LEGALAUDIT
Cyber Coach

Frode finanziaria

Fatture false e BEC: il bonifico dirottato

Email che modificano l'IBAN di una fattura attesa. La perdita media in EU supera i 50.000 EUR per incidente.

9 min di letturaIntermedio

Indicatori da riconoscere

  • Cambio di IBAN comunicato via email nei giorni precedenti al pagamento
  • Dominio mittente quasi identico (es. fornitore.com vs fornitor.com o forn1tore.com)
  • Tono di urgenza: 'paga oggi, abbiamo il ricevente bloccato'
  • Richiesta di non telefonare per 'evitare verifiche fiscali'
  • PDF della fattura identico graficamente ma con IBAN modificato
  • Domanda di pagamento parziale o anticipato non concordato
  • Email che arriva poco dopo un thread legittimo, come reply su conversazione vera
  • Forwarding rule sospetta sulla casella amministrazione (segnale di account takeover)

Cosa fare subito

  • Procedura aziendale: ogni cambio IBAN si verifica con telefonata al numero già in rubrica
  • Doppia firma obbligatoria per bonifici sopra una soglia
  • Verifica SPF/DKIM/DMARC del dominio mittente
  • Controlla regole di inoltro sulla casella: account compromessi spesso hanno forwarding nascosti
  • Confronto fonetico/visivo del dominio: usa strumenti di lookalike domain detection
  • Se il bonifico è già partito: chiama immediatamente la banca per richiamo SWIFT

Caso reale

BEC su PMI tessile, Prato 2025

Una PMI tessile attende il pagamento di una fattura di 92.000 EUR da un cliente francese. Pochi giorni prima della scadenza, l'amministrativa del cliente riceve una email apparentemente dall'AD italiano con nuova fattura PDF e IBAN aggiornato 'per cambio banca'.

Il pagamento parte verso un IBAN inglese intestato a una money mule reclutata online. I criminali avevano compromesso la casella commerciale@<azienda>.it un mese prima, leggevano i thread con il cliente e hanno scelto il momento giusto. Hanno usato un dominio lookalike con 'i' al posto di 'l'.

Mythos ha analizzato l'header dell'email fraudolenta: SPF fail, dominio registrato 11 giorni prima, IP di invio in un VPS asiatico. L'analisi del PDF ha rivelato che era stato generato dallo stesso template del PDF legittimo, ma con metadata Adobe modificati. Il dossier ha permesso il recall SWIFT parziale e il blocco del 38% dei fondi.

Cosa può fare Mythos su questo caso

  • Analisi header email con SPF/DKIM/DMARC e Received chain
  • Confronto fonetico/visivo del dominio mittente (lookalike domain detection)
  • Estrazione metadata del PDF (autore, software, timestamp, struttura interna)
  • Verifica IBAN: BIC corrispondente, banca, paese, età dell'account se possibile
  • Generazione del dossier per recall SWIFT e denuncia

Passi successivi

Analizza fattura ed email con MythosParla con Mythos del caso