Man in the mail: le nuove e inattese frontiere della truffa informatica

Truffe informatiche

Il caso

L’azienda venditrice Alfa inoltra via mail alla società acquirente Beta una fattura pro forma in formato pdf, con la clausola di pagamento in anticipo, e contenente le coordinate bancarie di pagamento del corrispettivo di vendita.

Dopo alcuni giorni, la società venditrice Alfa viene contattata dalla acquirente Beta che lamenta il mancato invio della merce nonostante l’avvenuto pagamento della stessa.

Da successive verifiche emerge che:

  • la società Beta ha effettuato il pagamento del corrispettivo utilizzando le coordinate bancarie indicate nella fattura proforma ricevuta in formato Pdf;
  • il documento ricevuto da Beta è identico nel format e nei caratteri utilizzati a quello inviato via mail dalla società venditrice Alfa, ma differisce da quello proprio nella parte relativa alla indicazione delle coordinate bancarie;
  • il pagamento è stato eseguito da Beta su un conto corrente di una banca internazionale operante in Italia che non è tuttavia riconducibile alla società venditrice Alfa.

A questo punto, Beta è costretta ad eseguire un nuovo pagamento, con esito positivo, in favore di Alfa. Il caso rappresenta, plasticamente, una ipotesi di man in the mail, ovvero di una truffa perpetrata attraverso l’accesso diretto alla casella di posta tramite protocollo IMAP, grazie al quale i criminali hanno sostituito direttamente le email arrivate alla società Alfa, lasciando intatto il testo della mail ma modificando l’allegato documento in PDF contente la fattura con il codice IBAN corretto, che è stato modificato indicandone uno diverso.

Lo schema che prende anche il nome di “Man in The Middle”, “BEC Scam”, “Wire fraud”, “Business Email Compromise”, “BEC Fraud” o ancora “Bogus Invoice Scheme”, “Supplier Swindle” o “Invoice Modification Scheme”, è abbastanza semplice: il malintenzionato, con tecniche più o meno sofisticate, viola l’account di posta elettronica di una società, essendo così in grado di intercettare le mail in arrivo contenenti documenti sensibili, tra i quali possono essere annoverate la fatture.

Un volta intercettata la mail contenente la fattura con i dati bancari di pagamento, solitamente costituita da un documento redatto utilizzando comuni programmi di elaborazione testuale, il malfattore provvede alla modifica delle coordinate bancarie, lasciando inalterato il resto del documento.

A questo punto per il destinatario del documento è praticamente impossibile distinguere il falso dall’originale.

Quali possono essere, allora, le contromisure da adottare per non incorrere in possibili forme di concorso nella causazione del danno patrimoniale?

Fermo restando che è sempre necessario proteggere l’account di posta elettronica con l’utilizzo di idonei antivirus e antimalware, dal lato del creditore, la soluzione più semplice e immediata può essere quella di evitare di riportare le coordinate bancarie direttamente nel documento (fattura o pro forma che sia). Nel caso in cui ciò non sia possibile, possono nondimento essere adottate alcune piccole accortezze in sede di redazione del documento.

In primo luogo, è utile invitare il destinatario del documento a procedere al pagamento solo previa conferma telefonica della correttezza dei dati bancari ivi indicati. In questo senso può essere utile riportare nel corpo del documento una dicitura del seguente tenore: “Al fine di prevenire truffe informatiche, prima di procedere al pagamento tramite bonifico il cliente è tenuto a verificare la correttezza dei dati bancari riportati in fattura telefonando alla nostra sede”.

In secondo luogo, è opportuno che il documento da inviare, sia esso pdf o word, sia previamente criptato con un codice condiviso unicamente con il destinatario, in via preventiva o successiva, in modo tale che il file non possa essere aperto da terzi.

In terzo luogo, è opportuno che le coordinate Iban non si limitino al semplice codice alfanumerico, ma indichino anche la Banca e la filiale di riferimento, in modo da rendere più agevole al pagatore il controllo della coincidenza tra coordinate e intestazione del conto corrente.

Dal lato del debitore ricevente, è opportuno che ogni pagamento sia preceduto da una conferma telefonica della correttezza dei dati bancari.

In secondo luogo, è necessario che all’atto del pagamento sia prestata la massima attenzione alla coincidenza delle coordinate bancarie con l’intestazione del conto corrente. Occorre infatti ricordare che a seguito delle modifiche introdotte dal decreto legislativo n. 11/2010 il prestatore di servizi di pagamento (cioè la Banca) è sollevata dall’obbligo di effettuare il controllo di congruità tra l’IBAN e gli elementi identificativi della titolarità del conto del destinatario vincolandolo alla “mera esecuzione” della disposizione esclusivamente in conformità all’IBAN indicato dal cliente.

Rientra, quindi, nell’ambito della mera discrezionalità della Banca predisporre misure di controllo volte a contenere il rischio di eseguire operazioni di pagamento inesatte.

Il che significa che in un’eventuale ipotesi di indebito pagamento, il cliente truffato ben difficilmente potrebbe rivalersi nei confronti della Banca.

Fotografia di Austin Distel

Informazioni su Avv. Alberto Sommaio 2 Articoli
Alberto Sommaio si è laureato in giurisprudenza, a pieni voti, presso l'università di Padova. Nel 1997 consegue l'abilitazione all'esercizio della professione di avvocato. Iscritto all'Albo degli Avvocati di Pordenone. Iscritto all'Albo Speciale degli Avvocati ammessi al patrocinio avanti alla Corte di Cassazione ed alle giurisdizioni superiori. Dal 2001 è socio fondatore dell'Associazione Professionale Studio legale e tributario Turchetto & Sommaio in Caorle. Aree di attività: attività di assistenza giudiziale e stragiudiziale, e consulenza nelle materie del diritto civile e tributario, e in particolare, del diritto bancario e finanziario, sia per privati che per aziende. Contatti