Team MailSniper
Autore
Giovedì, ore 11:47. Sara M., responsabile amministrativa di una PMI metalmeccanica nel bergamasco, sta smistando le email della mattina quando arriva una fattura da un fornitore storico. Il PDF ha il logo giusto, l'intestazione corretta, il numero d'ordine che corrisponde a quello del mese scorso. L'IBAN però è diverso. "Dev'essere cambiata la banca," pensa Sara, e procede ad aggiornare i dati nel gestionale. Il bonifico di €47.000 viene autorizzato due giorni dopo dall'amministratore delegato, che firma senza sospettare nulla.
Tre settimane più tardi, il fornitore chiama perché non ha ricevuto il pagamento. A quel punto, i soldi sono già transitati attraverso tre conti in paesi diversi e sono sostanzialmente irrecuperabili.
Non è una storia inventata. È la ricostruzione fedele di uno degli attacchi che, nelle ultime settimane, ha colpito alcune aziende manifatturiere del Nord Italia — tutte accomunate dallo stesso meccanismo: una email che sembrava assolutamente legittima, proveniente da un fornitore reale, con documenti autentici come involucro.
La chiamano Business Email Compromise sulla supply chain, o più tecnicamente vendor email compromise (VEC). E a differenza del classico BEC — dove i criminali si fingono il CEO dell'azienda vittima — qui il punto d'ingresso è esterno: l'attaccante compromette prima il sistema del fornitore, e poi usa quella posizione di fiducia per colpire.
L'FBI, nel suo Internet Crime Report più recente, ha catalogato il BEC come una delle forme di cybercrime più costose a livello globale, con perdite che si misurano in miliardi di dollari ogni anno. Ma la variante supply chain è quella che sta crescendo più rapidamente, perché sfrutta una vulnerabilità che nessuna patch può correggere: la fiducia.
Quando un'email arriva da un indirizzo che il destinatario conosce, che appartiene a un fornitore con cui lavora da anni, le difese psicologiche si abbassano drasticamente. Non c'è il senso di urgenza artificiale del phishing classico — "Agisci subito o il tuo account verrà bloccato". Non c'è lo sconosciuto che chiede dati sensibili. C'è un partner commerciale che manda la solita fattura mensile, come fa da sempre.
Sia il CISA americano che l'ENISA europea hanno evidenziato nei loro report più recenti come gli attacchi alla supply chain digitale stiano diventando una priorità preoccupante per governi e imprese. In Italia, il CSIRT nazionale ha segnalato un incremento significativo di casi legati a compromissione di account email aziendali nell'ultimo anno, con particolare attenzione al settore manifatturiero e alle PMI, tradizionalmente meno protette rispetto alle grandi aziende.
Il dato che rende il fenomeno particolarmente insidioso: la maggior parte delle vittime non si accorge dell'attacco se non settimane dopo, spesso solo perché il fornitore segnala il mancato pagamento. In quel momento, i soldi sono quasi sempre irrecuperabili e le prove digitali si sono disperse attraverso una catena di conti internazionali.
Le PMI italiane sono nel mirino per una ragione strutturale: tendono ad avere relazioni commerciali basate sulla fiducia personale, processi di verifica meno formalizzati rispetto alle grandi aziende, e sistemi di sicurezza email spesso sottodimensionati rispetto al rischio reale. Il problema non è la mancanza di consapevolezza — è la distanza percepita tra il rischio astratto e la concretezza dell'operatività quotidiana.
Per capire come un'email del genere riesca a passare indisturbata attraverso filtri antispam e antivirus, bisogna seguire il percorso dell'attaccante dall'inizio. È una storia di pazienza, di intelligence e di ingegneria sociale portata al livello successivo.
Tutto inizia mesi prima. I criminali identificano le aziende target — spesso PMI con un volume di transazioni elevato — e mappano la loro rete di fornitori. Strumenti OSINT (Open Source Intelligence) come LinkedIn, siti web aziendali e il registro delle imprese forniscono tutto il necessario: nomi dei responsabili amministrativi, indirizzi email, nomi dei fornitori principali e cicli di fatturazione. È un lavoro meticoloso, non dissimile da quello di un investigatore privato.
È qui il punto chiave che distingue il VEC dal BEC tradizionale. L'attaccante non si limita allo spoofing del dominio, che un buon filtro email riconosce. Ottiene l'accesso reale alla casella email del fornitore, tipicamente attraverso una campagna di phishing precedente o sfruttando credenziali rubate e vendute sul dark web. Una volta dentro, studia la comunicazione per settimane: impara i pattern, i nomi dei contatti, il formato delle fatture, i cicli di pagamento, persino il tono colloquiale usato tra le parti. È preparazione chirurgica.
Quando il momento è giusto — tipicamente vicino a una scadenza di pagamento reale — l'attaccante si inserisce nel thread email già esistente. Non apre una nuova conversazione: risponde a una catena già in corso, ereditando tutta la storia e il contesto. Cambia solo una cosa: le coordinate bancarie nel PDF allegato o nel corpo dell'email. Nessun flag, nessun alert, nessun motivo apparente per insospettirsi.
Il PDF allegato è spesso autentico, con il logo, la firma e tutti gli elementi grafici corretti — perché il criminale ha accesso all'account reale del fornitore e può scaricare template o fatture precedenti. Modifica solo l'IBAN, o aggiunge una nota come "a causa di controlli bancari interni, vi chiediamo di aggiornare le coordinate per questo pagamento". Plausibile, professionale, convincente. Alcuni attacchi includono anche un link per "scaricare la fattura aggiornata", che installa malware o raccoglie credenziali. Ma spesso non è necessario: basta la fattura con l'IBAN sbagliato.
Il bonifico viene eseguito verso un conto mulo, tipicamente in paesi con normative bancarie permissive. Il denaro viene frammentato e trasferito rapidamente attraverso più giurisdizioni. Entro 24-48 ore dall'esecuzione del bonifico, il recupero diventa praticamente impossibile. Le autorità possono aprire un'indagine, ma le probabilità di rivedere quei fondi sono statisticamente vicine allo zero.
Per Sara e la sua azienda, le conseguenze vanno ben oltre i 47.000 euro. C'è il danno immediato — il bonifico non recuperato, le spese legali per tentare il recupero, i costi di incident response per capire cosa sia effettivamente successo. Ma c'è anche il danno relazionale: il fornitore che non ha ricevuto il pagamento ha subito a sua volta un torto, e il rapporto commerciale — costruito in anni di lavoro — si incrina in modi difficili da riparare.
Poi c'è la componente legale. Il GDPR impone alle aziende di notificare le violazioni di dati personali entro 72 ore dalla scoperta. Se l'attacco ha comportato accesso non autorizzato a dati personali — e quasi sempre lo comporta, visto che l'attaccante ha letto per settimane la corrispondenza riservata — scatta l'obbligo di data breach notification al Garante Privacy. Le sanzioni per mancata notifica possono essere rilevanti.
In Italia, la responsabilità legale di questi casi è ancora in evoluzione giurisprudenziale. Chi paga? L'azienda che ha eseguito il bonifico? La banca? Il fornitore la cui casella è stata compromessa? Nella pratica, spesso nessuno rimborsa nessuno, e la vittima finale resta con il danno integrale.
Le assicurazioni cyber — ancora poco diffuse tra le PMI italiane — coprono generalmente questi casi solo se l'azienda dimostra di aver adottato misure di sicurezza adeguate ex ante. Altrimenti, il sinistro viene rigettato.
La storia di Sara ha una morale amara ma concreta: l'attacco era prevenibile, a più livelli.
Il primo è procedurale. Le aziende con un volume di transazioni significativo dovrebbero adottare la regola del "cambio IBAN = verifica telefonica obbligatoria". Non via email, non via messaggio — una telefonata al numero già in rubrica, non quello indicato nell'email. È una misura a costo zero che blocca la maggior parte di questi attacchi prima che diventino un problema.
Il secondo livello è tecnico. DMARC, DKIM e SPF — i tre protocolli di autenticazione email — avrebbero potuto fare qualcosa, ma non tutto. Quando l'attaccante usa l'account reale del fornitore, questi meccanismi non rilevano nulla di anomalo: l'email è tecnicamente autentica. È qui che entrano in gioco sistemi di analisi comportamentale. Gli strumenti di sicurezza email più avanzati analizzano i pattern di comunicazione nel tempo: se un fornitore con cui si comunica da anni cambia improvvisamente l'orario tipico di invio, usa un client email diverso, o introduce pattern linguistici inusuali, questi segnali possono essere intercettati prima che il danno avvenga. MailSniper, basato sul motore Libraesva, include questo tipo di analisi semantica AI sulla relazione mittente-destinatario, capace di rilevare anomalie comportamentali anche quando l'indirizzo è formalmente corretto.
Il terzo livello è organizzativo. La formazione del personale amministrativo non può essere generica. Servono simulazioni specifiche su scenari VEC, non i soliti corsi sul phishing con link ovvi che chiunque riconoscerebbe a colpo d'occhio. E la verifica a quattro occhi — che richiede l'approvazione di due persone indipendenti per i bonifici sopra una certa soglia — è una misura semplice ed efficace che molte aziende trascurano ancora oggi.
Puoi approfondire come funziona l'analisi comportamentale applicata alla sicurezza email nella pagina come funziona, o valutare le opzioni disponibili per la tua azienda in servizi e prezzi.
C'è qualcosa di profondamente scomodo in questo tipo di attacco: ci ricorda che la sicurezza di un'azienda dipende anche dalla sicurezza dei suoi fornitori. Non puoi controllare che tutti nella tua filiera adottino misure adeguate. Puoi però controllare i tuoi processi interni, i tuoi strumenti e la preparazione del tuo personale.
La domanda da porsi non è "siamo abbastanza grandi da essere un bersaglio?". La risposta, ormai, è quasi sempre sì. La domanda giusta è: quando arriverà l'email giusta, con il PDF giusto e l'IBAN sbagliato, la tua azienda sarà pronta a riconoscerla prima di fare clic su "Esegui bonifico"?
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoVenerdì pomeriggio, CISA aggiunge CVE-2025-53521 al KEV: exploit attivi su F5 BIG-IP APM, il sistema che gestisce l'accesso remoto di migliaia di aziende. La corsa contro il tempo è iniziata.
LeggiIl Rapporto Clusit 2025 lancia l'allarme: il manifatturiero italiano è diventato il bersaglio preferito degli hacker. Con 213 attacchi in sei mesi, le aziende industriali devono correre ai ripari prima che sia troppo tardi.
LeggiUn cluster di hacker con presunti legami cinesi ha sfruttato una vulnerabilità critica in Dell RecoverPoint per 18 mesi prima che venisse scoperta. Un caso che ribalta la logica della difesa.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.