CEO Scam: in cosa consiste la truffa del CEO

In cosa consiste la truffa del CEO

La truffa del CEO prende di mira le aziende – specialmente quelle di piccole e medie dimensioni - e sta colpendo un po' in tutto il mondo. Ha lo scopo, tramite messaggi falsamente provenienti da dirigenti dell'azienda, di indurre i dipendenti a inviare denaro o comunicare dati di grande valore ai cybercriminali.

Ecco in dettaglio come funziona:

  • Ogni CEO scam comincia con un attacco BEC. Questo acronimo, che significa Business Email Compromise, indica una compromissione di una casella di posta elettronica aziendale. Nella pratica, i cybercriminali riescono a infiltrarsi in un account e-mail aziendale.
  • Tramite l'account inviano e-mail ai dipendenti in posizione inferiore nell'organigramma o a quelli incaricati della gestione delle risorse finanziare, con l’obiettivo di far trasferire del denaro sui conti dei criminali. Può trattarsi, ad esempio, del pagamento della fattura di un fornitore o di un partner.
  • Il dipendente, ignaro della compromissione dell'e-mail e convinto di obbedire a un superiore, invia il pagamento. La truffa prosegue, spesso con un susseguirsi di pagamenti, finché non viene scoperta.


La truffa del CEO rientra tra le tecniche di phishing, anzi più nello specifico e-mail phishing, che sfrutta tecniche di ingegneria sociale per indurre i bersagli (i dipendenti autorizzati a compiere pagamenti) a inviare denaro. A volte, invece, l'obiettivo è ottenere informazioni riservate dell'azienda, a scopo di ricatto o per rivenderle al miglior offerente.

Quali aziende sono più a rischio di CEO scam

Come dicevamo, le piccole e medie imprese, dove spesso la soglia di vigilanza è più bassa e molte procedure si svolgono ancora tramite semplici comunicazioni via e-mail, sono le più esposte al pericolo di questo tipo di truffa.

Un secondo elemento che attira i criminali è l'abitudine dell'azienda a compiere pagamenti verso conti correnti all'estero. È il caso delle aziende di import export o di quelle che hanno fornitori e partner in diversi paesi.

Come proteggersi dalla truffa del CEO

I consigli per evitare di cadere vittima della truffa del CEO sono all'incirca gli stessi che offriamo ogni volta che parliamo di sicurezza informatica aziendale:

  • La formazione dei dipendenti è un fattore cruciale – solo se i suoi dipendenti sono consapevoli dei pericoli e delle migliori pratiche che riguardano la cybersicurezza della sua azienda, possono fare del loro meglio per proteggerla.
  • Limiti l'accesso dei dipendenti alle sole informazioni indispensabili – la strategia di sicurezza nota come “Zero Trust” prevede un accesso stratificato dei dipendenti alle informazioni più critiche per l'azienda. Ogni collaboratore può dunque vedere e utilizzare solo le informazioni e gli strumenti che sono strettamente necessari per lo svolgimento delle sue mansioni. In questo modo, in caso di compromissione di un account aziendale, i cybercriminali potranno mettere le mani solo su un perimetro limitato di dati.
  • Implementi e rispetti rigide procedure – puo`, ad esempio, utilizzare degli specifici software di gestione dei pagamenti che, tramite workflow automatici, prevedono passaggi di verifica da parte di diversi dipendenti e dirigenti dell'azienda. In questo modo scongiura la possibilità che venga effettuato un pagamento per una fattura inesistente solamente perché un dirigente l'ha ordinato a un dipendente via e-mail.
  • Utilizzi sistemi di autenticazione forti – la compromissione di un'e-mail aziendale è possibile solo nella misura in cui falliscono le misure che lei ha messo in atto per proteggere i suoi account. Tra queste misure, una delle più efficaci è l'autenticazione multifattoriale.
  • Mantenga aggiornate le sue protezioni tecniche – firewall, software antintrusione, VPN per i dipendenti che lavorano da remoto sono tutti strumenti cruciali per limitare le incursioni dei cybercriminali.

Desidera tenere al sicuro i suoi dati personali? Scopra SICURNET, il servizio che perlustra la rete (incluso il Dark Web) e la avvisa se finiscono in cattive mani!