Quando la Polizia Postale decide di diramare un avviso pubblico su una specifica truffa informatica, vuol dire che i numeri stanno salendo parecchio. Ed è esattamente quello che sta succedendo con la tecnica nota come man in the middle, un tipo di attacco che prende di mira le email aziendali scambiate tra clienti e fornitori. Il meccanismo è tanto semplice quanto efficace: qualcuno si infila nelle comunicazioni, le intercetta e le manipola. Il tutto senza che nessuna delle due parti se ne accorga, almeno fino a quando non è troppo tardi.
Il cuore della frode ruota attorno a un elemento molto concreto: le richieste di pagamento. Chi porta avanti l’attacco punta a sostituire l’IBAN legittimo presente nelle email con uno sotto il proprio controllo. Così il denaro, anziché arrivare al fornitore che ha effettivamente erogato un servizio o consegnato della merce, finisce dritto nelle tasche dei truffatori. E la cosa più subdola è che la vittima non è solo chi paga, ma anche chi quel pagamento lo aspettava legittimamente.
Come funziona l’attacco e perché è così efficace
Il modus operandi descritto dalla Polizia Postale segue uno schema piuttosto preciso. Prima di tutto, il responsabile dell’attacco intercetta la corrispondenza tra azienda e fornitore. Poi crea messaggi praticamente identici a quelli originali, copiando grafiche, firme e persino il tono della scrittura. All’interno di queste email contraffatte viene inserito un IBAN diverso, accompagnato da giustificazioni che suonano credibili: problemi amministrativi, aggiornamento contabile, cambio di istituto bancario. Roba che in un contesto lavorativo frenetico può passare inosservata con una facilità disarmante.
Le aziende più esposte a questo tipo di truffa man in the middle sono quelle che effettuano transazioni regolari con fornitori, sia italiani che esteri. Inviare pagamenti è un’attività quotidiana in ambito professionale, ed è proprio su questa routine che i criminali fanno leva. Basta che una sola vittima cada nel tranello e hanno già incassato.
Come proteggersi dalla truffa sulle email aziendali
I consigli per difendersi richiedono più che altro attenzione e un pizzico di buon senso. Prima di tutto, ogni volta che arriva una richiesta di modifica dell’IBAN è fondamentale verificarla attraverso un canale alternativo: una telefonata a un numero già noto, una PEC ufficiale, un contatto verificato in modo indipendente. Mai fidarsi del solo contenuto della email ricevuta.
Poi c’è la questione degli indirizzi del mittente. Spesso presentano variazioni minime, magari una lettera in più o un dominio leggermente diverso. Dettagli che sfuggono facilmente se non ci si presta la giusta attenzione. Sul fronte tecnico, è importante implementare sistemi di protezione sulle caselle di posta e sui server aziendali: autenticazione a più fattori, filtri antispam avanzati e protocolli di sicurezza aggiornati.
In caso di tentativi sospetti, la Polizia Postale raccomanda di segnalare immediatamente l’accaduto al Commissariato di PS Online e al proprio istituto bancario, così da bloccare eventuali trasferimenti di denaro prima che diventino irreversibili.
