Si tratta di un raggiro che può colpire chiunque, ma che prende di mira soprattutto aziende, professionisti e imprenditori che ricevono abitualmente fatture, richieste di pagamento o coordinate bancarie tramite posta elettronica. Il risultato è spesso devastante: un bonifico regolarmente disposto che finisce però nelle tasche di un truffatore.
Come funziona la truffa?
Il meccanismo è più sofisticato di quanto si possa immaginare.
Il criminale informatico riesce innanzitutto a intercettare la comunicazione tra due soggetti, ad esempio tra un fornitore e il suo cliente. Una volta ottenuto l’accesso alle email, individua i messaggi contenenti fatture, richieste di pagamento o dati bancari e sostituisce l’IBAN originale con quello di un conto corrente sotto il proprio controllo.
La vittima, convinta di pagare il proprio creditore, esegue il bonifico senza sospettare nulla. Quando l’errore viene scoperto, il denaro è spesso già stato trasferito altrove, talvolta all’estero, rendendo molto più difficile il recupero delle somme.
Che cos’è un attacco “Man in the Middle”?
Questo tipo di frode viene frequentemente realizzato attraverso un attacco informatico denominato “Man in the Middle” (MITM), espressione che significa letteralmente “uomo nel mezzo”.
In pratica, un soggetto estraneo si inserisce tra due interlocutori e osserva o modifica le comunicazioni che si scambiano, senza che nessuno dei due se ne accorga.
I truffatori monitorano le email alla ricerca di parole chiave come “fattura”, “proforma”, “pagamento”, “bonifico” o “coordinate bancarie”, così da individuare le comunicazioni economicamente più interessanti.
Come riescono ad accedere alle email?
Nella maggior parte dei casi l’accesso avviene attraverso:
- campagne di phishing finalizzate al furto delle credenziali;
- installazione di malware sul computer della vittima;
- utilizzo di password semplici o riutilizzate su più servizi;
- assenza dell’autenticazione a due fattori;
- utilizzo di reti Wi-Fi pubbliche non adeguatamente protette.
Una volta ottenute le credenziali, il criminale può entrare nella casella di posta elettronica senza destare particolari sospetti, soprattutto se l’account non è protetto da ulteriori sistemi di sicurezza.
A quel punto modifica l’IBAN contenuto nella documentazione allegata o nel testo dell’email e lascia che la vittima completi inconsapevolmente il pagamento.
Come difendersi?
La prevenzione rappresenta l’arma più efficace contro questo tipo di frode.
Alcune semplici precauzioni possono ridurre significativamente il rischio:
- verificare sempre l’IBAN prima di autorizzare un pagamento, (N.B. inoltre da ottobre 2025 è stato introdotto dalle banche il sistema Vop, il quale non è altro che un controllo automatico della corrispondenza tra IBAN e beneficiario, che segnala eventuali “disallineamenti” bloccando l’operazione, tuttavia il cliente può decidere comunque di forzare la procedura assumendosene la responsabilità).
- diffidare delle richieste urgenti o delle improvvise variazioni delle coordinate bancarie;
- confermare telefonicamente ogni modifica dell’IBAN utilizzando un recapito già noto e affidabile;
- evitare, ove possibile, bonifici istantanei per importi rilevanti;
- utilizzare password complesse e diverse per ogni servizio;
- attivare l’autenticazione a due fattori sugli account di posta elettronica;
- mantenere aggiornati sistema operativo, antivirus e software utilizzati;
- non aprire allegati o link sospetti;
- controllare attentamente l’indirizzo email del mittente e non soltanto il nome visualizzato.
Cosa fare se si è vittime della truffa?
La tempestività è fondamentale.
Se ci si accorge di aver disposto un bonifico verso un conto fraudolento è opportuno:
- Contattare immediatamente la propria banca per richiedere il richiamo o il blocco dell’operazione.
- Informare la banca destinataria del bonifico, che in alcuni casi può intercettare il trasferimento e impedirne l’accredito.
- Presentare querela alle Autorità competenti, preferibilmente con l’assistenza di un professionista esperto in reati informatici.
Ogni ora può fare la differenza tra il recupero delle somme e la loro definitiva dispersione.
Le banche possono essere responsabili?
La risposta, in alcuni casi, è sì.
La normativa europea e nazionale impone agli istituti di credito rigorosi obblighi di sicurezza nella gestione delle operazioni di pagamento. Le banche sono tenute ad adottare sistemi di autenticazione avanzata e procedure di controllo idonee a individuare operazioni anomale o sospette.
Qualora emerga che l’istituto di credito non abbia predisposto adeguate misure di sicurezza o non abbia rilevato anomalie che avrebbero dovuto destare attenzione, potrebbe configurarsi una responsabilità della banca con conseguente diritto del cliente al risarcimento del danno subito.
Diversamente, il rimborso potrebbe essere escluso qualora la banca riesca a dimostrare che la frode sia stata resa possibile da una grave negligenza dell’utente nella custodia delle proprie credenziali o nella gestione dei sistemi di sicurezza.
L’assistenza legale nelle frodi informatiche
Le truffe informatiche richiedono competenze che spaziano dal diritto bancario all’informatica forense.
Per questo motivo è essenziale ricostruire con precisione la dinamica dell’accaduto, analizzare la documentazione disponibile, verificare il comportamento degli istituti coinvolti e individuare eventuali responsabilità.
Lo Studio Legale Pappone & Emiliani assiste privati, professionisti e imprese vittime di frodi informatiche attraverso un’approfondita analisi tecnica e giuridica del caso, finalizzata al recupero delle somme sottratte e alla tutela dei diritti del cliente, sia in sede stragiudiziale sia davanti all’Autorità Giudiziaria o all’Arbitro Bancario Finanziario.
In un contesto in cui i criminali informatici diventano sempre più sofisticati, informazione, prevenzione e assistenza qualificata rappresentano i migliori strumenti di difesa.
La sede dello Studio legale P&E degli avvocati Sara Pappone e Federico Emiliani è a Milano, in via Lamarmora 44,
Tel: 02 932 175 51,
info@studiolegalepe.it,
f.emiliani@studiolegalepe.it,
s.pappone@studiolegalepe.it.
Lo Studio è anche a Cernusco Lombardone in piazza San Giovanni 9