Business Email Compromise (BEC) è la categoria di frodi che usa email aziendali compromesse o spoofate per indurre bonifici verso conti malevoli.
Sottotipi:
- CEO fraud: finto ordine del capo.
- Vendor fraud: finto fornitore che cambia IBAN.
- Account compromise: l'attaccante prende davvero il controllo dell'email del CEO/CFO e scrive dal suo indirizzo vero.
- Attorney impersonation: finto avvocato che chiede transazione "riservata".
L'IA ha cambiato il gioco:
- Email scritte in italiano impeccabile, nello stile aziendale corretto.
- Personalizzazione massiccia: l'attaccante studia la corrispondenza prima di colpire.
- Chatbot che gestiscono lo scambio email con il bersaglio in tempo reale, in più lingue.
Numeri FBI IC3 (2023): perdite globali da BEC oltre 2,9 miliardi di dollari/anno. In Italia, dati Polizia Postale 2024: 75 milioni di euro denunciati, ma il sommerso è enorme (le aziende non denunciano per immagine).
Come si previene:
- Email con autenticazione: SPF, DKIM, DMARC configurati correttamente. La maggior parte delle PMI italiane non li ha.
- Verifica out-of-band per ogni cambio IBAN o richiesta di bonifico fuori procedura.
- Doppia firma per importi rilevanti.
- 2FA su email aziendali (evita account compromise).
- Formazione: simulazioni BEC almeno trimestrali per ruoli sensibili.
In Italia: per PMI il CSIRT Italia e le Camere di Commercio hanno programmi di sensibilizzazione gratuiti. Vale la pena.