Cos’è la truffa del Ceo e cosa fare per non cascarci
I cyber criminali si spacciano per Ceo e inducono i sottoposti a disporre bonifici urgenti o a rivelare dati sensibili. Una truffa che si sviluppa in diversi modi e ha un rimedio semplice.
In evidenza
Un impiegato amministrativo ha appena fatto un bonifico ingente in favore di un presunto fornitore, di un’impresa estera oppure di una fondazione benefica. Ha eseguito le disposizioni che gli sono state impartite dal Ceo o da un ruolo apicale dell’azienda per la quale lavora.
Tuttavia, l’email ricevuta dall’impiegato è stata inviata da un truffatore e recuperare il denaro è spesso impresa ardua se non del tutto impossibile.
Non è uno scenario fantascientifico e, seppure in forme lievemente diverse, è una truffa che colpisce anche le organizzazioni italiane.
Perché la truffa del Ceo è temibile
Queste truffe sono ben congegnate soprattutto perché sono mirate e credibili nella forma. Mirate nel senso che le email arrivano direttamente ai dipendenti che possono rilasciare le informazioni desiderate dai truffatori o possono disporre bonifici per conto dell’azienda.
Fino a pochi mesi fa i truffatori spedivano email senza una logica precisa sperando che, sulla quantità, qualcuno cadesse nella trappola.
Oggi mirano dritti ai punti nevralgici grazie all’ingegneria sociale, tecnica che – per sommi capi – mette in condizione i criminal hacker di ottenere molte informazioni per restringere il campo e identificare la vittima adatta, tipicamente raccogliendo dati dalle piattaforme social. Così vengono a sapere chi ricopre ruoli di rilievo all’interno di un’azienda e chi, invece, svolge funzioni compatibili con gli intenti criminali che vogliono perseguire.
Inoltre, soprattutto grazie all’uso delle intelligenze artificiali, le email che in passato erano scritte in italiano claudicante, oggi sono perfette: nessun errore grammaticale, nessuna sbavatura sintattica.
Cosa la rende perfetta (o quasi)
In alcuni casi, riconoscere un’email autentica da una falsa è comprensibilmente complicato. Infatti gli attaccanti stanno consolidando le frodi Business email compromise (BEC) che consentono di sfruttare le email come vettore.
Nella versione più semplice, il BEC si basa su tecniche di spoofing, cioè la falsificazione dell’identità del mittente così da rendere gli indirizzi email usati per delinquere molto simili a quelli originali.
Negli attacchi di spoofing, non di rado, vengono usati caratteri cirillici visivamente identici a quelli latini che, però, rendono tecnicamente diversi gli indirizzi email.
In altri casi il nome di dominio aziendale del mittente viene modificato in modo appena percettibile. Per esempio, sostituendo una “m” con le lettere “rn” il dominio (inventato) @melikon.com in @rnmelikon.com.
Le campagne truffaldine più efficaci si spingono più in là e si basano sulla compromissione delle email aziendali reali mediante tecniche di phishing o credenziali d’accesso rubate.
In questo caso le email partono da indirizzi autentici e superano i controlli tecnici standard rendendo un attacco difficilmente distinguibile. I cybercriminali monitorano a lungo le conversazioni interne e si inseriscono nel flusso di email con i fornitori intervenendo al momento opportuno per formulare richieste di pagamento urgenti o, come già successo in Italia, per dirottare il pagamento di forniture verso altre coordinate bancarie.
Queste truffe si basano sulla fiducia tra le parti e non vengono sfruttate vulnerabilità tecnologiche. E ciò
I casi reali
A marzo del 2025, la onlus Opera di Santa Maria del Fiore di Firenze si è accorta di avere dirottato verso criminali bonifici per oltre 1,7 milioni di euro. Nel caso specifico, i truffatori si sono introdotti nel flusso email tra la onlus e un fornitore chiedendo di cambiare l’Iban sul quale effettuare i pagamenti.
Una truffa perpetrata anche ad altre organizzazioni (non italiane) che ha fruttato circa 30milioni di euro, solo in parte recuperati.
Nel 2024 la Ferrari ha sventato una “truffa del Ceo” perpetrata via WhatsApp e via telefono. Un dirigente della blasonata azienda di Maranello ha ricevuto una richiesta urgente dal (sedicente) amministratore delegato Benedetto Vigna.
Il falso Vigna ha chiesto al dirigente il massimo supporto per concludere un’acquisizione da tenere segreta. Quest’ultimo, sentendo puzza di bruciato, ha chiesto al suo interlocutore quale fosse il titolo del libro che gli aveva consigliato qualche giorno prima, costringendo il truffatore a interrompere bruscamente la conversazione.
Va detto, per completezza, che nel caso Ferrari i criminali hanno usato anche tecniche di deepfake per impersonare la voce del falso Vigna, ma la sostanza cambia poco: sedicenti dirigenti che inducono sottoposti di qualsivoglia livello a rivelare informazioni o a pagare somme indebite.
Il caso Ferrari dimostra che se un falso amministratore delegato cerca di esercitare pressioni su alti dirigenti, a maggiore ragione può esercitarne su dipendenti di minore peso gerarchico che possono tendere a eseguire le richieste senza controbattere.
Questo amplia il raggio della portata di questi raggiri che possono avvenire per email, ma anche via app di messaggistica istantanea e, sfruttando il deepfake, anche per telefono e anche per video-riunione.
Come rimediare
Il fatto che i cyber criminali facciano sempre più ricorso alle intelligenze artificiali esige dei rimedi su più livelli.
Le aziende devono usare il filtering avanzato delle email, ossia anti-phishing, DMARK, DKIM e SPF che, insieme, proteggono contro lo spoofing e ogni forma di manipolazione dei messaggi emali.
Inoltre, sono necessarie la formazione continua dei dipendenti – perché le truffe diventano sempre più credibili e difficilmente riconoscibili – e procedure interne snelle e chiare.
In qualsiasi caso, una telefonata al mittente dell’email o della comunicazione smonta la truffa sul nascere. Lo ha dimostrato il caso Ferrari e, al contrario, quello dell’Opera di Santa Maria del Fiore: se chi ha effettuato ai bonifici avesse telefonato al fornitore chiedendogli conferma della necessità di dirottare i pagamenti verso un altro conto bancario, la truffa non avrebbe avuto luogo.
I cyber criminali tendono a esercitare pressioni sulla vittima, avanzando richieste urgenti, spesso paventando conseguenze funeste se queste non vengono eseguite in tempi rapidissimi. Non di rado i truffatori chiedono alla vittima di mantenere il riserbo e di non comunicare ad altri ruoli apicali l’entità delle richieste formulate.
Fretta, segretezza e richieste insolite sono i termini di un’equazione il cui risultato è una truffa tecnologica che può essere sventata con una telefonata, il più analogico dei rimedi.
Altroconsumo lancia un servizio gratuito contro le truffe digitali
Altre Notizie della sezione
La Corte dei conti rimette la legge Foti alla Corte costituzionale.
29 Aprile 2026La sezione II giurisdizionale centrale d’’appello, di viale Mazzini riporta sotto la lente della Corte costituzionale la controversa “legge Foti”, riaccendendo il dibattito sul limite alla responsabilità amministrativa.
Frodi telefoniche, Agcom introduce numeri brevi: così si riconoscono i call center
29 Aprile 2026Gli utenti potranno riconoscere le chiamate degli operatori di settore, imprese e call center che operano legalmente attraverso un numero di tre cifre, come tutti i numeri dedicati all’assistenza clienti.
Scioperi maggio 2026, il calendario completo: bus, treni, aerei, sanità e scuola
28 Aprile 2026Tre gli scioperi generali, ma le proteste sono molte: tutte le date da segnare.