29.04.2025 -L’Ufficio federale della cibersicurezza (UFCS) sta attualmente osservando un’ondata persistente di tentativi di «truffa del CEO». Nell’ultima settimana l’UFCS ha ricevuto un crescente numero di segnalazioni riguardanti tentativi di truffa in cui i criminali cercavano di farsi passare per dirigenti delle amministrazioni comunali col fine di indurre i collaboratori ad acquistare carte regalo o a inviare denaro. La presente retrospettiva settimanale fa luce sul modus operandi dietro queste truffe, spiega perché a essere nel mirino sono proprio i Comuni e fornisce consigli validi per tutti su come proteggersi.
I Comuni sono un bersaglio succulento per i tentativi di «frode del CEO» per via della loro struttura pubblica e della disponibilità di informazioni sui relativi siti web. Nell’ultima settimana l’UFCS ha ricevuto un crescente numero di segnalazioni in merito. Di seguito descriviamo i metodi utilizzati dai truffatori, in particolare due casi in cui alle vittime è stato richiesto di acquistare delle carte regalo o corrispondere una somma di denaro.
La truffa del CEO: carte regalo e versamenti di denaro
Nella «truffa del CEO» i criminali impersonano via e-mail una figura dirigente, ad esempio un capo, un caposezione o persino il sindaco di un Comune. L’obiettivo è di manipolare i collaboratori inducendoli a corrispondere un pagamento ai truffatori o ad acquistare delle carte regalo.
Una pratica apparentemente diffusa che è stata osservata dall’UFCS contempla una richiesta di acquistare carte regalo online (ad esempio di Apple, Google Play, Steam). I truffatori contattano i collaboratori via e-mail, adducendo ad esempio a pretesto che il loro superiore è in riunione e ha urgentemente bisogno delle carte per un regalo o per una questione di lavoro. Le vittime vengono così istruite ad acquistare delle carte regalo, spesso del valore di diverse centinaia di franchi, e a inviare immediatamente i relativi codici via e-mail. I truffatori riscattano subito i codici non appena li hanno ricevuti, rendendo così impossibile recuperare il denaro.
Un altro metodo prevede la richiesta di un versamento su un conto bancario. Anche in questo caso, ai collaboratori viene chiesto via e-mail, ad esempio dal sindaco, di effettuare un versamento urgente, di solito su conti esteri. Gli importi sono spesso inferiori alla soglia di autorizzazione interna, che richiederebbe ulteriori controlli.
Modus operandi dei truffatori
La maggior parte degli attacchi segue il seguente schema:
- Raccolta preliminare di informazioni: gli autori raccolgono informazioni pubblicamente disponibili sul Comune, sulla sua struttura e sulle persone chiave dal sito web o dai social network.
- Presa di contatto con la vittima: le vittime sono solitamente prese di mira con e-mail inviate da un indirizzo mittente contraffatto o simile, talvolta impiegando servizi gratuiti (ad es. nome.cognome.comune@outlook.com).
- Manipolazione (social engineering): i truffatori fingono autorevolezza, creano pressioni temporali (appellandosi a questioni d’urgenza e immediatezza) e insistono sulla riservatezza per evitare indagini e controlli interni.
- Istruzioni: i truffatori forniscono istruzioni chiare per l’acquisto delle carte regalo e per la trasmissione dei codici o l’esecuzione del versamento.
Raccomandazioni
Qualora abbiate già effettuato il pagamento, rivolgetevi immediatamente alla banca tramite la quale avete eseguito la transazione. Quest’ultima potrebbe eventualmente avere ancora la possibilità di bloccare il versamento. Inoltre, vi consigliamo di rivolgervi alla polizia cantonale responsabile per la vostra sede sociale e sporgere una denuncia penale.
Misure organizzative:
- Verifica: per qualsiasi richiesta inconsueta di pagamento o di carta regalo via e-mail, è essenziale confermarla con il presunto cliente attraverso un canale separato e noto (ad esempio, una telefonata a un numero interno noto, una conversazione personale). Non rispondete mai all’e-mail e non utilizzate i dati di contatto in essa contenuti.
- Processi: stabilite processi di approvazione dei pagamenti chiaramente definiti, compreso il principio del doppio controllo, soprattutto per le transazioni straordinarie. Premuratevi di imporre la stretta osservanza di questi processi. Stabilite regole e limiti di autorizzazione chiari.
- Sensibilizzazione: istruite regolarmente tutti i collaboratori, in particolare quelli che ricoprono ruoli finanziari e dirigenziali. Sensibilizzateli sui pericoli legati alla «truffa del CEO», del phishing e del social engineering.
- Gestione delle informazioni: siate cauti nel pubblicare gli organigrammi interni dettagliati e i dati di contatto diretto dei collaboratori dell’ufficio addetto alle finanze.
Misure technice:
- Sicurezza delle e-mail: impostate filtri efficaci per lo spam e il phishing. L’UFCS raccomanda agli amministratori di posta elettronica di configurare meccanismi di verifica del mittente (SPF, DKIM, DMARC); Configurate l’ambiente di posta elettronica affinché i collaboratori vengano avvisati se le e-mail provengono da una fonte esterna.
- Autenticazione: se possibile, utilizzate password forti e l’autenticazione a due fattori (2FA).
Numeri e statistiche attuali
Segnalazioni della scorsa settimana per categoria:
Ultima modifica 29.04.2025
