C'è una telefonata in arrivo dal direttore finanziario della casa madre, in Irlanda, che per qualche motivo cerca proprio te: l'addetto alla contabilità della filiale italiana. Pare che l'azienda stia per portare a termine un'acquisizione fondamentale, ma che per finalizzarla manchi liquidità — un milione di euro che andrebbero prelevati dalla sede locale e girati su un conto estero, velocemente e con la massima discrezione. Che fai?

La risposta non è così scontata e lo scenario appena descritto in effetti è diventato tristemente famoso all'estero con un nome che da noi è difficile da tenere a mente: la truffa del CEO. Si tratta di un raggiro che unisce attacco cibernetico e ingegneria sociale, che da noi è arrivato in ritardo rispetto ad altri Paesi ma che purtroppo sta iniziando a spopolare fino a far perdere alle aziende milioni di euro. A Fanpage.it l'ha raccontato Marianna Vintiadis
la Managing Director e capo delle operazioni nel sud Europa di Kroll, azienda specializzata tra le altre cose nella sicurezza informatica, nelle investigazioni e nella risposta a questo tipo di minacce a livello globale.

Come funziona la truffa del CEO

L'obbiettivo dei truffatori è solitamente un'azienda multinazionale, ma non mancano i casi di attacchi a gruppi esclusivamente tricolore. Lo svolgimento è sempre il medesimo: una persona si finge una figura preminente nell'organigramma della società e chiama al telefono una figura contabile all'interno della filiale locale per chiederle di effettuare un pagamento. I due elementi chiave della telefonata sono urgenza e confidenzialità, mentre il tono e i contenuti della conversazione sono tipicamente quelli già riportati. Una chiusa ad effetto del finto dirigente — "mi raccomando, mi fido di te" — suggella il patto segreto tra truffatore e vittima. Il contabile agisce e fa partire il denaro sul conto richiesto. Il credito viaggia alla velocità della luce transitando spesso dalla Cina ma per poi finire ovunque nel mondo, sostanzialmente impossibile da recuperare.

Come viene trovata e raggirata la vittima

Il sistema, racconta Vintiadis, "prevede una componente cibernetica e una di ingegneria sociale". Dopo aver preso di mira un'azienda, i truffatori cercano la vittima da raggirare tentando di ricostruire un organigramma della società utilizzando i social network — da Facebook a Linkedin passando per Twitter e gli altri — alla ricerca di una figura che abbia accesso alle operazioni bancarie del gruppo. Le telefonate avvengono in alcuni casi in italiano, ma spesso in inglese (un fatto tutto sommato normale in ambito multinazionale, ma ancora in grado di mettere sotto pressione i dipendenti nostrani da un punto di vista psicologico). Esistono poi casi più sofisticati nei quali si verifica anche una violazione dei sistemi email azientali: in questo caso tra i truffatori si nasconde anche un hacker che si impadronisce temporaneamente della casella postale della figura impersonata, per effettuare eventuali scambi di conferma con la vittima senza che lascino traccia sui server aziendali.

Perché sta spopolando in Italia

La truffa del CEO non è nulla di nuovo, ma in Italia sembra stia trovando un terreno particolarmente fertile fin da quando è apparsa per la prima volta. I motivi sono difficili da isolare, ma Vintiadis prova a individuarne tre. Il primo è che nelle aziende nostrane spesso non sono previste procedure antifrode interne, che ad esempio vietano a chiunque abbia le mani sui conti di effettuare pagamenti prima di un controllo incrociato da parte di una seconda figura. Il secondo è che, soprattutto da noi, la parola del capo vale più della regola: che un alto dirigente telefoni in prima persona a una filiale per ricevere un pagamento sostanzioso non viene dunque considerato assurdo, ma plausibile. Il terzo è il già citato elemento psicologico: quando qualcuno che si finge essere una figura di spicco per chiedere di effettuare un pagamento, "in pochi si chiedono come mai tra tutte le filiali abbia deciso di contattare la propria". Nelle modalità di attacco insomma è presente un elemento di gratificazione, che unito all'urgenza della richiesta, alla richiesta di confidenzialità e all'uso di una lingua diversa da quella meglio padroneggiata, fa in modo che le vittime non dedichino tempo a farsi le domande che sarebbe necessario porsi in una situazione del genere.

Sono gruppi ben organizzati

Oltre a chi si occupa di trovare e contattare le vittime, l'organizzazione è composta da personaggi in grado di mettere in piedi e far funzionare l'infrastruttura di transito del denaro estorto con l'inganno. "Studiando i passaggi bancari si nota una suddivisione dei pagamenti riceuti, che una volta giunti al conto di destinazione ripartono frazionati in numerosi altri Paesi", spiega Vintiadis. Perpetrate poi da un Paese terzo, queste truffe rendono molto difficili le indagini per le forze dell'ordine, le quali una volta arrivate al confine italiano devono chiedere la collaborazione dei Paesi nei quali i soldi sono transitati.

Le proporzioni del fenomeno

Difficile capire quante aziende finiscano vittime ogni anno di questo tipo di truffa. Vintiadis riferisce di essere passata, in Italia, dal ricevere una segnalazione all'anno a una al mese, ma si tratta solo delle vicende denunciate a Kroll, che sono tendenzialmente di alto profilo e riguardano la perdita "anche di decine di milioni di euro"; la maggior parte dei casi, che invece coinvolge aziende più piccole e importi minori, spesso non vengono neppure denunciati. Inoltre non è possibile fare una stima ufficiale del fenomeno a livello nazionale, perché questo tipo di crimini non viene trattato in modo coordinato dalle forze di polizia, dando adito a volte a fenomeni paradossali: la società di consulenza ha scoperto ad esempio che in alcuni casi esaminati i numeri di telefono dai quali provenivano le chiamate erano identici per più aziende truffate, ovvero che dietro a più attacchi si cela inequivocabilmente lo stesso gruppo.

Come combatterla

Paradossalmente porre un freno al dilagare della truffa del CEO non dovrebbe essere difficile. "Nei Paesi in cui la truffa è arrivata prima" racconta Vintiadis "sono bastate alcune campagne informative ad ampio spettro a debellarla, tanto che le sedi centrali delle aziende colpite spesso si stupiscono di come in Italia questo trucco ancora funzioni". Grazie a queste campagne, altrove i dipendenti delle aziende potenzialmente nel mirino dei truffatori conoscono già le caratteristiche della minaccia; in alcuni Paesi sono state le società a formare il personale in questo senso, mentre in altri — come nel Regno Unito — ci ha pensato perfino il governo. Sono però soprattutto i piani alti delle aziende a dover prendere coscienza del problema e capire cosa intendono fare in merito: oltre alla formazione (che "va svolta in modo coinvolgente, meno rigido") occorre infatti una reale divisione dei poteri in azienda, un sistema di controlli che impedisca del tutto a un solo dipendente di prendere decisioni potenzialmente disastrose per tutto il gruppo.