- Italia
Frodi digitali: la truffa del falso CEO
24 Aprile 2024
- Bancario
Riassunto: Nell’era digitale, le frodi aziendali hanno assunto nuove e insidiose forme. Una di queste mette nel mirino i gruppi multinazionali: si tratta della c.d. “CEO Fraud”. Questo tipo di truffa si basa sull’uso fraudolento dell’identità di figure apicali aziendali, come CEO o Presidenti del consiglio di amministrazione. Il modus operandi è subdolo: i truffatori si spacciano per il CEO o un alto dirigente del Gruppo multinazionale e contattano direttamente i Chief Financial Officers (CFO) delle filiali o controllate, simulando un’inesistente operazione di investimento riservata per indurli a eseguire bonifici urgenti verso conti correnti esteri.
Contesto e Dinamiche della CEO Fraud
La CEO Fraud è una forma di truffa in cui i criminali impersonano figure dirigenziali di alto livello per ingannare i dipendenti, solitamente i CFO, inducendoli a trasferire fondi in conti bancari controllati dai truffatori. La scelta di utilizzare le identità di figure apicali come i CEO risiede nella loro autorità percepita e nella capacità di ordinare pagamenti anche ingenti, richiesti con urgenza e con l’indicazione della massima riservatezza, senza sollevare sospetti immediati.
I truffatori adottano vari strumenti di comunicazione per rendere credibili i loro tentativi di frode: in punto di partenza è solitamente un data breach, che consente ai criminali di accedere ai dati di contatto del CEO o del CFO (email, numero di telefono fisso, numero di cellulare, account whatsapp o social media) o di altre persone all’interno dell’ufficio amministrativo dotate di poteri dispositivi e operativi sui conti correnti bancari.
A volte per la conoscenza di queste informazioni non è neppure necessario un accesso illegittimo ai sistemi informatici aziendali, perché i soggetti destinatari della truffa rendono spontaneamente pubbliche queste informazioni, ad esempio indicandole sul proprio profilo sul sito web aziendale oppure mostrando pubblicamente i contatti sui profili nei social media (account linkedin, Facebook, etc.) o ancora su presentazioni, biglietti da visita e brochure aziendali nel contesto di incontri pubblici.
Altre volte ancora, non è nemmeno necessario per i truffatori appropriarsi di tutti i dati del CEO che vogliono impersonare, ma solo di quelli del destinatario, per poi dichiarare che si sta utilizzando un account personale con numero o indirizzo mail diversi da quelli abitualmente riconducibili al vero CEO.
I contatti vengono tipicamente presi come segue:
- WhatsApp e SMS: L’uso di messaggi permette una comunicazione immediata e personale, spesso percepita come legittima dai destinatari. Il falso CEO invia un messaggio al CFO utilizzando un numero di cellulare del paese in cui ha sede la capogruppo (ad esempio +34 nel caso della Spagna), scrivendo che si tratta del suo numero di telefono personale e utilizzando nel profilo whatsapp una foto ritratto del vero CEO, il che rafforza la percezione che si tratti del suo numero personale.
- Telefonate: dopo il primo contatto via messaggio, segue spesso una telefonata, che può essere direttamente quella del falso CEO oppure di un sedicente avvocato o consulente incaricato dal CEO di dare al CFO le informazioni necessarie sulla falsa operazione di investimento in corso e le istruzioni per procedere al pagamento urgente.
- Email: in alternativa o in aggiunta a messaggi e telefonate le comunicazioni possono anche passare attraverso email, spesso indistinguibili da quelle autentiche, nelle quali vengono scrupolosamente replicati i formati di testo, i loghi aziendali, le firme, etc.
Ciò è possibile tramite diverse tecniche di email spoofing in cui l’indirizzo email del mittente viene modificato per apparire come se l’email fosse inviata dal legittimo titolare. In pratica, è come se qualcuno inviasse una lettera postale mettendo un indirizzo diverso sul retro della busta per mascherare la vera origine della missiva. Nel nostro caso, questo significa che il CFO riceve un’email che – a prima vista – sembra provenire dal CEO e non dal truffatore.
Non possiamo poi escludere che i truffatori approfittino di falle nella sicurezza dei sistemi aziendali, ad esempio accedendo direttamente alle chat interne all’organizzazione.
Inoltre, la sempre maggiore diffusione di strumenti per il morphing (ossia per la creazione di immagini con sembianze umane riconducibili a persone reali) potrà rendere ancora più difficile lo smascheramento del truffatore: ai messaggi e alle telefonate potremmo infatti aggiungere messaggi video o addirittura video conferenze apparentemente tenute dal vero CEO.
La (falsa) operazione di acquisizione di una società concorrente in Europa
Vediamo un esempio realmente accaduto di CEO Fraud, per illustrare le modalità pratiche con cui vengono organizzate queste frodi.
I truffatori creano un falso profilo whatsapp del sedicente CEO di un gruppo multinazionale con sede in Spagna, che utilizza un numero telefonico spagnolo e riproduce la foto profilo nell’autentico CEO.
Tramite il falso account viene mandato un messaggio al CFO di una controllata in Italia, nel quale si comunica che è in corso una operazione riservata di investimento per acquisire una società in Portogallo. A tal fine si renderà necessario procedere, il giorno seguente, ad un bonifico di un’importante somma a favore di una società portoghese, presso una banca locale.
Il messaggio sottolinea l’importanza che l’operazione venga mantenuta strettamente riservata, motivo per cui il CFO non può rivelare la richiesta di pagamento a nessuno: prima di procedere con il pagamento viene addirittura trasmesso via email un accordo di riservatezza da parte di un (finto) studio legale, che il CFO viene convinto a firmare e a restituire al fantomatico avvocato incaricato dell’operazione.
Di seguito vengono inviate via mail al CFO le istruzioni per procedere al bonifico, con cui si sottolinea ancora l’importanza che il pagamento venga fatto il giorno stesso, in via urgente.
Il giorno dopo aver disposto il bonifico, non ricevendo più notizie dal falso CEO, il CFO provvede a contattarlo presso il suo numero di telefono aziendale e scopre la truffa: a quel punto, però, è troppo tardi perché le somme sono state già trasferite dai criminali presso uno o più conti correnti su banche estere, rendendo molto difficile, se non impossibile, rintracciare i fondi.
Le principali caratteristiche della CEO fraud
- Eccesso di fiducia: il CFO può essere facilmente indotto a credere nella veridicità dei numeri di telefono o degli indirizzi mail tramite tecniche informatiche; addirittura, talvolta i truffatori sono talmente abili da riuscire a convincere il CFO ad agire anche utilizzando numeri diversi o servendosi di fantomatici consulenti mai incontrati prima.
- Persuasione: il fatto che i truffatori impersonino figure apicali e facciano sentire il CFO investito di incarichi importanti genera nella vittima il desiderio di compiacere i superiori e di abbassare la guardia.
- Pressione: i truffatori instillano nel CFO un grande senso di urgenza, chiedendo pagamenti in tempi estremamente rapidi e intimando la segretezza sull’operazione; questo induce la vittima ad agire senza pensare, cercando di essere il più efficiente possibile.
- Rapidità: è bene sapere che una richiesta di un bonifico urgente non può essere revocata, o può essere ritirata tramite recall solo in tempi estremamente stretti; i truffatori ne approfittano per intascare le somme presso banche non troppo scrupolose o per spostarle altrove, al massimo nel giro di qualche giorno.
Come prevenire queste truffe
Gli schemi di CEO Fraud possono essere molto sofisticati, ma presentano spesso segnali che, se riconosciuti, possono fermare una truffa prima che causi danni irreparabili.
Gli indizi principali sono le modalità atipiche di contatto (whatsapp, telefonate, email da account personali del falso CEO), la richiesta di massima riservatezza sull’operazione, l’urgenza con la quale si richiede il pagamento di grandi somme, il fatto che il bonifico debba essere fatto su banche all’estero, il coinvolgimento di società o soggetti mai menzionati in precedenza. Per prevenire truffe come quella della CEO Fraud, la formazione aziendale dei dipendenti su come riconoscere e rispondere alle truffe è cruciale; è poi fondamentale predisporre solide procedure di sicurezza interna.
- In primo luogo, una precauzione importante e di base è quella di adottare sistemi di verifica che analizzano i messaggi di posta elettronica alla ricerca di eventuali virus e segnalano la provenienza dell’email da un account esterno all’organizzazione aziendale.
- In secondo luogo, è fondamentale che le aziende implementino chiari processi per i pagamenti verso terzi, soprattutto se le modalità sono diverse dall’operatività standard della società, ad esempio prevedendo limiti di valore ai poteri di disposizione sull’operatività dei conti correnti, oltre i quali è necessaria la doppia firma con un altro amministratore.
- In ultimo, e in generale, è bene adottare tutte le norme di buon senso e diligenza nell’analisi del caso. Meglio fare una verifica interna in più, piuttosto che una in meno; ad esempio, in caso di una richiesta particolarmente realistica ma comunque insolita, inoltrare lo scambio con il presunto truffatore all’indirizzo che riteniamo reale e chiedere ulteriori conferme nella mail di forward, anziché rispondendo direttamente nel loop via mail, consente di capire se il mittente è fasullo.
Le azioni legali per il recupero dei fondi
Dopo la scoperta di una CEO Fraud, è cruciale agire rapidamente per aumentare le possibilità di recuperare i fondi persi e perseguire legalmente i responsabili.
Azioni Legali Possibili
Una pronta comunicazione all’istituto bancario dell’ordinante per il congelamento dei fondi presso la banca beneficiaria, oltre ad una tempestiva denuncia-querela in Italia anche una denuncia nel paese in cui ha sede la banca destinataria del pagamento sono passi immediati che possono aiutare a contenere i danni e ad iniziare il processo di recupero.
In molti paesi, infatti, lo schema del CEO Fraud è ben noto ed esistono unità di polizia giudiziaria specializzate che hanno gli strumenti per muoversi in maniera tempestiva a seguito della segnalazione del reato.
Le indagini penali nel paese di destinazione del pagamento consentono anche di verificare che siano i titolari del conto corrente e le persone coinvolte nel tentativo di truffa, in alcuni casi giungendo all’arresto dei responsabili.
Dopo aver tentato di ottenere il blocco del bonifico o dei fondi, si potrà poi valutare quale sia stato il comportamento degli istituti bancari coinvolti nella vicenda, in particolare per verificare se la banca beneficiaria abbia adempiuto in maniera corretta agli obblighi imposti dalla normativa in materia di antiriciclaggio, che impongono precisi obblighi di verifica della clientela e dell’origine dei fondi.
Conclusioni
La CEO Fraud è una minaccia significativa per le aziende di ogni dimensione e settore, resa possibile e amplificata dalle tecnologie moderne e dalla globalizzazione dei mercati finanziari. Le aziende devono rimanere vigili e proattive, aggiornando continuamente le loro procedure di sicurezza per tenere il passo con le tecniche in evoluzione dei truffatori.
L’investimento in formazione, tecnologia e consulenza non è solo una misura di protezione, ma una necessità strategica per l’operatività dell’impresa.
Nel caso in cui la truffa colpisca l’azienda, in infine, è fondamentale attivarsi in maniera tempestiva per cercare di bloccare i fondi prima che siano spostati su conti correnti in altri paesi e quindi resi irrintracciabili.