Sicurezza nel traffico dei pagamenti «Attacono l’anello più debole della catena»

Markus Meyer, le PMI sono un po’ troppo credulone quando eseguono operazioni di pagamento elettroniche?

È pensiero comune credere che gli attacchi telematici puntino soprattutto ai sistemi contabili delle banche. Invece il processo di pagamento inizia già con la registrazione e il controllo delle fatture. Se si inseriscono dati sbagliati già all’atto della registrazione della fattura, sarà impossibile per la banca identificare il pagamento come una frode alla fine dell’iter. Molte aziende non sanno neanche come proteggersi durante l’intera procedura, e alcune non rinnovano i loro sistemi operativi da anni né installano programmi antivirus aggiornati.

Con quale frequenza avvengono queste truffe?

Non divulghiamo cifre concrete in merito. Posso però dire che in Svizzera nei sistemi di traffico dei pagamenti tra le banche si eseguono ogni mese 40 milioni di transazioni. E il tutto si svolge in modo davvero affidabile. La manipolazione non avviene durante le transazioni vere e proprie tra le banche, ma molto prima. Gli aggressori prendono di mira l’anello più debole della catena. Nei casi di frode tipici osservati, spesso si tratta di processi, sistemi e persone all’interno dell’impresa stessa, come per esempio i collaboratori che vengono tratti in inganno e spifferano password e dati di login per telefono.

Concretamente, come agiscono gli hacker?

Di solito viene prima immesso un trojan, ad esempio tramite un allegato nella posta elettronica. Con l’aiuto di questo software, gli hacker tengono sotto controllo la corrispondenza di un’azienda fino a quando non scoprono che le fatture dei fornitori arrivano sotto forma di allegati PDF. I formati PDF sono facilmente editabili. Quindi, il trojan apre questi documenti e modifica le istruzioni di pagamento, facendo comparire un numero IBAN sbagliato all’interno di una fattura originale. Le banche, quindi, non riconoscono l’illegittimità del pagamento per altro trasmesso correttamente.

Anche le PMI svizzere diventano dunque vittime della cybercriminalità?

Certamente. Un’impresa di medie dimensioni, per esempio, ricevette dal fornitore estero di lunga data una fattura in PDF tramite e-mail contenente improvvisamente un conto bancario nuovo. Purtroppo era stato falsificato. La collaboratrice che si occupava di elaborare la fattura non era molto convinta del nuovo conto del beneficiario e chiamò per scrupolo il fornitore al numero di telefono indicato nell’e-mail. Anche il numero era stato però falsificato: rispose uno degli hacker, spiegando che era tutto a posto e addirittura complimentandosi per la sana diffidenza e la domanda della donna. Questo ci fa capire quanto sia importante verificare attentamente i beneficiari in ogni dettaglio, specie in caso di modifiche di conto.

Si è a conoscenza di altri modi in cui gli hacker procedono?

Un altro tipico modo di agire è noto come «truffa del CEO». Tramite un trojan, la corrispondenza di un superiore viene monitorata costantemente per un certo periodo di tempo. Viene poi preparata un’e-mail strettamente confidenziale, scritta secondo lo stile del superiore e contenente informazioni su un’acquisizione aziendale che deve restare segreta. L’e-mail viene poi inviata a un collaboratore che si occupa della contabilità finanziaria in azienda. Sebbene le istruzioni di pagamento siano falsificate, una persona autorizzata a effettuare da sola i pagamenti procede al pagamento e i soldi spariscono per sempre. Un caso del genere è stato riportato sui quotidiani in Austria, ma succede anche da noi in Svizzera. Per evitare truffe del genere, è importante stabilire procedure chiare per le autorizzazioni dei pagamenti predisposti all’interno dell’azienda e introdurre anche la firma collettiva, soprattutto quando si tratta di importi considerevoli.

I truffatori raggirano le loro vittime soltanto per e-mail?

No, lo fanno anche per telefono. Le aziende sono prima vittime di un trojan e poi ricevono una lettera che preannuncia la chiamata da parte di un collaboratore della banca per controllare, per esempio, le impostazioni dell’e-banking. Gli hacker hanno fatto ricerche approfondite (grazie ai social media), conoscono molto bene le persone che vogliono raggirare e sanno, per esempio, quando qualcuno è appena andato in ferie. Al telefono si spacciano per collaboratori bancari e sono talmente convincenti da creare subito un rapporto di fiducia, finché le persone non rivelano loro i dati di accesso, le password e anche i numeri per confermare il bonifico al destinatario. E tutto questo per telefono!

Un assegno in bianco per i truffatori...

... esatto, tutto corrisponde alla perfezione pur essendo falso. Le banche non hanno nessuna possibilità di riconoscere l’illegittimità di una transazione del genere né di bloccarla. Così, sempre più persone vengono imbrogliate. Per questo non bisogna mai fornire i propri dati di accesso personali a terzi. Con le nuove impostazioni di sicurezza nell’UBS e-banking, come per esempio le restrizioni geografiche, cerchiamo di offrire una rete di sicurezza aggiuntiva. Tuttavia, il primo passo verso la sicurezza è sensibilizzare i propri collaboratori nei confronti dei tentativi di truffa.

Quali sono le aziende particolarmente esposte alla cybercriminalità?

In genere vengono prese di mira imprese di successo che dispongono di denaro o anche aziende in forte crescita che lavorano con l’estero e dall’oggi al domani iniziano a intrattenere rapporti commerciali con molti Paesi. In pochissimo tempo raccolgono decine di coordinate bancarie e i pagamenti all’estero diventano la norma. Ci vuole un attimo per perdere il controllo della situazione. I trojan aiutano le organizzazioni di hacker a capire quanto siano protetti la rete e il sistema operativo delle potenziali vittime. Se vengono identificate delle lacune, l’azienda finisce subito nel mirino dei truffatori che incominciano a bombardare i collaboratori di telefonate.

Quali misure precauzionali consiglia alle PMI?

Anzitutto dovrebbero rendersi poco appetibili per gli hacker. Anche i pirati informatici considerano il bilancio costi-benefici: se non conviene, lasciano perdere. Oltre all’aggiornamento periodico del sistema operativo e all’impiego di programmi antivirus attuali, occorre disporre soprattutto di procedure interne chiare, vale a dire processi che definiscono chi può aprire conti per beneficiari, dopo quali verifiche e chi può modificarli. Oppure procedure che garantiscono lo sblocco dei pagamenti soltanto previa firma collettiva da parte di due persone. Se un solo responsabile finanziario è in grado di trasferire decine di milioni, gli hacker potrebbero approfittare proprio di questo punto debole. E non mi stancherò mai di ripeterlo: mai trasmettere i codici di accesso personali a terzi, né via e-mail o web né per telefono.