“Il capo vuole un bonifico urgente, adesso”. Una mail, una telefonata o—sempre più spesso—una video-call con un “volto noto”. È la Truffa del CEO (o Business Email Compromise, BEC): un attacco che sfrutta fiducia, urgenza e autorità per convincere personale finance/amministrativo a trasferire denaro o dati sensibili. Non parliamo di casi isolati. Secondo l’FBI/IC3, nel solo 2024 il BEC ha generato perdite per ~2,8 miliardi di dollari su 21.442 denunce, ed è la seconda voce per ammontare di danno fra tutti i crimini informatici monitorati. Dal 2013 al 2023, le perdite cumulate stimate nel mondo toccano 55 miliardi di dollari.Negli ultimi 18 mesi lo schema si è evoluto con l’uso di deepfake audio/video: attori malevoli clonano voce e volto di dirigenti per orchestrare video-riunioni simulate in cui ordinano pagamenti “confidenziali”. Il caso diventato simbolo arriva da Hong Kong: un dipendente, convinto di parlare con il CFO e altri colleghi (tutti deepfake), ha trasferito 25 milioni di dollari in 15 bonifici. La vittima—poi identificata in Arup dalla stampa—era stata inizialmente scettica, ma il realismo del video call l’ha persuasa.

Come operano gli attaccanti: dal social engineering al “video comando”

• Fase 1 — Ricognizione e preparazione. Gli attaccanti profilano l’azienda (organigramma, ruoli finance, fornitori, calendario trimestrali) da social, news, leak. Raccolgono campioni vocali/video del dirigente e loghi/branding per e-mail fake. In parallelo, sondano la superficie tecnica (mail gateway, DNS) e la postura DMARC/SPF/DKIM del dominio.
• Fase 2 — Innesco. Un primo contatto chiede “estrema riservatezza” e anticipa una transazione straordinaria: acquisizione, gara estera, pagamento fornitore “bloccante”. Spesso il canale è fuori banda (numero privato, account personale del senior), per eludere controlli.
• Fase 3 — Authority & Urgency. Arriva la mail con IBAN e istruzioni o una call “al volo”. Con i deepfake, l’“autorità” diventa visiva/uditiva: l’avatar del CFO parla in tempo reale con la voce clonata. A questo punto, la barriera psicologica crolla..
• Fase 4 — Cash-out. I fondi transitano su conti “muli”, spesso in giurisdizioni diverse e poi in crypto. Il recupero è difficile: tempi lunghi e frammentazione legale favoriscono i criminali. L’FBI segnala che l’onda BEC è globale e continua a crescere come voce di danno economico assoluto.

Perché funziona (ancora): organizzazioni complesse, catene di fornitura, IA generativa

1. Complessità organizzativa. Ruoli finance distribuiti, processi “eccezionali”, pressioni di fine mese. Il criminale inserisce richieste che “suonano” plausibili.
2. Dipendenza dall’ecosistema. Fornitori, outsourcer, consulenti: basta un account compromesso nella supply chain per introdurre e-mail credibili negli scambi reali. La guida NCSC e le linee ENISA su NIS2 insistono su controlli strutturati lungo tutta la catena (autenticazione, verifica identità, segregazione poteri).
3. AI a basso costo. Oggi chiunque può clonare voce/volto con campioni pubblici e toolkit economici. Il “fattore wow” di una video-call finta aumenta la compliance psicologica. Nel caso Hong Kong, la “riunione” ha superato scetticismo iniziale del dipendente.

Il costo di cadere nella trappola

Oltre alla perdita diretta, ci sono costi invisibili: spese legali/forensi, tempi di blocco conti, danni reputazionali, perdita di clienti e premi assicurativi più alti. A livello europeo, il quadro NIS2 spinge verso controlli di gestione del rischio (identità, autenticazione, processi finanziari, formazione). Per gli enti soggetti, mancanze sistemiche potrebbero tradursi in sanzioni e responsabilità maggiori.

Come riconoscerla: segnali d’allarme

• Urgenza + segretezza. “Solo tu puoi farlo”, “Evita compliance/legale”. Red flag classica.
• Cambio insolito di canale. Il “CEO” scrive da Gmail o chiede di spostarsi su WhatsApp/numero non aziendale.
• IBAN/beneficiario nuovo con paese atipico o schema “a tranche”.
• Anomalie sottili nella call. Labbra non perfettamente sincronizzate, micro-lag audio, impossibilità a “improvvisare” su riferimenti interni (c.d. liveness check). Nei casi documentati, gli attori evitano conversazioni fuori script.

Mitigazioni pratiche, checklist rapida “zero scuse”

• DMARC a reject sul dominio.
• MFA ovunque (posta, ERP, Remote Access, banking).
• Dual control e verifica fuori banda per ogni pagamento straordinario o cambio IBAN.
• Playbook anti-deepfake con parola chiave e “no wire on video alone”.
• Formazione trimestrale con scenari BEC reali (urgency, segretezza, channel switch).
• Testing & audit: campionare pagamenti/fornitori, verificare che la procedura sia stata seguita.
• Contatti d’emergenza (banche, forze dell’ordine) ed escalation chiare.

Per concludere, il “nuovo BEC” si batte con processi, prove e cultura.

La Truffa del CEO è diventata un crimine industriale ad alta marginalità. Colpisce organizzazioni di ogni dimensione e sfrutta tecniche psicologiche rafforzate dall’IA generativa. Le cifre ufficiali mostrano che l’impatto economico continua a crescere, mentre i casi deepfake—come quello di Hong Kong—segnano la maturità del fenomeno.

La difesa non è (solo) tecnologia: è governance dei pagamenti, disciplina dei canali, verifiche fuori banda, formazione e prove periodiche. Un’organizzazione che sa dire “no” a una richiesta urgente finché non passa attraverso i suoi controlli—e che lo dimostra con log, check e firme—è un’organizzazione molto più difficile da frodare.