La frequenza e la pervasività degli attacchi informatici ha fatto sì che il perimetro di sicurezza di un’azienda non sia, solamente, costituito dalla solidità della propria infrastruttura digitale ma, soprattutto, dalla consapevolezza del rischio da parte della dirigenza e degli addetti alle funzioni amministrative e finanziarie.

Le frodi informatiche che colpiscono il tessuto produttivo italiano sono diventate operazioni di grande raffinatezza, vere e proprie architetture criminali studiate in silenzio per mesi, e micidiali per i bilanci aziendali.

Una delle minacce più insidiose e più frequenti è rappresentata dalla cosiddetta "Business Email Compromise", comunemente nota come BEC.

Questa frode non inizia con un attacco frontale ai server aziendali, ma con una fase di osservazione silente. Gli attaccanti riescono a ottenere l'accesso alle credenziali di posta elettronica di un dipendente, spesso tramite tecniche di phishing o sfruttando vulnerabilità dei sistemi di autenticazione.

Una volta all'interno del sistema di comunicazione aziendale, l'intruso non agisce subito; resta in ascolto per settimane, studiando il linguaggio dell'azienda, le scadenze dei fornitori, i nomi dei referenti e lo stile delle fatture. Quando intercetta lo scambio di una fattura rilevante, interviene sostituendo l'IBAN originale con uno riconducibile a un conto corrente fantasma.

L'azienda che effettua il pagamento è convinta di adempiere a un obbligo contrattuale verso un partner storico, mentre in realtà sta trasferendo fondi verso destinazioni irrintracciabili.

Strettamente correlata a questa dinamica è la truffa del "Man-in-the-Middle", o uomo nel mezzo. Qui l'aggressore si inserisce letteralmente nel canale di comunicazione tra due parti, riuscendo a intercettare, leggere e modificare i messaggi senza che nessuno dei due interlocutori si accorga dell'intrusione. In ambito aziendale, questo si traduce nella manipolazione di flussi informativi critici. Immaginiamo una trattativa per l'acquisito di un macchinario industriale: l'attaccante può modificare i termini dell'accordo o le coordinate bancarie in tempo reale, rendendo l'inganno praticamente invisibile finché il fornitore non lamenta il mancato incasso, momento in cui però i fondi sono già stati fatti sparire attraverso una serie di passaggi transfrontalieri.

Di una frode del genere è stata recentemente vittima l'Opera di Santa Maria del Fiore, di Firenze, che è stata indotta ad effettuare il versamento di una cospicua somma, a titolo di pagamento per lavori di restauro, su un conto bancario diverso da quello realmente intestato al creditore.

Bisogna però evidenziare che tali frodi sono diventate di più difficile attuazione in quanto, in applicazione del Regolamento (UE) 2024/886 del 13 marzo 2024, tutte le banche hanno introdotto un nuovo servizio che consente di verificare la corrispondenza tra il nome del beneficiario e l’IBAN in occasione di ogni bonifico SEPA, sia ordinario che istantaneo, in euro.

Ancora più teatrale, e psicologicamente devastante, è la cosiddetta Truffa del CEO o "CEO Fraud". In questo scenario, l'arma principale non è un software malevolo, ma la manipolazione della volontà attraverso l'uso simulato dell'autorità. L'attacco non è quasi mai estemporaneo, ma segue una preparazione meticolosa: un dipendente, solitamente del reparto contabilità o amministrazione, riceve un messaggio che sembra provenire direttamente dall'amministratore delegato o da un dirigente di alto livello.

La narrazione è costruita per indurre l'illusione di uno stato di urgenza e, soprattutto, di un rapporto fiduciario ed esclusivo. Spesso il finto dirigente contatta la vittima chiedendo se sia disponibile per un compito estremamente riservato e delicato, creando un senso di importanza nel dipendente che si sente "scelto" per una missione critica.

Questa fase preliminare serve a saggiare la disponibilità della vittima e a stabilire un canale di comunicazione diretto, che spesso si sposta dalle mail aziendali a messaggi su WhatsApp o SMS, per eludere i controlli interni. Una volta stabilito il contatto, scatta la trappola: viene richiesto un pagamento immediato per una "acquisizione societaria segreta" o per un "affare internazionale urgente" che non deve assolutamente trapelare.

Il criminale impone il segreto più assoluto, intimando alla vittima di non parlarne con i propri superiori diretti o con i colleghi per non compromettere l'operazione. Questo isolamento psicologico è l'elemento chiave: la vittima, lusingata dalla fiducia del CEO e spaventata dalle possibili conseguenze di un fallimento della missione, si ritrova sola a decidere, priva dei normali filtri di controllo aziendale.

Casi reali dimostrano come i truffatori scelgano con cura il tempismo, agendo spesso nel tardo pomeriggio di un venerdì o nei giorni precedenti le festività, momenti in cui la soglia di attenzione cala e la possibilità di consultare altri dirigenti è ridotta.

L'avvento dell'intelligenza artificiale ha fornito ai criminali strumenti di straordinaria efficacia, rendendo queste frodi ancora più difficili da smascherare. Se in passato una mail di phishing poteva essere riconosciuta per un italiano incerto o per una formattazione grossolana, oggi i Large Language Models permettono di generare testi perfettamente coerenti, con un tono formale impeccabile e personalizzati sulla base dei dati pubblici dell'azienda, o dei suoi dipendenti reperiti, su LinkedIn o sui siti istituzionali.

Ma il vero salto di qualità è rappresentato dai deepfake. Esistono casi documentati in cui i criminali hanno utilizzato software di clonazione vocale basati su IA per simulare la voce del CEO durante una telefonata, convincendo il responsabile finanziario della legittimità dell'ordine. La capacità di emulare il timbro, l'inflessione e persino il modo di parlare di una persona conosciuta annulla quasi completamente le difese basate sul riconoscimento vocale umano e rende il senso di urgenza trasmesso a voce ancora più coercitivo.

Per difendersi da questo assedio non basta la tecnologia, ma occorre una profonda revisione della cultura aziendale e delle procedure interne. Il primo baluardo è la consapevolezza: ogni richiesta insolita, specialmente se accompagnata da ordini di segretezza o urgenza estrema, deve essere trattata con estremo scetticismo. Le aziende devono attuare protocolli di verifica rigorosi che non ammettano deroghe, nemmeno di fronte all'autorità apparente.

Un cambio di coordinate bancarie o la richiesta di un bonifico d'emergenza devono sempre essere confermati attraverso un canale di comunicazione secondario e già noto, la cosiddetta verifica "out-of-band". Se ricevo una mail dal CEO, lo chiamo al numero di telefono che ho in rubrica per assicurarmi della veridicità della richiesta.

Inoltre, è fondamentale promuovere una cultura aziendale in cui il dipendente si senta autorizzato a dubitare e a verificare, senza timore di ritorsioni per aver messo in discussione un ordine del superiore. La sicurezza informatica deve diventare un processo collettivo: la formazione non deve limitarsi agli aspetti tecnici, ma deve istruire il personale sulle tecniche di ingegneria sociale, spiegando come i truffatori giochino sulle emozioni, sulla fretta e sul senso di dovere.

Un'azienda sicura è quella al cui interno un contabile si senta libero di rispondere al CEO: "Procederò non appena avrò effettuato la doppia verifica telefonica prevista dal nostro protocollo di sicurezza". L'adozione di sistemi di autenticazione a più fattori e il monitoraggio costante delle anomalie nei log di accesso restano requisiti minimi, ma è la "cultura del sospetto costruttivo" a fare la vera differenza.

Occorre notare che scopo delle frodi informatiche potrebbe non essere la sottrazione di risorse economiche ma attività di spionaggio industriale come l'acquisizione di know how aziendale o di segreti strategici dell'impresa come accordi commerciali, fusioni, acquisizioni. Quindi bersaglio degli attacchi possono essere settori diversi da quelli amministrativi e finanziari.

Passando al piano strettamente giuridico, queste condotte integrano pienamente il reato di frode informatica, disciplinato dall'articolo 640-ter del Codice penale. È bene precisare che questa norma è stata introdotta per colmare un vuoto normativo, poiché la truffa tradizionale richiede l'induzione in errore di una persona fisica tramite artifizi o raggiri. Nella frode informatica, invece, il "soggetto" raggirato - o dolosamente utilizzato - è il sistema informatico stesso o, in senso lato, il processo di elaborazione dei dati. La legge punisce chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto su dati, informazioni o programmi, procura a sé o ad altri un ingiusto profitto con altrui danno.

La condotta incriminata si manifesta dunque attraverso l'intervento abusivo sui dati, che è il caso tipico delle truffe BEC e Man-in-the-Middle. Quando un aggressore entra in una casella mail e sostituisce un IBAN in un file PDF, sta compiendo un intervento senza diritto su dati e informazioni, finalizzato a deviare un flusso finanziario a proprio vantaggio.

Il legislatore ha previsto pene severe, che si inaspriscono sensibilmente in presenza di aggravanti. Ad esempio, la pena è aumentata se il fatto è commesso a danno dello Stato o di un ente pubblico, o se è commesso con abuso della qualità di operatore del sistema. Un'aggravante di particolare rilievo, introdotta per contrastare i fenomeni più moderni, è quella relativa al furto o all'abuso dell'identità digitale. Questo si applica perfettamente ai casi di CEO Fraud, dove l'usurpazione dell'identità e del ruolo del dirigente costituisce il nucleo centrale dell'azione criminosa.

Nel caso di utilizzazione di deep fake, o di falsi documentali, creati mediante il ricorso a siatemi di Intelligenza Artificiale sarà anche applicabile l'aggravante, recentemente introdotta di cui all'art. 61, n. 11-undecies c.p.

Un aspetto tecnico-giuridico di estrema complessità riguarda la competenza territoriale, ovvero stabilire quale tribunale debba giudicare il reato. Nel diritto penale classico, la competenza è solitamente del giudice del luogo in cui il reato è stato consumato. Nelle frodi informatiche, dove l'azione può partire da server situati in un continente, colpire una vittima in un altro e produrre un profitto in un terzo, la determinazione del locus commissi delicti non è semplice.

La giurisprudenza della Corte di Cassazione ha chiarito che il reato di frode informatica si consuma nel momento e nel luogo in cui l'agente consegue l'effettivo e ingiusto profitto. Questo solitamente coincide con il luogo in cui il colpevole ottiene la disponibilità effettiva della somma di denaro, ad esempio dove è radicato il conto corrente di destinazione (spesso appartenente a un cosiddetto "money mule" o prestanome). Tuttavia, se il denaro transita su più conti con velocità estrema, la determinazione del luogo del primo profitto diventa un lavoro di analisi forense e bancaria minuzioso.

Affrontare una frode informatica richiede dunque un approccio duale e tempestivo: una reazione tecnica immediata per isolare la compromissione e un'azione legale ferma ed altrettanto rapida.

Denunciare il fatto è l'unico presupposto legale per attivare le procedure internazionali di "recall" bancario e per tentare il congelamento dei fondi presso le autorità estere tramite rogatorie e cooperazione giudiziaria.

In ogni caso, la prevenzione, intesa come unione di tecnica, psicologia e diritto, rimane il miglior investimento possibile contro la criminalità digitale.