Qualche mese fa un’azienda cliente di un mio collega si è trovata con un buco di quasi quarantamila euro sul conto. Non per un ransomware, non per un malware, non per un furto di credenziali. Per una truffa “bonifico a fornitore” andata a segno.
Il responsabile amministrativo aveva ricevuto una mail da un fornitore storico: “Ciao, ti comunico che abbiamo cambiato banca. Da questo mese gli IBAN di riferimento sono i seguenti. La fattura che stai per saldare va sulle nuove coordinate.” Mail credibile, tono giusto, firma corretta, indirizzo del mittente quasi identico a quello abituale — mancava una lettera, ma nessuno l’ha notata. Il bonifico è partito il venerdì pomeriggio. La settimana dopo il fornitore vero ha chiamato per chiedere quando sarebbe stato pagato.
Il denaro era già sparito.
La truffa “bonifico a fornitore”: il 98% che nessuno si aspetta
Quando ho letto il Cyber Protect Report 2026 di SonicWall, mi sono fermato a lungo su un dato che compare in uno dei box laterali — non in copertina, non nei titoli, ma nascosto in una sezione dedicata alle compagnie assicurative. Cysurance, uno dei principali partner assicurativi di SonicWall nel mondo cyber, dichiara che il 98% dei sinistri che gestisce non riguarda ransomware, né data breach, né attacchi persistenti avanzati. Il 98% dei sinistri è Business Email Compromise e frode sui bonifici.
Una mail convincente, qualcuno che cambia le coordinate di pagamento, soldi che finiscono su un conto che non avrebbero mai dovuto raggiungere. In molti casi nessun sistema viene compromesso. Nessuna credenziale viene rubata. Nessun malware viene installato. Qualcuno viene semplicemente ingannato.
Quel 98% è un dato molto importante del report, e mette in luce un aspetto di cui si parla poco. Perché non c’è tecnologia da vendere per risolverlo — non è un firewall nuovo, non è un antivirus più potente, non è una piattaforma di ultima generazione. È un problema di processo, e i problemi di processo fanno meno rumore dei problemi tecnici. Ma, a volte, costa moltissimo averli trascurati.
Come funziona la truffa “bonifico a fornitore”, in tre mosse
Il meccanismo della truffa “bonifico a fornitore” è sempre lo stesso, con piccole variazioni. Il truffatore si procura l’accesso a informazioni sulla filiera dei fornitori dell’azienda bersaglio — spesso attraverso una casella email compromessa di un collaboratore esterno, un commercialista, un consulente. A volte bastano informazioni pubbliche: una fattura allegata a una mail intercettata, il nome di un fornitore citato in un post LinkedIn, il logo di un partner sul sito aziendale.
Con quelle informazioni il truffatore costruisce un dominio quasi identico a quello del fornitore vero — fornitorexyz.it diventa fornitore-xyz.it oppure fornitorexyz.com — e invia una mail perfettamente credibile. Il testo non contiene errori di italiano, non ha toni allarmistici, non chiede urgenze sospette. Spesso arriva nei giorni e nelle ore giuste: venerdì pomeriggio, vigilia di ferragosto, settimana di Natale. Momenti in cui le persone sono meno attente, perché la testa è già da un’altra parte e nessuno ha voglia di verificare.
La vittima non è distratta per leggerezza. È distratta perché la mail sembra normale, perché il fornitore è vero, perché la cifra è coerente, perché non c’è nessun segnale che faccia scattare il sospetto. Il truffatore non viola la casella di posta della vittima. Viola la sua fiducia.
La regola d’oro che costa zero
La contromisura che risolve la stragrande maggioranza di questi casi costa letteralmente zero euro. Non è un software, non è un corso, non è un progetto da sei mesi. È una regola di processo di una riga:
Ogni modifica alle coordinate di pagamento di un fornitore va verificata a voce, ogni volta, senza eccezioni.
Non via email — perché la mail è esattamente il canale compromesso. Non via chat — per lo stesso motivo. Una telefonata su un numero conosciuto, preso dall’anagrafica interna del fornitore o dal suo sito ufficiale, non dai contatti presenti nella mail sospetta. La telefonata dura trenta secondi. La domanda è una sola: “Avete cambiato l’IBAN? Me lo confermate?”
Se la risposta è no, hai appena sventato una frode. Se la risposta è sì, hai verificato che la modifica è reale. In entrambi i casi hai risolto la questione in mezzo minuto.
Cysurance riporta un dato che fa riflettere: tra i sinistri che hanno gestito, la telefonata di verifica preventiva era presente solo in una piccola minoranza dei casi. Nella maggior parte dei pagamenti fraudolenti, nessuno aveva chiamato. Nessuno si era preso quei trenta secondi.
Il costo personale del silenzio
C’è una conseguenza di questi attacchi che nel report è menzionata in modo quasi dimesso, ma che merita di essere ripresa. Dopo una frode di questo tipo, in molte aziende il dipendente che ha autorizzato il bonifico perde il posto. Non per malafede — agiva in buona fede, seguendo istruzioni che sembravano legittime — ma perché nell’azienda non c’era una procedura che gli imponesse di fermarsi e chiamare. La mancanza di regola chiara ricade sulla persona che quella regola non aveva.
È un motivo in più per cui questa procedura va scritta, comunicata e difesa. Non serve a proteggere solo il conto aziendale. Serve a proteggere le persone che ogni giorno prendono decisioni di pagamento in buona fede. Quando la regola esiste ed è nota a tutti, chi chiama per verificare non sta facendo il paranoico: sta facendo il suo mestiere. E se una frode passa comunque, nessuno può accusare il singolo di non aver fatto abbastanza.
Una policy di verifica vocale è anche il miglior regalo che un’azienda può fare ai propri dipendenti amministrativi. Li solleva dalla responsabilità di decidere caso per caso. Li arma contro un truffatore che li sceglie proprio perché sono soli davanti alla decisione.
Una telefonata, ogni volta
Di tutti i dati del report SonicWall 2026, quel 98% è quello che mi è rimasto più in testa. Non perché sia il più spettacolare, ma perché è il più smaccatamente risolvibile. Non serve un budget, non serve un consulente, non serve una piattaforma. Serve una riga di processo e trenta secondi di telefonata.
Se nella tua azienda non esiste ancora una regola scritta sulla verifica vocale delle modifiche alle coordinate di pagamento, scrivila oggi. Mandala via mail a tutti quelli che autorizzano bonifici. Stampala e appendila nell’ufficio amministrativo. Non è una misura di sicurezza informatica sofisticata. È buon senso che diventa procedura, e nel 98% dei casi fa la differenza tra una giornata normale e una chiamata molto sgradevole al commercialista.
Se vuoi parlare di come strutturare meglio procedure e policy semplici ma efficaci per proteggere la tua azienda, scrivici. Una chiacchierata non costa nulla, e a volte è quella chiacchierata che evita una telefonata molto più dolorosa.
🧩 Kaos Informatica ti può aiutare
Se vuoi, Kaos Informatica può aiutare la tua azienda a:
✅Analizzare le procedure di protezione e sicurezza
✅Mostrarvi strumenti di automatizzare la formazione del vostro persoanle
✅Formare il vostro team tecnico per usare al meglio gli strumenti che avete
Contattaci e parliamone insieme
