Compromissione delle e-mail aziendali (BEC): tipi di minacce e strategie di difesa

Scopri quali sono le tipologie di compromissione delle e-mail aziendali (BEC), le strategie di difesa efficaci e le soluzioni che possono proteggere la tua organizzazione dagli attacchi incentrati sulle e-mail.
Jonathan Villa
8 minuto di lettura
Ultimo aggiornamento 15 dicembre 2025
BEC, Business Email Compromise

Contents

    La compromissione delle e-mail aziendali (BEC) è ormai una delle minacce principali per le organizzazioni di tutto il mondo, che provoca perdite per miliardi di dollari ogni anno. Se a questo aggiungiamo che i malintenzionati perfezionano continuamente le loro tattiche, è chiaro che per le aziende è fondamentale conoscere questo tipo di attacchi. In questa guida approfondiremo che cos'è il BEC, per aiutarti a riconoscere le minacce e a mitigare i rischi per la tua organizzazione.

    Cos'è la compromissione delle e-mail aziendali (BEC)?

    La compromissione delle e-mail aziendali (o BEC, dall'inglese Business Email Compromise) è un attacco mirato che si basa sull'invio di e-mail fraudolente e sul ricorso all'ingegneria sociale. Gli aggressori spesso si spacciano per persone di fiducia, come dirigenti, dipendenti, fornitori o consulenti legali dell'azienda, inducendo così i destinatari a trasferire fondi, rivelare informazioni sensibili o eseguire altre azioni dannose.

    A differenza delle campagne di phishing, che hanno una più ampia portata, un attacco BEC è pianificato accuratamente e personalizzato nel dettaglio. Questo aumenta la probabilità di successo e spesso consente di bypassare le tradizionali misure di sicurezza e-mail.

    La minaccia ha raggiunto ormai un livello impossibile da ignorare. Secondo i report dell'Internet Crime Complaint Center dell'FBI, gli attacchi BEC hanno causato perdite rettificate per oltre 2,7 miliardi di dollari nel solo 2022. Questi attacchi sfruttano tanto la fiducia umana quanto le vulnerabilità tecniche, il che li rende particolarmente pericolosi e difficili da rilevare.

    I cinque principali tipi di attacchi BEC

    La maggior parte degli schemi BEC rientra in cinque categorie principali:

    1. La truffa della falsa fattura

    In una delle forme più diffuse di BEC, gli aggressori si spacciano per venditori o fornitori affidabili e inviano fatture o richieste di pagamento false. Spesso le e-mail provengono da account compromessi o falsificati in modo convincente, il che le fa apparire del tutto legittime.

    In alcuni casi, gli aggressori inviano le fatture attraverso piattaforme affidabili come QuickBooks o PayPal, contando sul fatto che i messaggi provenienti da questi servizi raramente attivano avvisi di sicurezza o generano sospetti.

    Esempio: il responsabile finanziario di un'azienda di medie dimensioni riceve una fattura da quello che sembra essere un fornitore di lunga data. L'e-mail proviene da un indirizzo QuickBooks reale. Poiché QuickBooks è un marchio che ispira grande fiducia e lo stile corrisponde ai messaggi ricevuti in precedenza, la richiesta di pagamento viene elaborata senza ulteriori controlli. Il problema è che i fondi, una volta inviati, finiscono su un conto controllato dall'aggressore.

    2. Frode del CEO

    Con la "frode del CEO", nota anche come impersonificazione di dirigenti, i malintenzionati si fingono invece dirigenti di alto livello. Utilizzando un account compromesso o uno spoof sofisticato, inviano e-mail all'ufficio finanziario o alle risorse umane e chiedono al team di eseguire con urgenza una determinata azione, che può essere un bonifico bancario, il rilascio di dati sensibili o una modifica ai dettagli di una busta paga.

    Il tono di urgenza, così come il fatto che la richiesta provenga apparentemente da un alto dirigente, rendono questo tipo di frode molto efficace.

    Esempio: alla fine di un trimestre intenso, il CFO di un'azienda riceve un'e-mail che sembra provenire dal CEO. L'e-mail richiede che, prima della chiusura dell'attività, venga effettuato un bonifico "da mantenere riservato" a un nuovo fornitore. Poiché la richiesta è urgente e il linguaggio utilizzato non è insolito, il CFO esegue rapidamente la richiesta. Solo più tardi scoprirà che i fondi sono finiti su un conto fraudolento all'estero.

    3. Compromissione dell'account

    Negli attacchi con compromissione di account o Account Takeover (ATO), gli aggressori violano l'account e-mail di un vero utente, spesso attraverso il riutilizzo di credenziali o un attacco phishing, per poi utilizzare l'account a fini dannosi. Poiché così l'aggressore controlla un account legittimo e affidabile, agli altri utenti dell'organizzazione le sue richieste appaiono ragionevoli e affidabili.

    4. Impersonificazione di avvocato

    Gli aggressori spesso si spacciano per consulenti legali, talvolta utilizzando domini che imitano da vicino quelli degli studi legali legittimi. Mettono pressione sui dipendenti affinché condividano informazioni sensibili aziendali o dei clienti o effettuino pagamenti urgenti. La comparsa di una richiesta legale, spesso riferita ad accordi o controversie in corso, può spingere i destinatari ad agire senza la dovuta diligenza.

    5. Esfiltrazione dei dati

    Questo attacco prende di mira i dipendenti, in particolare nei reparti risorse umane o finanza, con l'obiettivo di ottenere dati riservati di dipendenti o clienti, come dichiarazioni a fini fiscali, elenchi tratti dal libro paga o informazioni di identificazione personale (PII). Gli aggressori spesso utilizzano i dati rubati per ulteriori frodi, furti d'identità o altri attacchi, sia all'interno che all'esterno dell'azienda.

    L'anatomia di un attacco BEC

    Gli attacchi BEC non avvengono in maniera casuale, anzi. Solitamente i malintenzionati seguono uno schema ben preciso:

    • Studiare il bersaglio: gli aggressori sfruttano l'intelligence open-source, i social media, i comunicati stampa aziendali e i dati trapelati. Individuano la struttura organizzativa, i processi aziendali e chi detiene l'autorità a livello finanziario.
    • Preparare ed elaborare l'attacco: utilizzando le informazioni così raccolte, gli aggressori creano e-mail personalizzate. A volte registrano domini molto simili a quelli di un'azienda vera (in una procedura nota come "typosquatting") o compromettono account legittimi. Le e-mail imitano il linguaggio, le firme e la formattazione utilizzati realmente dall'azienda.
    • Creare fiducia e innescare la trappola: a volte gli attacchi avvengono con un'e-mail una tantum, altre volte nell'ambito di una campagna sofisticata con scambi di più messaggi. Gli aggressori si guadagnano pian piano la fiducia del bersaglio, lasciando che questi li ritenga via via più credibili, per poi avanzare la richiesta che a loro interessa.
    • Esecuzione: quando il momento sembra propizio, l'aggressore invia un messaggio chiedendo denaro, informazioni o altre risorse, spesso creando un senso di urgenza o segretezza. Quando la vittima si rende conto dell'errore, l'aggressore ha di solito già trasferito i fondi o esfiltrato i dati, lasciando poche tracce dietro di sé.

    Perché la compromissione delle e-mail aziendali è così difficile da fermare

    Il BEC rappresenta una sfida difficile anche per le organizzazioni più attente alla sicurezza, per diversi motivi:

    • Elusione delle misure di sicurezza e-mail: molte e-mail BEC non contengono link o allegati dannosi. E le tradizionali soluzioni di sicurezza e-mail, che si concentrano sul blocco di malware e phishing, non sempre rilevano queste minacce.
    • Utilizzo di piattaforme affidabili: talvolta gli aggressori sfruttano piattaforme come QuickBooks, OneDrive o PayPal, che inviano messaggi legittimi generati dal sistema.
    • Personalizzazione e tempistiche: le e-mail sono fortemente legate al contesto aziendale, nel senso che spesso fanno riferimento a cicli aziendali, progetti in corso o procedure interne realmente esistenti, ricavati da precedenti violazioni o da LinkedIn.
    • Sfruttamento della natura umana a proprio vantaggio: le e-mail BEC sfruttano magistralmente fattori che condizionano gli utenti a livello psicologico, come l'autorità, la fiducia, l'urgenza e la segretezza.
    Monitor email activity in real-time with Varonis Interceptor.
    Learn more
    EmailSecurityIcon

    Esempio ipotetico: la busta paga "dirottata"

    Uno specialista delle risorse umane riceve un'e-mail che sembra provenire da un dirigente di alto livello. L'e-mail richiede una modifica urgente ai dati per il deposito diretto della busta paga, con tanto di nuove coordinate bancarie. Il messaggio proviene proprio dal vero account di posta elettronica del dirigente, che in realtà è stato compromesso.

    Ritenendo che la richiesta sia legittima, e non volendo ritardare l'accredito della busta paga per un dipendente di alto livello, lo specialista delle risorse umane apporta la modifica richiesta. Quando arriva il giorno di paga, lo stipendio viene depositato su un conto controllato dall'aggressore, mentre il dirigente non riceverà mai quello che gli spetta.

    L'impatto del BEC

    A livello economico, i costi di un attacco BEC possono essere notevoli. Basta anche un attacco singolo per causare perdite che vanno da decine di migliaia a milioni di dollari. E non c'è solo la perdita finanziaria diretta.

    Tra i possibili impatti secondari rientrano anche danni alla reputazione, sanzioni per aver violato le normative in materia di data breach e perdita di relazioni commerciali. Poiché questi attacchi spesso prendono di mira informazioni finanziarie o dati sensibili, l'organizzazione colpita rischia anche di dover subire lunghe indagini e sostenere ingenti costi per rimediare al danno.

    Difendere e prevenire la compromissione delle email aziendali con strategie chiave

    La prevenzione del BEC richiede un approccio di sicurezza completo, che combina tecnologia, processi e consapevolezza dell'utente.

    Formazione e sensibilizzazione degli utenti

    La formazione continua è fondamentale. I dipendenti devono saper riconoscere le tattiche comunemente utilizzate, come modifiche impreviste ai dati di pagamento, richieste caratterizzate da urgenza e segretezza, e indirizzi e-mail insoliti dei mittenti. Inoltre, devono sentirsi autorizzati a verificare le richieste sospette attraverso canali alternativi.

    Controlli tecnici

    Le moderne soluzioni di sicurezza utilizzano l'intelligenza artificiale e l'elaborazione del linguaggio naturale, rilevando i segnali contestuali e comportamentali caratteristici delle e-mail BEC. Queste soluzioni possono segnalare richieste sospette, analizzare la legittimità del mittente e individuare anomalie rispetto alle comunicazioni precedenti.

    Verifica del processo

    È bene che le organizzazioni implementino controlli interni rigorosi, tra cui l'autenticazione a più fattori per le transazioni sensibili, la doppia approvazione per i trasferimenti di fondi e procedure predeterminate per verificare l'identità, fondamentali soprattutto per le richieste di modificare informazioni finanziarie o sensibili.

    Audit e simulazioni periodici

    Per assicurarsi di essere pronti a un eventuale attacco, è utile condurre periodicamente una valutazione della postura di sicurezza delle e-mail, nonché simulazioni di phishing. Questi accorgimenti servono anche a identificare le eventuali lacune nei processi.

    Ecco due controlli essenziali per difendersi dal BEC:

    • Verifica delle richieste di pagamento: per qualsiasi richiesta di modifica dei dettagli di pagamento del fornitore, aggiunta di nuovi fornitori o bonifico bancario, è necessaria una verifica secondaria tramite canali telefonici o di persona. Non affidarti mai solo all'email.
    • Limiti alla condivisione delle informazioni: limita la quantità di informazioni dettagliate sull'azienda e sui dipendenti che vengono pubblicate online, perché spesso gli aggressori si servono proprio di questi dati per iniziare a tessere la loro tela.

    Proteggersi dal BEC con soluzioni avanzate

    Se gli aggressori utilizzano sempre più l'intelligenza artificiale per creare messaggi BEC convincenti, gli strumenti di sicurezza si sono evoluti di conseguenza per contrastare queste minacce. Varonis Interceptor sfrutta AI avanzata, elaborazione del linguaggio naturale e analisi comportamentale per individuare sottili anomalie nei contenuti delle email, nel comportamento del mittente e nel contesto.

    Ciò include:

    • rilevamento di modelli di comunicazione insoliti, come ad esempio un'improvvisa richiesta di pagamento da parte di un contatto che raramente fa richieste di questo tipo;
    • analisi delle relazioni all'interno dell'organizzazione per individuare tentativi di impersonificazione;
    • risposta in tempo reale a richieste sospette o deviazioni comportamentali

    Queste tecnologie lavorano in sincrono per ridurre la dipendenza dalla sola vigilanza degli utenti, colmando il divario lasciato dai tradizionali filtri di posta elettronica basati sulle firme.

    Non aspettare che si verifichi una violazione. 

    Gli attacchi BEC, con la loro combinazione di sofisticazione tecnica e manipolazione psicologica, rappresentano uno dei rischi informatici più gravi di oggi. Comprendendo le varie forme che il BEC può assumere, riconoscendo i segnali di attacco e adottando strategie di difesa stratificate, le organizzazioni possono ridurre in modo significativo la propria esposizione e i rischi finanziari.

    In un panorama in cui gli aggressori affinano costantemente le loro tecniche, è essenziale mantenere alta la guardia e assumere una postura di sicurezza attiva. Tuttavia, scegliendo una partnership con un provider di sicurezza avanzata e dando la priorità al miglioramento continuo, è possibile restare al passo con la continua evoluzione delle minacce, mantenendo così l'integrità dei processi finanziari e operativi.

    Vuoi scoprire come Varonis può aiutare la tua organizzazione a difendersi da BEC e altre minacce avanzate basate sulle e-mail? Contattaci oggi stesso per vedere come le nostre soluzioni basate sull'AI possono proteggere le comunicazioni, prima ancora che gli aggressori s'intrufolino nella tua casella di posta.

    Domande frequenti sulla compromissione delle email aziendali

    Come funzionano gli attacchi BEC?

    In un attacco BEC, gli aggressori iniziano solitamente cercando un bersaglio, studiandolo e poi raccogliendo informazioni sulla struttura organizzativa e sui processi aziendali. A quel punto creano e-mail convincenti e personalizzate, spesso impersonando dirigenti o fornitori, per creare un rapporto di fiducia con la vittima. Infine, inviano una richiesta fraudolenta (di solito chiedendo denaro, informazioni sensibili o modifiche a un account) nascondendosi dietro l'urgenza o la riservatezza.

    Qual è un esempio di compromissione della posta elettronica aziendale?

    Un attacco BEC si verifica ad esempio quando un responsabile finanziario riceve una fattura da quello che sembra essere un fornitore affidabile (a volte gli aggressori usano addirittura una piattaforma dalla reputazione consolidata, come QuickBooks). Il responsabile elabora la richiesta di pagamento, non sapendo che è fraudolenta, e invia inconsapevolmente i fondi su un conto controllato dall'aggressore.

    Che differenza c'è tra phishing e BEC?

    Sia il phishing che il BEC utilizzano e-mail ingannevoli, ma per il resto sono molto diversi. I messaggi di phishing tendono a essere generici e vengono inviati a molti destinatari, sperando di indurre individui ignari a cliccare su link dannosi o a fornire credenziali.

    Al contrario, gli attacchi BEC sono molto mirati, personalizzati e spesso si basano esclusivamente sull'ingegneria sociale, senza l'uso di link o allegati. Per questi motivi sono quindi più difficili da individuare.

    Che cosa vuol dire compromissione dell'account e-mail?

    La compromissione dell'account e-mail è una forma di BEC in cui un aggressore ottiene l'accesso non autorizzato all'account e-mail di un utente legittimo. Questo avviene spesso tramite furto di credenziali o phishing. L'aggressore utilizza poi quell'account per inviare richieste fraudolente ad altri all'interno dell'organizzazione, sfruttando la fiducia associata all'account compromesso.

     

    Nota: questo blog è stato tradotto con l'aiuto dell'AI e corretto da un traduttore umano.

    O que devo fazer agora?

    Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

    1

    Agende uma demonstração conosco Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

    2

    Veja um exemplo do nosso Relatório de Risco de Dados Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

    3

    Siga-nos no LinkedIn, YouTube et X (Twitter) Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

    Jonathan Villa
    Jonathan Villa Jonathan is a content marketing manager at Varonis.

    Prova Varonis gratis.

    Ottieni un report dettagliato sul rischio dei dati in base ai dati della tua azienda. Distribuzione in pochi minuti.
    Iniziare Visualizza campione

    Continua a leggere

    Varonis affronta centinaia di casi d'uso, rendendola la piattaforma ideale per bloccare le violazioni dei dati e garantire la conformità.