Attacchi Supply Chain via Email: il Nuovo Rischio

L'Email Arriva dal Tuo Fornitore. Il Problema e' Che non l'Ha Mandata Lui.

Immagina questa situazione. Ricevi un'email dal tuo commercialista. Stesso indirizzo di sempre, stessa firma in calce, stesso tono. Ti chiede di pagare una fattura su un nuovo IBAN — dice che hanno cambiato banca. Tu paghi. Tre giorni dopo, il commercialista vero ti chiama: "Che fattura? Non ti ho mandato nulla."

Benvenuto nel mondo degli attacchi supply chain via email. Non e' fantascienza. E' quello che succede ogni giorno a centinaia di aziende italiane. E il motivo per cui e' cosi' devastante e' semplice: l'email e' autentica. Arriva davvero dal server del fornitore. SPF passa. DKIM passa. DMARC passa. L'indirizzo mittente e' quello giusto. Non c'e' nessun segnale tecnico di allarme.

L'unica cosa sbagliata e' chi sta usando quell'account.

Come Funziona un Attacco Supply Chain via Email

La logica e' elegante nella sua semplicita'. Invece di attaccare la tua azienda — che magari ha un buon firewall, un gateway email decente, dipendenti formati — l'attaccante cerca l'anello debole della catena. Il tuo fornitore piu' piccolo. Lo studio legale con 3 dipendenti. L'agenzia di marketing che usa la stessa password dal 2019.

Fase 1: La Compromissione del Fornitore

L'attaccante sceglie un bersaglio facile nella tua supply chain. Come? E' piu' semplice di quanto pensi:

• LinkedIn: basta cercare il nome della tua azienda per trovare chi interagisce con te. Fornitori, partner, collaboratori — sono tutti visibili.
• Siti web aziendali: molte aziende pubblicano i loghi dei propri clienti nella sezione "I nostri clienti". L'attaccante li usa al contrario: cerca il fornitore piu' piccolo nella lista.
• Dati pubblici: fatture elettroniche, gare d'appalto, MEPA — le relazioni commerciali sono spesso tracciabili.

Una volta identificato il fornitore, l'attaccante lo compromette. Il metodo piu' comune? Phishing. Un'email al dipendente del fornitore che lo porta a inserire le credenziali della casella email su un sito clone. Password rubata. Accesso ottenuto.

Se il fornitore non ha MFA (e il 72% delle PMI italiane non ce l'ha sulla email), l'attaccante entra nella casella senza nessun ostacolo.

Fase 2: L'Osservazione Silenziosa

Ecco la parte che distingue un attacco supply chain da un phishing generico. L'attaccante non agisce subito. Si siede e legge. Per giorni, a volte settimane.

Legge le email tra il fornitore e i suoi clienti. Studia il tono, il formato, le abitudini. Capisce chi paga cosa, quando arrivano le fatture, quali sono gli importi normali, come si chiamano i referenti interni. Impara a scrivere esattamente come scriverebbe il titolare del fornitore.

Creando regole di inoltro automatico nell'account compromesso, l'attaccante riceve una copia di tutto senza che il fornitore se ne accorga. La casella email continua a funzionare normalmente. Il fornitore non sospetta nulla.

Fase 3: L'Attacco

Quando l'attaccante ha capito il momento giusto — tipicamente quando sa che una fattura reale sta per essere emessa — colpisce. I tre scenari piu' comuni:

Fattura con IBAN modificato. L'attaccante intercetta la fattura reale che il fornitore sta per inviarti (la vede perche' ha accesso alla casella). La modifica — cambia solo l'IBAN — e la invia dalla casella compromessa. Tu ricevi una fattura identica a quelle che ricevi sempre, dallo stesso indirizzo email di sempre, con lo stesso importo che ti aspettavi. L'unica differenza e' l'IBAN. E chi controlla l'IBAN su ogni fattura?

Link a portale clone. L'email ti chiede di accedere a un portale fornitori per scaricare documentazione, aggiornare dati, o approvare un ordine. Il link porta a una copia perfetta del portale reale. Inserisci le tue credenziali e le hai regalate all'attaccante. Ora ha accesso anche alla tua azienda.

BEC tramite fornitore compromesso. L'attaccante usa l'account del fornitore per chiederti un pagamento urgente — un acconto su un progetto, una fattura anticipata, un saldo da effettuare prima della scadenza. Dato che la richiesta arriva da un fornitore reale con cui hai rapporti commerciali attivi, non sospetti nulla.

Perche' le Difese Tradizionali Non Bastano

Questo e' il punto cruciale che rende gli attacchi supply chain cosi' pericolosi. Le difese email tradizionali si basano su tre pilastri:

1. Autenticazione del mittente (SPF, DKIM, DMARC)
2. Reputazione del dominio mittente
3. Analisi del contenuto (parole sospette, pattern noti)

In un attacco supply chain, tutti e tre i pilastri cedono:

• SPF, DKIM, DMARC passano perche' l'email parte davvero dal server del fornitore. Non e' spoofing. L'account e' stato compromesso, ma il dominio e' legittimo.
• La reputazione e' ottima perche' e' un dominio che ti manda email da mesi o anni. Il tuo gateway lo conosce e si fida.
• Il contenuto e' normale perche' l'attaccante ha studiato lo stile di comunicazione del fornitore. Niente "urgente!!!", niente errori grammaticali, niente link sospetti a prima vista.

E' come un ladro che ruba le chiavi di casa del tuo vicino e entra dal tuo portone con quelle. Il portone funziona perfettamente. La serratura non e' stata forzata. Le chiavi sono quelle giuste. Ma chi le usa non e' il tuo vicino.

Puoi verificare la configurazione di autenticazione dei tuoi fornitori con il nostro analizzatore di header email. Se un'email dal tuo fornitore mostra anomalie nei campi Received: o discrepanze nel percorso del messaggio, potrebbe essere un segnale.

Esempi Reali: Quando la Supply Chain Cede

Non sono scenari teorici. Succede continuamente.

Il Caso dello Studio Commercialista (Italia, 2025)

Uno studio commercialista con 8 dipendenti e 200 clienti viene compromesso tramite una email di phishing. L'attaccante accede alla casella del titolare e monitora le comunicazioni per 3 settimane. Quando individua un cliente che sta per pagare una fattura da 47.000 euro, intercetta la comunicazione e invia una fattura identica con IBAN diverso. Il cliente paga. Quando lo studio reale invia la fattura vera due giorni dopo, il cliente si accorge del doppio pagamento. Ma i 47.000 euro sono gia' spariti.

Il Caso del Fornitore IT (Europa, 2024)

Un fornitore di servizi IT (MSP) che gestisce i sistemi di 150 aziende clienti viene compromesso. L'attaccante usa l'account email dell'MSP per inviare a tutti i clienti un "aggiornamento di sicurezza urgente" — in realta' un ransomware. Dato che l'email arriva dal fornitore IT, la maggior parte dei destinatari la apre senza sospettare. 23 aziende vengono cifrate in un solo giorno.

Il Pattern della Fattura Modificata (Italia, Continuo)

La truffa della fattura con IBAN modificato e' talmente diffusa in Italia che la Polizia Postale ha creato una pagina dedicata. L'importo medio e' di 15.000-30.000 euro, ma ci sono casi documentati oltre i 200.000 euro. La particolarita': nella maggior parte dei casi, il fornitore non sa nemmeno di essere stato compromesso finche' il cliente non segnala il problema.

Come Difendersi: 6 Strategie Concrete

Gli attacchi supply chain sono sofisticati, ma non imbattibili. Servono pero' difese che vanno oltre il filtro antispam tradizionale.

1. Verifica Out-of-Band per i Pagamenti

La regola d'oro, semplice e devastantemente efficace: qualsiasi modifica alle coordinate bancarie va confermata per telefono. Non per email, non per WhatsApp. Per telefono, chiamando il numero che hai gia' in rubrica (non quello scritto nell'email).

Crea una policy aziendale scritta: nessun pagamento su IBAN diverso dal solito senza conferma vocale. Nessuna eccezione, nemmeno per importi piccoli. Gli attaccanti spesso iniziano con fatture da 2.000-3.000 euro per testare il canale, prima di colpire con importi maggiori.

2. DMARC con Policy Strict sui Tuoi Domini

Non puoi controllare la configurazione email dei tuoi fornitori. Ma puoi proteggere il tuo dominio con DMARC in modalita' p=reject, cosi' nessuno puo' impersonare la tua azienda verso i tuoi clienti e partner.

E puoi chiedere ai tuoi fornitori critici di fare lo stesso. Inseriscilo nei contratti. La NIS2 lo richiede esplicitamente: devi verificare che anche la tua catena di fornitura abbia standard di sicurezza adeguati.

3. Analisi Comportamentale delle Email

Qui entra in gioco la tecnologia avanzata. Un gateway email moderno non si limita a controllare se il mittente e' autenticato. Analizza il comportamento:

• Questo fornitore di solito ti scrive una volta al mese. Oggi ti ha scritto 3 volte in 2 ore. Anomalia.
• Le email di questo mittente arrivano sempre tra le 9 e le 18. Questa e' arrivata alle 3 di notte. Anomalia.
• Il fornitore non ha mai inviato file .zip protetti da password. Oggi lo fa per la prima volta. Anomalia.
• L'email contiene un link a un dominio registrato 48 ore fa. Sospetto.

MailSniper, basato sulla tecnologia Libraesva, analizza questi pattern e genera allarmi quando il comportamento di un mittente fidato cambia improvvisamente. Non blocca l'email in automatico (potrebbe essere legittima), ma la segnala con un banner di avviso per l'utente e una notifica per l'IT.

4. Sandboxing degli Allegati — Anche dai Mittenti Fidati

Molti gateway email applicano il sandboxing solo alle email provenienti da mittenti sconosciuti o con reputazione bassa. Errore grave. In un attacco supply chain, l'allegato malevolo arriva da un mittente con reputazione ottima.

MailSniper analizza ogni allegato in sandbox, indipendentemente dalla reputazione del mittente. Il file viene aperto in un ambiente isolato, si osserva il suo comportamento (tenta di scaricare qualcosa? modifica il registro di sistema? si connette a server esterni?), e solo se e' pulito viene consegnato. Tempo medio: meno di 30 secondi.

5. URL Protection al Click

I link nelle email dei fornitori compromessi possono puntare a siti legittimi al momento della consegna e diventare malevoli ore dopo (tecnica chiamata "deferred phishing"). MailSniper riscrive ogni URL e la verifica al momento del click, non solo al momento della consegna. Se il sito e' stato trasformato in una pagina di phishing nel frattempo, il click viene bloccato.

6. NIS2 e Valutazione della Supply Chain

La Direttiva NIS2 non e' solo una questione di compliance burocratica. L'Articolo 21, comma 2, lettera d) richiede esplicitamente la "sicurezza della catena di approvvigionamento". In pratica, devi:

• Identificare i fornitori critici per la tua operativita'
• Valutare il loro livello di sicurezza informatica
• Richiedere standard minimi (MFA, DMARC, formazione anti-phishing)
• Monitorare nel tempo e documentare tutto

Non puoi piu' ignorare la sicurezza email dei tuoi fornitori. Se un loro account compromesso viene usato per attaccarti e tu non avevi misure di protezione adeguate, la responsabilita' ricade anche su di te.

Per una panoramica completa sui requisiti NIS2 per la sicurezza della supply chain, consulta la nostra guida NIS2 e email security.

Il Confronto: Filtro Base vs Gateway Avanzato

Per capire la differenza concreta, ecco cosa succede quando un'email da un fornitore compromesso arriva alla tua casella:

Vuoi vedere come il tuo sistema attuale si confronta con MailSniper? Dai un'occhiata al nostro confronto con le principali soluzioni.

Cosa Fare Adesso

Gli attacchi supply chain via email non sono una minaccia futura. Stanno succedendo adesso, in Italia, a aziende di ogni dimensione. La buona notizia e' che puoi proteggerti. Ma devi agire.

Tre azioni immediate:

1. Implementa la regola della conferma telefonica per qualsiasi modifica di coordinate bancarie. Oggi. Costa zero.
2. Analizza le email dei tuoi fornitori con il nostro analizzatore di header. Se noti anomalie nei percorsi di consegna, approfondisci.
3. Attiva un gateway che protegga anche dalle email legittime compromesse: prova MailSniper gratis per 30 giorni. Setup in 5 minuti, zero rischi.

Il tuo fornitore di fiducia potrebbe essere gia' compromesso in questo momento. La domanda non e' se riceverai un'email da un account violato. La domanda e' se sarai pronto quando succedera'.