Queste frodi non introducono elementi estranei: si innestano nei flussi esistenti, sfruttando dati veri, tempi coerenti e relazioni consolidate
Per molto tempo, le truffe informatiche sono state descritte come il risultato di un errore, una distrazione o un atteggiamento superficiale da parte delle vittime, ovvero coloro che ricevono l’e-mail fraudolenta. Una visione per certi versi rassicurante, in quanto confinava il rischio di subire un danno a situazioni che si verificavano solo al di fuori di una corretta organizzazione. Oggi, però, questa interpretazione non basta più. Un caso recente, qui riportato in forma anonima, dimostra come le frodi digitali più sofisticate non si manifestino più come semplici anomalie, bensì come imitazioni impeccabili di normali procedure operative.
Il fatto
Un amministratore di condominio riceve un’email da un fornitore di lunga data, attualmente coinvolto in un cantiere in corso.
Il messaggio si presente con le seguenti caratteristiche:
• è personalizzato;
• richiama una morosità reale e facilmente riscontrabile;
• allega documentazione autentica;
• riporta dati corretti del condominio e del rapporto contrattuale (magari anche il numero di cliente che il fornitore gli associa nell’ambito del proprio archivio);
• prospetta una conseguenza operativa credibile (azione legale, sospensione di servizi, sospensione del cantiere).
L’unica novità segnalata è il cambiamento dell’Iban. Il pagamento viene eseguito seguendo le nuove indicazioni, ma solo in un secondo momento si scopre che il fornitore non aveva mai modificato i propri dati bancari. Sebbene il bonifico risulti formalmente regolare, il destinatario è in realtà un soggetto estraneo: il truffatore.
La normalità come vettore di rischio
Non ci troviamo di fronte al classico phishing. Questi tipi di frodi non fanno uso di elementi estranei, ma si inseriscono nei flussi già esistenti, sfruttando informazioni reali, un tempismo credibile e rapporti di fiducia consolidati. La loro efficacia non si basa su un inganno evidente, quanto sull’assenza di segnali chiari che possano destare sospetti. Sebbene il quadro normativo europeo stia implementando strumenti di verifica preventiva sempre più sofisticati, tali sistemi non rendono il processo di pagamento completamente automatizzato e privo di rischi. La tecnologia può rilevare possibili anomalie, ma la decisione finale rimane nelle mani dell’operatore. Quando il contesto sembra legittimo, la responsabilità ricade inevitabilmente sulle procedure organizzative interne.
Un problema di metodo, non di attenzione
Il punto non è semplicemente riconoscere un errore specifico, ma prendere coscienza del fatto che procedure elaborate in passato, in un contesto meno esposto, oggi risultano inadeguate. Ambiti come quello dell’amministrazione condominiale, che gestiscono alti volumi di pagamenti, complessi rapporti con fornitori, relazioni fiduciarie a lungo termine e un grande numero di email contenenti richieste eterogenee, spesso trattate da collaboratori, devono affiancare alla fiducia un insieme di regole e controlli adattati alle nuove esigenze del contesto attuale.
Una possibile soluzione
La soluzione più efficace al momento rimane semplice e non legata alla tecnologia: ogni modifica delle coordinate bancarie dovrebbe essere accettata solo dopo una verifica attraverso un secondo canale, già conosciuto e verificato. Una procedura ben definita e applicata con sistematicità rappresenta oggi uno dei metodi più validi per la prevenzione.