29 Aprile 2026 • Corso Cyber Security

CEO Fraud: quando qualcuno si finge il tuo capo e ti chiede di pagare

Ti faccio degli esempi di questa truffa così da farti capire subito di cosa stiamo parlando:

Esempio 1 — Finto collega del reparto commerciale

È una giornata di lavoro come tante.

Stai gestendo delle fatture quando ricevi una mail:

“Ciao, sto chiudendo un accordo con un nuovo partner.
Ho bisogno che gestisci tu questo pagamento oggi.
È importante non rallentare la trattativa.
Ti mando i dettagli tra poco.”

Dopo qualche minuto arriva una seconda mail:

“Ecco l’IBAN. Procedi appena puoi e mandami conferma.”

Il tono è coerente.
La richiesta è plausibile.
Non sembra nulla di strano.

Ma non è il tuo collega.

Esempio 2 — Finto fornitore (ancora più realistico)

Ricevi una mail da un fornitore con cui lavori da mesi.

“Buongiorno,
a seguito di aggiornamenti amministrativi, ti chiediamo di utilizzare il nuovo IBAN per i prossimi pagamenti.
In allegato trovi i dati aggiornati.”

La mail:

  • è scritta bene
  • ha firma corretta
  • arriva nello stesso thread di una conversazione reale

In realtà l’account del fornitore è stato compromesso.

Il prossimo pagamento… andrà al truffatore.

Questi tipi di attacchi si chiamano CEO fraud ed sono le truffe più diffuse e pericolose nelle aziende.

Cos’è il CEO Fraud

Il CEO fraud, noto anche come Business Email Compromise, è un attacco in cui un criminale si finge una persona fidata all’interno o all’esterno dell’azienda.

Può impersonare:

  • il CEO o un dirigente
  • un responsabile amministrativo
  • un collega
  • un fornitore

L’obiettivo è sempre lo stesso: convincerti a compiere un’azione.

Nella maggior parte dei casi si tratta di:

  • effettuare un bonifico
  • modificare un IBAN
  • inviare documenti o dati sensibili

A differenza di altri attacchi, qui non ci sono virus, allegati o sistemi violati.

È una truffa che funziona solo perché qualcuno si fida.

Perché è così efficace

Il CEO fraud è pericoloso perché si inserisce perfettamente nella routine lavorativa.

In azienda è normale:

  • ricevere richieste urgenti
  • gestire pagamenti
  • collaborare rapidamente
  • rispettare le gerarchie

L’attaccante non crea una situazione strana.
Ricrea una situazione plausibile.

Per questo motivo, quando arriva il messaggio, non viene percepito come un rischio.

Sembra semplicemente lavoro.

Come avviene un attacco

Un attacco di questo tipo raramente è improvvisato.
Spesso è il risultato di una preparazione accurata.

Raccolta delle informazioni

Prima di agire, l’attaccante studia l’azienda.

Raccoglie informazioni come:

  • nomi e ruoli dei dipendenti
  • struttura organizzativa
  • fornitori e clienti
  • modalità di comunicazione

Molte di queste informazioni sono pubbliche o facilmente reperibili online, ad esempio su LinkedIn o sul sito aziendale.

Preparazione

A questo punto vengono creati:

  • indirizzi email molto simili a quelli reali
  • firme credibili
  • messaggi coerenti con il contesto aziendale

Invio della richiesta

Infine arriva il messaggio.

Sempre con le stesse caratteristiche:

  • urgenza
  • tono diretto
  • richiesta chiara
  • pressione a eseguire subito

Perché è difficile da riconoscere

Il CEO fraud è uno degli attacchi più subdoli perché non lascia tracce tecniche evidenti.

Non ci sono:

  • virus
  • file sospetti
  • messaggi di errore

Tutto avviene a livello umano.

La comunicazione è:

  • scritta bene
  • coerente
  • plausibile

E spesso arriva in momenti in cui si è sotto pressione o con poco tempo.

Gli errori più comuni

Molti attacchi riescono non per mancanza di competenze, ma per dinamiche quotidiane.

Uno degli errori più frequenti è dare per scontato che una richiesta proveniente da un superiore sia sempre legittima.

Un altro errore è lasciarsi guidare dall’urgenza, senza prendersi il tempo per verificare.

Infine, c’è la tendenza a non controllare richieste che sembrano “normali”, proprio perché fanno parte del lavoro di tutti i giorni.

Come difendersi davvero

La difesa contro questo tipo di attacco non è tecnologica.

È organizzativa e comportamentale.

La regola più importante è semplice:

ogni richiesta di pagamento deve essere verificata sempre.

Indipendentemente da chi la fa.

Buone pratiche operative

Quando ricevi una richiesta di pagamento:

  • non agire immediatamente
  • verifica sempre tramite un secondo canale (telefono, chat interna, contatto diretto)
  • non fidarti dell’urgenza
  • segui le procedure aziendali previste
  • non saltare mai i controlli

Un semplice controllo può evitare un danno molto grave.

Checklist veloce

Prima di effettuare un pagamento, chiediti:

  • La richiesta era prevista?
  • È fuori procedura?
  • È particolarmente urgente?
  • Ho verificato con un altro canale?
  • Sto seguendo il processo aziendale?

Se anche solo una risposta ti lascia dubbioso, fermati.