza assoluta
Allegati sconosciuti o link sospetti
Istruzioni di pagamento insolite o cambiamenti di conto
Cambio improvviso del canale di comunicazione

Formate regolarmente voi stessi e i vostri dipendenti sui nuovi schemi di frode e sulla sicurezza IT. Siamo a vostra disposizione per supportarvi.
Proteggete l’infrastruttura IT secondo gli standard più aggiornati. Un’infrastruttura poco sicura (ad esempio a causa di aggiornamenti mancanti) è più vulnerabile.
Mantenete attivi diversi canali di comunicazione con clienti e fornitori (telefono, e-mail, indirizzo postale).
Definite processi di pagamento chiari. Esempi:
- Applicate il principio della doppia verifica ove possibile, ed evitate autorizzazioni singole.
- Verificate eventuali modifiche alle istruzioni di pagamento tramite un canale sicuro (ad es. un numero di telefono già verificato).
Ricordate che le e-mail sono facilmente manipolabili e non offrono sicurezza totale.
I vostri collaboratori devono segnalare tempestivamente ogni situazione sospetta a un punto di contatto interno.
Promuovete un sano scetticismo verso richieste insolite.
Valutate con attenzione quali informazioni pubblicare sulla vostra azienda e sui vostri dipendenti. Limitatele allo stretto necessario.

Fatture false

Gli autori contattano un’azienda fingendosi un partner commerciale esistente, come un fornitore. Richiedono il pagamento di una fattura legittima su un nuovo conto bancario, finora sconosciuto. In precedenza, hanno avuto accesso all’infrastruttura IT dell’azienda o del vero partner per raccogliere informazioni utili a rendere la richiesta molto credibile. La persona contattata ritiene plausibile la richiesta ed effettua il pagamento verso un conto controllato dai truffatori.

Truffa del CEO (CEO Fraud)

In questo caso, i criminali si rivolgono direttamente al reparto finanziario fingendosi un dirigente – ad esempio il CEO o il CFO. Con il pretesto di una transazione urgente e confidenziale, chiedono un trasferimento immediato. Per sembrare credibili, falsificano indirizzi e-mail o contenuti dei messaggi. La vittima crede di seguire un ordine legittimo e trasferisce i fondi sul conto dei truffatori.

Frode salariale

I truffatori si spacciano per dipendenti e contattano il reparto HR da un’e-mail apparentemente personale, non aziendale. Chiedono di modificare l’IBAN registrato, ad esempio a causa di un presunto cambio di banca. Anche in questo caso, l’identità viene imitata in modo convincente tramite indirizzi falsi o account compromessi. L’HR aggiorna i dati e il prossimo stipendio viene versato sul conto dei truffatori.

1
Raccolta di informazioni
I criminali raccolgono in modo mirato informazioni su aziende, collaboratori, processi e, se necessario, anche su persone private. Utilizzano fonti accessibili pubblicamente nonché tecniche manipolative come il phishing, l’hacking o l’approccio diretto alle persone per ottenere informazioni sensibili. Queste informazioni costituiscono la base per l’inganno successivo. La raccolta può protrarsi per giorni, settimane o persino mesi.
2
Inganno
Gli aggressori sfruttano le informazioni raccolte per conquistare la fiducia delle vittime. Si spacciano per persone o organizzazioni affidabili, utilizzando e-mail, messaggi o telefonate false per manipolare le loro vittime. Spesso fanno leva su urgenza e riservatezza per aumentare la pressione. Oggi, grazie ai deepfake, è possibile imitare in modo convincente voci e persone.
3
Esecuzione del pagamento
La persona ingannata effettua un pagamento su un conto bancario controllato dai truffatori. Grazie a una manipolazione abile, ogni dubbio viene eliminato e il pagamento viene effettuato senza ulteriori controlli. La vittima è convinta di eseguire una transazione legittima.

Informate immediatamente il vostro reparto IT, così che possa adottare le misure necessarie.
Contattate subito la vostra banca, che potrà attivare misure di protezione e, se possibile, contestare l’operazione fraudolenta.
Valutate la possibilità di sporgere denuncia penale, anche se non si è verificato un danno economico.

Per qualsiasi domanda, il vostro consulente sarà lieto di aiutarvi.

Frode nei pagamenti

Raccolta di informazioni

Inganno

Esecuzione del pagamento

Avete riscontrato un’attività sospetta?

Aiuto

Prodotti

Settori

A proposito di noi