Redazione MailSniper
Autore
Non arriva con un virus. Non blocca il computer. Non chiede un riscatto. L'attacco BEC (Business Email Compromise) e' la truffa via email piu' redditizia al mondo — e l'Italia e' uno dei bersagli preferiti.
Funziona cosi': un criminale studia la tua azienda, impara chi paga le fatture, chi autorizza i bonifici, chi parla con i fornitori. Poi invia un'email che sembra arrivare dal CEO, dal direttore finanziario o da un fornitore abituale. Il messaggio e' perfetto: tono giusto, firma giusta, contesto giusto. L'unica differenza? L'IBAN in fondo alla fattura.
Niente link malevoli. Niente allegati infetti. Solo un'email convincente che chiede di spostare soldi. Ed e' per questo che i filtri antispam tradizionali non la bloccano.
I dati parlano chiaro. E dovrebbero preoccuparti.
Secondo il Rapporto Clusit 2026, gli attacchi BEC rappresentano il 21% di tutti gli incidenti cyber in Italia che coinvolgono la posta elettronica. In termini assoluti, sono cresciuti del 35% rispetto al 2024.
La Polizia Postale ha registrato nel 2025 oltre 4.800 denunce per frodi via email di tipo BEC sul territorio italiano, con un danno complessivo stimato in oltre 150 milioni di euro. E questi sono solo i casi denunciati — la cifra reale e' probabilmente il doppio, perche' molte aziende non denunciano per vergogna o per non danneggiare la propria reputazione.
Ecco i numeri chiave:
Vuoi calcolare quanto potrebbe costare un attacco alla tua azienda? Usa il nostro calcolatore del costo di un attacco per avere una stima personalizzata.
Gli attacchi BEC non colpiscono tutti allo stesso modo. Alcuni settori sono bersagli privilegiati, perche' muovono molti soldi via email e hanno catene di fornitura complesse.
Il settore piu' colpito in assoluto. Le aziende manifatturiere lavorano con decine di fornitori, emettono e ricevono centinaia di fatture al mese, e spesso i pagamenti vengono gestiti da poche persone nell'ufficio amministrativo. Un criminale che si inserisce nella comunicazione tra un'azienda e il suo fornitore abituale puo' modificare un singolo IBAN e incassare decine di migliaia di euro.
Banche, assicurazioni e societa' finanziarie sono bersagli naturali: gestiscono denaro per mestiere. Gli attaccanti prendono di mira i dipendenti che autorizzano le transazioni, spesso impersonando dirigenti o clienti premium.
Caparre, acconti, saldi — il settore immobiliare muove somme importanti con singole transazioni via email. Un attacco BEC piazzato al momento giusto, durante una compravendita, puo' dirottare decine di migliaia di euro con un singolo messaggio.
Ospedali, ASL e enti pubblici sono sempre piu' nel mirino. Spesso hanno sistemi IT datati, personale poco formato sulla sicurezza email e procedure di pagamento rigide ma prevedibili — un mix perfetto per il BEC.
Le piccole e medie imprese sono il bersaglio preferito per un motivo semplice: hanno meno difese. Niente team IT dedicato, niente gateway email avanzato, niente procedure di verifica a doppio canale per i pagamenti. Il criminale lo sa e ne approfitta.
Gli attacchi BEC seguono schemi ricorrenti. Conoscerli e' il primo passo per non cascarci.
Ricevi un'email dal tuo fornitore abituale — quello a cui paghi le fatture da tre anni. Il messaggio dice: "Abbiamo cambiato banca. Da questo mese, usa queste nuove coordinate bancarie per i pagamenti."
L'email sembra perfetta. Stessa firma, stesso tono, stesso formato. L'unica differenza: non l'ha scritta il fornitore, ma un criminale che ha intercettato le vostre comunicazioni (magari compromettendo la casella email del fornitore, o semplicemente registrando un dominio simile come fornitore-srl.com invece di fornitoresrl.com).
Tu paghi. I soldi vanno al criminale. Il fornitore vero ti chiama dopo 30 giorni chiedendo perche' non hai pagato la fattura.
Questo e' il classico attacco di whaling. Il direttore finanziario riceve un'email dal CEO: "Mi serve un bonifico urgente di 35.000 euro a questo conto. E' per un'acquisizione riservata, non parlarne con nessuno."
L'urgenza. La riservatezza. L'autorita'. Sono le tre leve psicologiche che rendono questo attacco devastante. Il dipendente non vuole contraddire il capo, non vuole fare domande su qualcosa di "riservato", e l'urgenza spinge ad agire senza verificare.
In Italia, la Polizia Postale segnala che la frode del CEO rappresenta circa il 38% di tutti i casi BEC denunciati.
Una variante sottile del finto fornitore. Il criminale intercetta una fattura reale in transito — via compromissione della casella email del mittente o del destinatario — e la modifica cambiando solo l'IBAN. Poi la re-invia. La fattura e' autentica al 99%. Importo corretto, oggetto corretto, partita IVA corretta. Solo le coordinate bancarie sono diverse.
Questo tipo di attacco e' quasi impossibile da individuare senza un controllo specifico sull'IBAN.
Meno frequente ma in forte crescita. Il criminale impersona un avvocato o un consulente esterno e contatta l'amministrazione con richieste di pagamento urgenti legate a "pratiche legali in corso" o "obblighi fiscali immediati". Fa leva sulla paura di conseguenze legali per spingere il pagamento rapido.
Ecco il problema fondamentale. Un'email BEC, nella stragrande maggioranza dei casi:
I filtri antispam classici cercano virus, link pericolosi e mittenti sospetti. Ma un attacco BEC non usa niente di tutto questo. Usa solo parole. Parole giuste, nel momento giusto, alla persona giusta.
Per questo servono strumenti diversi.
MailSniper usa un approccio multilivello specifico per il BEC che va ben oltre il filtro antispam tradizionale.
Il motore di intelligenza artificiale di MailSniper impara i pattern di comunicazione della tua azienda. Chi scrive a chi, con che frequenza, con che tono, su che argomenti. Quando arriva un'email che si discosta dal pattern — ad esempio il CEO che scrive al direttore finanziario alle 2 di notte con una richiesta di bonifico urgente, cosa che non ha mai fatto prima — il sistema la segnala immediatamente.
MailSniper confronta il mittente dichiarato con una serie di indicatori tecnici: indirizzo IP di origine, header email, dominio di invio, record di autenticazione. Se qualcosa non torna — anche un dettaglio minimo, come un dominio scritto con una lettera diversa (typosquatting) — l'email viene bloccata o messa in quarantena.
L'AI analizza il significato del messaggio, non solo le keyword. Riconosce le richieste di pagamento urgenti, i cambi di coordinate bancarie, le pressioni sulla riservatezza — tutti i segnali tipici del BEC — anche quando sono scritti in italiano perfetto e senza errori grammaticali.
Se l'attaccante usa un account email legittimo (compromesso tramite phishing precedente), i controlli SPF e DKIM passano. Ma MailSniper rileva comunque l'anomalia: il contenuto dell'email non corrisponde al comportamento abituale di quel mittente, oppure il messaggio viene inviato da una posizione geografica o un dispositivo insoliti.
Mentre implementi una protezione avanzata, ecco cinque regole che puoi applicare da oggi:
Gli attacchi BEC crescono ogni anno perche' funzionano. Sono semplici, economici per il criminale, e devastanti per la vittima. E in Italia siamo particolarmente esposti: un tessuto economico fatto di PMI con poche risorse IT, catene di fornitura lunghe e una cultura della verifica a doppio canale ancora poco diffusa.
La buona notizia? Con gli strumenti giusti e un minimo di consapevolezza, il BEC si ferma. Non servono investimenti enormi. Serve un gateway email intelligente che sappia riconoscere le email "troppo perfette" per essere vere.
Prossimi passi:
Redazione MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoAlle 3:47 di una notte qualsiasi, un analista scopre i dati di AstraZeneca su un forum underground. Dietro c'è TeamPCP, con una tattica rara: il doppio ransomware. Ecco come funziona l'attacco alla supply chain che ha messo in ginocchio due colossi
LeggiQuarantotto ore senza nuovi host compromessi. Per la campagna TeamPCP non è un segnale positivo: significa che il gruppo ha smesso di espandersi e ha iniziato a raccogliere. Analisi della fase di monetizzazione, TTPs e raccomandazioni operative per i team di sicurezza.
LeggiUn add-in malevolo per Microsoft Outlook ha sottratto oltre 4.000 credenziali aziendali. Analizziamo come funziona questo nuovo vettore di attacco, perché sfugge ai controlli tradizionali e quali contromisure adottare per proteggere la tua organizzazione.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.