Spain – Man in the Middle fraud and EU Regulation 2024/886: a paradigm shift

3 Novembre 2025

  • Spagna
  • Bancario
  • Titoli e strumenti finanziari
  • Contenzioso

The increase in so-called cybercrime in recent years is so significant that it requires strong legislative and judicial responses. Losses from online fraud in Europe exceed $100 billion, according to Nasdaq Ventures, of which $5 billion correspond to Spain.

In Spain, 192,375 cases of computer fraud were reported in 2019, but by 2023 this figure had risen to 427,448. According to the latest official data available, computer fraud accounts for 90.4% of all cybercrimes, with growth of 378% between 2016 and 2023.

There are many different types of computer fraud, and they are named in English (after all, the lingua franca of our time), including, among other ingenious methods used by skilled fraudsters, those with curious and amusing names (except for those who suffer from them) such as phishing, pharming, juice jacking, tabnabbing, bluesnarfing, catfishing, spoofing, vishing, smishing, whaling, carding, and the one we are interested in today, man in the middle (MITM).

Man in the Middle scam: how it works

This MITM fraud involves intercepting communications between two devices connected to a network, allowing the attacker to alter and divert messages exchanged between users. The fraudster intercepts a communication in which one user requests a payment from another and then modifies the IBAN of the bank account to which the transfer should be made in order to obtain the money. The process generally unfolds as follows:

  • Without the company noticing, an attacker intercepts and manipulates an email, changing the IBAN number of the account to which the payment should be made.
  • The cybercriminal impersonates the supplier, sending the message from an email address that is almost identical to the original, but with a slight alteration that is almost imperceptible.
  • The receiving company, trusting the authenticity of the message, makes the transfer to the fraudulent account.

 

This results in a transfer of assets to the detriment of the person ordering the transfer and in favor of the cyber thief, so that when the person ordering the transfer notices the error, their first reaction is to try to contact the receiving bank in the hope that the funds can be blocked in time. However, in most cases, the cybercriminal has been quicker: the money has already been transferred to another account or withdrawn, leaving little room for maneuvering, except for the initiation of legal proceedings, which we will discuss below.

The immediate question is what responsibility the bank that has received the transfer order from the deceived user and credits the cyber fraudster’s account with the amount in question has in cases where the payer identifies not only the (fraudulent) IBAN but also the name of the beneficiary of the payment order, which obviously does not match the name of the holder of the bank account receiving the funds.

The common-sense answer would be that the bank receiving the transfer should confirm that the holder of the account to which the funds are credited and the individual or entity identified as the beneficiary in the transfer order match; if this is not the case, it should suspend the payment and request clarification from the payer. However, this is not the case in light of EU legislation and its transposition into Spanish law, as we will see below.

Until October 9, the European banking system operated under the premise that the validity of a transfer was based exclusively on the correctness of the IBAN. In other words, if the account number was correct, the transaction was considered valid, even if the beneficiary’s name did not match. This practice has led to numerous cases of fraud, unintentional errors, and loss of funds, especially in instant transfers, where speed can compromise security.

The most reasonable option for the defrauded payer to recover their money is to sue the bank receiving the payment order (with which they have no contractual relationship) for non-contractual liability under Article 1124 of the Civil Code; in fact, criminal proceedings against the account holder, who is usually referred to in slang as a “mule,” do not usually have a satisfactory outcome, both because the bird usually flies away and because of its lack of solvency.

The case law of the Provincial Courts has been divided between rulings that strictly and faithfully applied Article 59 of Royal Decree-Law 19/2018 of November 23, on payment services and other urgent financial measures, dismissing the claims of those defrauded, and others in which arguments were sought under the premise of lack of diligence to condemn the bank to compensate the payer.

This has led to the establishment of quasi-objective liability for banks in relation to digital fraud, imposing a higher standard of diligence on them and transferring the risk inherent in online banking to them, except in cases of willful misconduct or gross negligence on the part of the customer. This line of reasoning, which has been developed from lower court rulings (AP Madrid 178/2015; AP Alicante 107/2018; AP Valencia 212/2021) to the Supreme Court itself (STS 571/2025, among others), is in line with the idea that it is up to the bank to prove that its systems were secure, up to date, and sufficient to prevent the crime from being committed.

In this context, the concept of bonus argentarius takes on renewed relevance. This is a principle that was included in Law 57/68 to protect home buyers in the real estate sector, but the Supreme Court has ruled on several occasions that it can also be applied to other financial investments. This means that, in the event of losses due to negligence on the part of the financial institution, the customer can file a claim under Law 57/68 and hold the institution liable.

The bonus argentarius is based on the presumption of fault on the part of the financial institution, which means that even if the customer has no concrete evidence of negligence, it is assumed due to the duty of care that the institution must exercise in the management of investments.

Based on this principle, the diligence required of financial professionals is not that of the average trader or pater familias, but that of a qualified expert who assumes the obligation to protect the funds entrusted to them by implementing “necessary and renewable” security mechanisms. This implies not only maintaining basic technical measures for enhanced authentication, but also proactively adopting internationally recognized anti-fraud solutions, such as name-IBAN verification (Confirmation of Payee or IBAN-Naam Check), which have proven effective in comparable jurisdictions.

In line with that doctrine and case law, it can be said that the omission of beneficiary verification measures today constitutes a breach of the contractual duty of diligence and good faith (Articles 1104 and 1258 of the Civil Code), giving rise to civil liability for the damage caused, such that MITM fraud cannot be considered a residual risk attributable to the customer, but rather a systemic security failure attributable to the financial institution, as the designer and custodian of the electronic payment channel.

In this state of affairs, the Supreme Court, in its recent ruling of March 27, 2025, opted for the alternative of strict application of Article 59, arguing that “if the payment service user provides additional information to that required (specification of the information or unique identifier that the payment service user must provide for the correct initiation or execution of a payment order), the payment service provider shall only be liable for the execution of payment transactions in accordance with the unique identifier provided by the payment service user… and that the liability of the payment service provider, both at Community and national level, is such that it fulfills its obligation by executing the payment transaction in accordance with the unique identifier, without the addition of further information implying a higher standard of diligence

It is true that, in conclusion, the Supreme Court offered a glimmer of hope to defrauded users when it stated that “the interpretation set out above does not exempt the payment service provider from liability when circumstances, unrelated to the provision of additional data, are found to have contributed to the defective execution of the transaction, either because an additional requirement or demand (e.g., the identification of the beneficiary), or because the payment service provider of the payer or the beneficiary had taken advantage of the error for their own benefit, or because, once the existence of the error had been communicated without delay, one or the other had not taken the measures required by the diligence of an expert trader to allow retroaction or, where appropriate, to minimize the damage.”

Regulation (EU) 2024/886: a paradigm shift

And in this scenario fraught with doubts, Regulation (EU) 2024/886 bursts onto the scene, representing a 180-degree turn and a paradigm shift: the new European Regulation, approved in April 2024 and coming into force on October 9, 2025, establishes a clear obligation for banks: they must verify that the name of the beneficiary provided by the payer matches the IBAN holder before executing an immediate transfer in euros.

The new features of this regulation are

  • mandatory application to all instant transfers within the SEPA area,
  • the new name matching system: if there is a discrepancy between the name and the IBAN, the bank must alert the customer before executing the transaction, and
  • increased liability for financial institutions in the event of fraud or error due to lack of verification.

In short, the aim is to reduce the risk of fraud, protect consumers, and increase confidence in digital payments.

This means that Law 19/2018, which regulates payment services in Spain and does not require verification of the beneficiary’s identity, is now outdated, underscoring the need for a national legislative review to harmonize the legal framework with European requirements.

In conclusion, the obligation to verify the beneficiary of transfers represents a significant step forward in consumer protection and the fight against financial fraud. Regulation (EU) 2024/886 marks a turning point in banking operations, imposing an active responsibility on institutions to ensure the authenticity of transfers.

In any case, the question remains open regarding the solution to MITM frauds executed before October 9, 2025, and the responsibility of the banking institution. For the time being, the aforementioned Supreme Court ruling of March 27 closes the door to claims against banks, but it cannot be ruled out that the entry into force of Regulation 2024/886 and the paradigm shift will lead to a rethinking of the Supreme Court’s position in line with the quasi-objective liability that lower courts have been maintaining. We will have to wait and see, but such a change would be a great success for bank users who have suffered from this MITM fraud and all other types of cyber fraud.

Riassunto: Nell’era digitale, le frodi aziendali hanno assunto nuove e insidiose forme. Una di queste mette nel mirino i gruppi multinazionali: si tratta della c.d. “CEO Fraud”. Questo tipo di truffa si basa sull’uso fraudolento dell’identità di figure apicali aziendali, come CEO o Presidenti del consiglio di amministrazione. Il modus operandi è subdolo: i truffatori si spacciano per il CEO o un alto dirigente del Gruppo multinazionale e contattano direttamente i Chief Financial Officers (CFO) delle filiali o controllate, simulando un’inesistente operazione di investimento riservata per indurli a eseguire bonifici urgenti verso conti correnti esteri.

Contesto e Dinamiche della CEO Fraud

La CEO Fraud è una forma di truffa in cui i criminali impersonano figure dirigenziali di alto livello per ingannare i dipendenti, solitamente i CFO, inducendoli a trasferire fondi in conti bancari controllati dai truffatori. La scelta di utilizzare le identità di figure apicali come i CEO risiede nella loro autorità percepita e nella capacità di ordinare pagamenti anche ingenti, richiesti con urgenza e con l’indicazione della massima riservatezza, senza sollevare sospetti immediati.

I truffatori adottano vari strumenti di comunicazione per rendere credibili i loro tentativi di frode: in punto di partenza è solitamente un data breach, che consente ai criminali di accedere ai dati di contatto del CEO o del CFO (email, numero di telefono fisso, numero di cellulare, account whatsapp o social media) o di altre persone all’interno dell’ufficio amministrativo dotate di poteri dispositivi e operativi sui conti correnti bancari.

A volte per la conoscenza di queste informazioni non è neppure necessario un accesso illegittimo ai sistemi informatici aziendali, perché i soggetti destinatari della truffa rendono spontaneamente pubbliche queste informazioni, ad esempio indicandole sul proprio profilo sul sito web aziendale oppure mostrando pubblicamente i contatti sui profili nei social media (account linkedin, Facebook, etc.) o ancora su presentazioni, biglietti da visita e brochure aziendali nel contesto di incontri pubblici.

Altre volte ancora, non è nemmeno necessario per i truffatori appropriarsi di tutti i dati del CEO che vogliono impersonare, ma solo di quelli del destinatario, per poi dichiarare che si sta utilizzando un account personale con numero o indirizzo mail diversi da quelli abitualmente riconducibili al vero CEO.

I contatti vengono tipicamente presi come segue:

  • WhatsApp e SMS: L’uso di messaggi permette una comunicazione immediata e personale, spesso percepita come legittima dai destinatari. Il falso CEO invia un messaggio al CFO utilizzando un numero di cellulare del paese in cui ha sede la capogruppo (ad esempio +34 nel caso della Spagna), scrivendo che si tratta del suo numero di telefono personale e utilizzando nel profilo whatsapp una foto ritratto del vero CEO, il che rafforza la percezione che si tratti del suo numero personale.
  • Telefonate: dopo il primo contatto via messaggio, segue spesso una telefonata, che può essere direttamente quella del falso CEO oppure di un sedicente avvocato o consulente incaricato dal CEO di dare al CFO le informazioni necessarie sulla falsa operazione di investimento in corso e le istruzioni per procedere al pagamento urgente.
  • Email: in alternativa o in aggiunta a messaggi e telefonate le comunicazioni possono anche passare attraverso email, spesso indistinguibili da quelle autentiche, nelle quali vengono scrupolosamente replicati i formati di testo, i loghi aziendali, le firme, etc.

Ciò è possibile tramite diverse tecniche di email spoofing in cui l’indirizzo email del mittente viene modificato per apparire come se l’email fosse inviata dal legittimo titolare. In pratica, è come se qualcuno inviasse una lettera postale mettendo un indirizzo diverso sul retro della busta per mascherare la vera origine della missiva. Nel nostro caso, questo significa che il CFO riceve un’email che – a prima vista – sembra provenire dal CEO e non dal truffatore.

Non possiamo poi escludere che i truffatori approfittino di falle nella sicurezza dei sistemi aziendali, ad esempio accedendo direttamente alle chat interne all’organizzazione.

Inoltre, la sempre maggiore diffusione di strumenti per il morphing (ossia per la creazione di immagini con sembianze umane riconducibili a persone reali) potrà rendere ancora più difficile lo smascheramento del truffatore: ai messaggi e alle telefonate potremmo infatti aggiungere messaggi video o addirittura video conferenze apparentemente tenute dal vero CEO.

La (falsa) operazione di acquisizione di una società concorrente in Europa

Vediamo un esempio realmente accaduto di CEO Fraud, per illustrare le modalità pratiche con cui vengono organizzate queste frodi.

I truffatori creano un falso profilo whatsapp del sedicente CEO di un gruppo multinazionale con sede in Spagna, che utilizza un numero telefonico spagnolo e riproduce la foto profilo nell’autentico CEO.

Tramite il falso account viene mandato un messaggio al CFO di una controllata in Italia, nel quale si comunica che è in corso una operazione riservata di investimento per acquisire una società in Portogallo. A tal fine si renderà necessario procedere, il giorno seguente, ad un bonifico di un’importante somma a favore di una società portoghese, presso una banca locale.

Il messaggio sottolinea l’importanza che l’operazione venga mantenuta strettamente riservata, motivo per cui il CFO non può rivelare la richiesta di pagamento a nessuno: prima di procedere con il pagamento viene addirittura trasmesso via email un accordo di riservatezza da parte di un (finto) studio legale, che il CFO viene convinto a firmare e a restituire al fantomatico avvocato incaricato dell’operazione.

Di seguito vengono inviate via mail al CFO le istruzioni per procedere al bonifico, con cui si sottolinea ancora l’importanza che il pagamento venga fatto il giorno stesso, in via urgente.

Il giorno dopo aver disposto il bonifico, non ricevendo più notizie dal falso CEO, il CFO provvede a contattarlo presso il suo numero di telefono aziendale e scopre la truffa: a quel punto, però, è troppo tardi perché le somme sono state già trasferite dai criminali presso uno o più conti correnti su banche estere, rendendo molto difficile, se non impossibile, rintracciare i fondi.

Le principali caratteristiche della CEO fraud

  • Eccesso di fiducia: il CFO può essere facilmente indotto a credere nella veridicità dei numeri di telefono o degli indirizzi mail tramite tecniche informatiche; addirittura, talvolta i truffatori sono talmente abili da riuscire a convincere il CFO ad agire anche utilizzando numeri diversi o servendosi di fantomatici consulenti mai incontrati prima.
  • Persuasione: il fatto che i truffatori impersonino figure apicali e facciano sentire il CFO investito di incarichi importanti genera nella vittima il desiderio di compiacere i superiori e di abbassare la guardia.
  • Pressione: i truffatori instillano nel CFO un grande senso di urgenza, chiedendo pagamenti in tempi estremamente rapidi e intimando la segretezza sull’operazione; questo induce la vittima ad agire senza pensare, cercando di essere il più efficiente possibile.
  • Rapidità: è bene sapere che una richiesta di un bonifico urgente non può essere revocata, o può essere ritirata tramite recall solo in tempi estremamente stretti; i truffatori ne approfittano per intascare le somme presso banche non troppo scrupolose o per spostarle altrove, al massimo nel giro di qualche giorno.

Come prevenire queste truffe

Gli schemi di CEO Fraud possono essere molto sofisticati, ma presentano spesso segnali che, se riconosciuti, possono fermare una truffa prima che causi danni irreparabili.

Gli indizi principali sono le modalità atipiche di contatto (whatsapp, telefonate, email da account personali del falso CEO), la richiesta di massima riservatezza sull’operazione, l’urgenza con la quale si richiede il pagamento di grandi somme, il fatto che il bonifico debba essere fatto su banche all’estero, il coinvolgimento di società o soggetti mai menzionati in precedenza. Per prevenire truffe come quella della CEO Fraud, la formazione aziendale dei dipendenti su come riconoscere e rispondere alle truffe è cruciale; è poi fondamentale predisporre solide procedure di sicurezza interna.

  • In primo luogo, una precauzione importante e di base è quella di adottare sistemi di verifica che analizzano i messaggi di posta elettronica alla ricerca di eventuali virus e segnalano la provenienza dell’email da un account esterno all’organizzazione aziendale.
  • In secondo luogo, è fondamentale che le aziende implementino chiari processi per i pagamenti verso terzi, soprattutto se le modalità sono diverse dall’operatività standard della società, ad esempio prevedendo limiti di valore ai poteri di disposizione sull’operatività dei conti correnti, oltre i quali è necessaria la doppia firma con un altro amministratore.
  • In ultimo, e in generale, è bene adottare tutte le norme di buon senso e diligenza nell’analisi del caso. Meglio fare una verifica interna in più, piuttosto che una in meno; ad esempio, in caso di una richiesta particolarmente realistica ma comunque insolita, inoltrare lo scambio con il presunto truffatore all’indirizzo che riteniamo reale e chiedere ulteriori conferme nella mail di forward, anziché rispondendo direttamente nel loop via mail, consente di capire se il mittente è fasullo.

Le azioni legali per il recupero dei fondi

Dopo la scoperta di una CEO Fraud, è cruciale agire rapidamente per aumentare le possibilità di recuperare i fondi persi e perseguire legalmente i responsabili.

Azioni Legali Possibili

Una pronta comunicazione all’istituto bancario dell’ordinante per il congelamento dei fondi presso la banca beneficiaria, oltre ad una tempestiva denuncia-querela in Italia anche una denuncia nel paese in cui ha sede la banca destinataria del pagamento sono passi immediati che possono aiutare a contenere i danni e ad iniziare il processo di recupero.

In molti paesi, infatti, lo schema del CEO Fraud è ben noto ed esistono unità di polizia giudiziaria specializzate che hanno gli strumenti per muoversi in maniera tempestiva a seguito della segnalazione del reato.

Le indagini penali nel paese di destinazione del pagamento consentono anche di verificare che siano i titolari del conto corrente e le persone coinvolte nel tentativo di truffa, in alcuni casi giungendo all’arresto dei responsabili.

Dopo aver tentato di ottenere il blocco del bonifico o dei fondi, si potrà poi valutare quale sia stato il comportamento degli istituti bancari coinvolti nella vicenda, in particolare per verificare se la banca beneficiaria abbia adempiuto in maniera corretta agli obblighi imposti dalla normativa in materia di antiriciclaggio, che impongono precisi obblighi di verifica della clientela e dell’origine dei fondi.

Conclusioni

La CEO Fraud è una minaccia significativa per le aziende di ogni dimensione e settore, resa possibile e amplificata dalle tecnologie moderne e dalla globalizzazione dei mercati finanziari. Le aziende devono rimanere vigili e proattive, aggiornando continuamente le loro procedure di sicurezza per tenere il passo con le tecniche in evoluzione dei truffatori.

L’investimento in formazione, tecnologia e consulenza non è solo una misura di protezione, ma una necessità strategica per l’operatività dell’impresa.

Nel caso in cui la truffa colpisca l’azienda, in infine, è fondamentale attivarsi in maniera tempestiva per cercare di bloccare i fondi prima che siano spostati su conti correnti in altri paesi e quindi resi irrintracciabili.

Riassunto

La riforma della Legge Fallimentare Brasiliana introduce importanti cambiamenti sia nelle procedure di risanamento che nelle misure di liquidazione.

In occasione del 15° anniversario della Legge Fallimentare Brasiliana è stata promulgata un’importante novella, frutto di necessità emerse nel corso della sua applicazione: la Legge Fallimentare, infatti, è spesso stata messa alla prova e le esperienze pratiche hanno dimostrato che alcuni strumenti necessitavano di aggiustamenti, mentre altri richiedevano un cambiamento completo.

L’obiettivo di questo articolo è quello di elencare le cinque novità più rilevanti.

#5 – Piano di risanamento presentato dai creditori

Prima della riforma: la formazione del piano di risanamento era di esclusiva competenza del debitore. Se la maggioranza dell’assemblea dei creditori avesse deciso di respingere il piano, la conseguenza automatica sarebbe stata la conversione in fallimento (liquidazione).

Ora: in casi come questo, i creditori hanno il diritto di presentare un piano di risanamento giudiziale alternativo. Di conseguenza, i creditori assumono un ruolo più rilevante nella ristrutturazione aziendale.

#4 – Mediazione incentrata sulla ristrutturazione

La mediazione è ora incoraggiata nei processi di risanamento giudiziale in corso, in modo che i creditori e i debitori possano trovare una via d’uscita per superare la crisi.

La novità più importante è la mediazione anticipata, il cui obiettivo è evitare di entrare nella procedura di risanamento e la liquidazione. In questa procedura, il debitore convoca i creditori per una negoziazione mediata e questi ultimi possono chiedere al giudice un ordine di sospensione delle misure esecutive.

#3 – Operazioni su cespiti oggetto di procedure fallimentari

L’alienazione dei cespiti del debitore è oggi semplificata sia nel risanamento giudiziale che nel fallimento. Soprattutto nel fallimento – in cui è essenziale ottimizzare la valorizzazione dei cespiti – la legge autorizza la vendita anticipata, l’aggiudicazione da parte dei creditori e persino la donazione di cespiti che i creditori non sono interessati ad acquisire.

Inoltre, le acquisizioni di attività in difficoltà e le operazioni di fusione e acquisizione sono ora più sicure, grazie a una disposizione legislativa più chiara che prevede uno scudo di responsabilità a favore dell’acquirente.

#2 – Finanziamento del debitore in possesso (DIP)

La mancanza di incentivi a finanziare il debitore sottoposto a risanamento giudiziale è sempre stata motivo di critica da parte degli stakeholder. In assenza di disposizioni di legge, i potenziali finanziatori potrebbero essere diffidenti rispetto ai rischi dell’operazione e alla mancanza di chiari vantaggi per compensare il rischio.

Le critiche sono state affrontate con il riconoscimento giuridico del finanziamento del debitore durante il risanamento giudiziale. Questo tipo di finanziamento è noto come Debtor-in-Possession (DIP) Financing.

Il debitore è autorizzato, tramite autorizzazione giudiziale, a stipulare contratti di finanziamento per pagare il mantenimento delle sue attività e dei suoi beni, nonché per rispondere delle spese di ristrutturazione.

A garanzia del finanziamento, il debitore può offrire beni e diritti propri o di terzi, anche se appartenenti ad attività non correnti, cioè non originariamente destinate alla vendita, ma che servono alla struttura aziendale (ad esempio, macchinari).

#1 – Insolvenza transfrontaliera

La legge brasiliana ha finalmente incorporato la Model Law on Cross-Border Insolvency dell’Uncitral. Un mondo integrato e pieno di aziende globali impone di prevedere norme specifiche sull’insolvenza transfrontaliera, finora inesistenti, per eliminare l’insicurezza sulla portata delle procedure straniere per i creditori brasiliani e sugli effetti delle procedure brasiliane per i creditori stranieri.

Ora abbiamo un nuovo panorama, con la possibilità che le procedure all’estero abbiano effetti in Brasile e che le procedure brasiliane raggiungano gli stranieri.

Viene trattata in modo dettagliato la partecipazione degli stranieri in Brasile e la cooperazione internazionale tra giudici e altre autorità per mettere in moto i principi fondamentali che regolano l’intero sistema di insolvenza, ovvero il miglioramento della certezza del diritto, la gestione efficiente dei processi, la valorizzazione degli asset, la conservazione dell’azienda e l’ottimizzazione della liquidazione degli asset.

Queste sono le cinque principali novità, in sintesi. Se siete interessati a saperne di più su uno di questi argomenti o se volete rimanere aggiornati sull’insolvenza – ristrutturazione in Brasile, contattateci.

On 6 January 2022 Ukraine finally cancelled almost a two-year long moratorium for the creditor-trigged insolvencies. The moratorium was imposed in the late spring 2020 as a part of the nation’ response to first wave of COVID pandemic.

In a nutshell, the moratorium prohibited creditors from requesting insolvency action against those debtors whose obligations matured after 12 March 2020. A separate set of measures also lifted an early warning duty obliging directors of the companies in distress to file for insolvency within one month from a moment when the distress appeared.

The moratorium was heavily criticized by both domestic and international creditors, who legitimately blamed it for a non-selective approach.

As further 2021 statistic shown, the moratorium never seemed to reach a goal proclaimed by it authors and made no increase for insolvency relief requests by the debtor companies.

Instead, the country has been facing a steady increase in “zombie” companies having little to none liquidation value – and their owners clearly intending to get away with no creditor repayment.

With the moratorium being lifted off the creditors do expect to show no mercy to their Ukrainian debtors. This particularly worries those debtors potentially involved in wrongful trade or fraudulent action. Even with the moratorium in place in 2021 Ukrainian courts confirmed more than UAH 150 mln in creditors loss to be paid by the insolvent companies’ management and owners themselves. This number is expected to triple in 2022 – and there already were Supreme Court’s 2021 judgements confirming liability of the real owners standing behind opaque shareholder company and nominal directors.

As the creditors’ agitation grows, so do the debtor company owners’ concerns. As the owners\management liability process is extremely bespoke and often requires swift action, it is of crucial importance to get a throughout legal advise on either side – and much better to do that before the actual claim has been brought.

Lebanon’s secure banking sector plays an important role in the country’s stability and economic status. High liquidity and compliance with all international regulatory standards make it one of the most profitable in the region.

Stability

The Lebanese banking sector owes its solidity primarily to the stringent policies applied by the Lebanese Central Bank (LCB). Efforts are constantly being made to fight money laundering and terrorism funding.

The Lebanese diaspora also contributes to the stability through the flux of transfers and deposits of extraterritorial income. Compared with an estimated population of 4.9 million inhabitants, about 16 million Lebanese live abroad, largely engaged in trade and finance, and mainly concentrated in South America.

The banking sector’s stability is also bolstered by the currency exchange rate, which has been stable since 1997, when the Lebanese Pound (LBP) was pegged to the United States Dollar (USD) at a rate of 1507.5 LBP to the USD.

Banking Secret and Automatic exchange of Information

The Lebanese Banking Secrecy Law of September 3, 1956 was a key aspect in the expansion of the sector. Bank secrecy is applied to any bank operating in Lebanon, local or foreign, and prohibits the disclosure of any details or information about any account or accountholder. For long time this law has increased confidence in Lebanese banking together with the amount of foreign capital coming into the country.

Before the last economic and financial global shocks, the veil of banking secrecy could be lifted only with prior approval of the accountholder, in case of bankruptcy; for the exchange of information between banks about indebted accounts; and in case of legal actions between a bank and a client or illicit enrichment.

Nowadays, banking secrecy does not apply to US citizens because of the Foreign Account Tax Compliance Act (FATCA) that requires foreign banks to report American accountholders to the tax authority of the US. Even though Lebanon has not agreed to be FATCA compliant as a whole, individual Lebanon banks have agreed to comply.

Moreover, in 2016 Lebanon joined the Global Forum on Transparency and the Automatic Exchange of Information (AEOI) for tax purposes, committing to implement a series of regulatory reforms to better comply with the Common Reporting Standards of OECD.

Consequently, if the requested information is protected under the Banking Secrecy Law of 1956, the request will be forwarded to the Special Investigation Commission (SIC) at the Central Bank with an opinion from the Ministry of Finance for review before it can be disclosed to the foreign tax authority based on an information exchange agreement.

The regulatory framework and supervision of the banking sector is already in compliance with international standards, such as Basel I, II, and III. Abiding by these laws does not eliminate banking secrecy. New regulations just aim to provide a more effective tool to counter the fight against tax evasion and to track suspicious operations for money laundering purposes, or self-laundering, based on tax offenses.

According to the AEOI, starting from September 2018 Lebanese Tax Authority will exchange information automatically on non-residents, and will have access to information on residents who hold assets abroad. No issues for Lebanese residents.

The new legislation will impact: banks, brokers, trusts, fiduciaries, insurance companies, although only for a few products, and certain collective investment funds.

Corporate Governance

As part of the strategy to integrate Lebanon further into the international community and the global economy, corporate governance in banks is necessary to guarantee fairness, transparency and accountability.

It is mandatory for banks while optional for other companies. In fact, an innovation took place in the banking sector on July 26, 2006 when the Governor of the Lebanese Central Bank enacted the Basic Decision No. 9382 to order to comply with the banking rules instituted by the Basel Committee.

Account freedom and flexibility

Lebanese banks are known for being open to foreign investors and have branches worldwide. Foreign individuals or companies can easily open a bank account in Lebanon in any currency and benefit from all banking advantages offered to Lebanese citizens. Further, amounts deposited in Lebanon are exempt from taxes and the interest received is subject to a tax rate of 5-percent.

The author of this post is Claudia Caluori.

From 18 January 2017, the new European Regulation 655/2014 establishing a European Account Preservation Order procedure to facilitate cross-border debt recovery in civil and commercial matters will enter into force.

The Regulation foresees in a procedure to seize bank accounts of your debtor in other EU Member States (except when your debtor is domiciled in United Kingdom or Denmark), without that the debtor is notified hereof. The debtor will only notice once the seizure is into force.

Such cross-border seizure can be obtained before the Courts of an EU Member State who would have jurisdiction on the merits of the case under the EU Regulation 1215/2012 (Brussels I bis).

The seizure can be requested before, during or even after the procedure on the merits of the case. The request has to be filed using a standard document.

To grant the request, the Court will have to examine 1) if there is urgency (periculum in mora) and 2) if there is on basis of the provided evidence enough reason to assume the Court will also decide in favor of the creditor in the proceedings concerning the merits of the case (fumus boni iuris). Although these principles are not unknown to national legislation, both will have to await the autonomous interpretation by the European Court of Justice.

The new EU Regulation 655/2014 is however not created to bully any unwilling debtor by filing preservation order after preservation order. The Regulation foresees 2 mechanisms to avoid such practices:

  • According to art. 12, the creditor can be required to provide a security when he has not obtained any judgment in favor yet;
  • The creditor will also receive a fixed delay in which he has to undertake a proceedings about the merits of the case.

The new European Regulation 665/2014 also foresees a mechanism where a creditor can request information about his debtor’s bank account(s) in a certain Member State. 

Not unimportant, as the creditor needs to indicate the bank account number in his request for a transnational seizure (under Belgian national law, the indication of the name of the Bank would already be sufficient).

Art. 14 of the Regulation now foresees what one could call a bank account disclosure mechanism:

“Request for the obtaining of account information

Where the creditor has obtained in a Member State an enforceable judgment, court settlement or authentic instrument which requires the debtor to pay the creditor’s claim and the creditor has reasons to believe that the debtor holds one or more accounts with a bank in a specific Member State, but knows neither the name and/or address of the bank nor the IBAN, BIC or another bank number allowing the bank to be identified, he may request the court with which the application for the Preservation Order is lodged to request that the information authority of the Member State of enforcement obtain the information necessary to allow the bank or banks and the debtor’s account or accounts to be identified”.

In a few Member States (including Belgium), such disclosure mechanism is completely new.  The Regulation leaves it up to the Member States how they will organize this new disclosure, by giving a few examples:

“Each Member State shall make available in its national law at least one of the following methods of obtaining the information referred to in paragraph 1:

(a) an obligation on all banks in its territory to disclose, upon request by the information authority, whether the debtor holds an account with them;

(b) access for the information authority to the relevant information where that information is held by public authorities or administrations in registers or otherwise;

(c) the possibility for its courts to oblige the debtor to disclose with which bank or banks in its territory he holds one or more accounts where such an obligation is accompanied by an in personam order by the court prohibiting the withdrawal or transfer by him of funds held in his account or accounts up to the amount to be preserved by the Preservation Order; or

(d) any other methods which are effective and efficient for the purposes of obtaining the relevant information, provided that they are not disproportionately costly or time-consuming.

Does this mean any creditor can just run to the Court and ask information?

No, some conditions apply:

  • the creditor needs to be in possession of an enforceable judgment;
  • there need to be reasons to believe the debtor holds bank accounts in this Member State.

Conclusion: it will be interesting to see how the Member States will apply this new mechanism.  Whether it will be effective, will also depend on the interpretation of ‘reasons to believe the debtor holds bank accounts in this Member State’.  This will probably be the key to the question if this will end the Pyrrhus decisions, where a creditor is accorded his claim but cannot find assets to seize.

The author of this post is David Diris.

Javier Gaspar

Aree di attività

  • Arbitrato
  • Distribuzione
  • Franchising
  • Contenzioso
  • Sport
Contatta Javier

Scrivi a Javier





    Leggi la privacy policy di Legalmondo.
    Questo sito è protetto da reCAPTCHA e si applicano le Norme sulla privacy e i Termini di servizio di Google.

    Frodi digitali: la truffa del falso CEO

    24 Aprile 2024

    • Italia
    • Bancario

    The increase in so-called cybercrime in recent years is so significant that it requires strong legislative and judicial responses. Losses from online fraud in Europe exceed $100 billion, according to Nasdaq Ventures, of which $5 billion correspond to Spain.

    In Spain, 192,375 cases of computer fraud were reported in 2019, but by 2023 this figure had risen to 427,448. According to the latest official data available, computer fraud accounts for 90.4% of all cybercrimes, with growth of 378% between 2016 and 2023.

    There are many different types of computer fraud, and they are named in English (after all, the lingua franca of our time), including, among other ingenious methods used by skilled fraudsters, those with curious and amusing names (except for those who suffer from them) such as phishing, pharming, juice jacking, tabnabbing, bluesnarfing, catfishing, spoofing, vishing, smishing, whaling, carding, and the one we are interested in today, man in the middle (MITM).

    Man in the Middle scam: how it works

    This MITM fraud involves intercepting communications between two devices connected to a network, allowing the attacker to alter and divert messages exchanged between users. The fraudster intercepts a communication in which one user requests a payment from another and then modifies the IBAN of the bank account to which the transfer should be made in order to obtain the money. The process generally unfolds as follows:

    • Without the company noticing, an attacker intercepts and manipulates an email, changing the IBAN number of the account to which the payment should be made.
    • The cybercriminal impersonates the supplier, sending the message from an email address that is almost identical to the original, but with a slight alteration that is almost imperceptible.
    • The receiving company, trusting the authenticity of the message, makes the transfer to the fraudulent account.

     

    This results in a transfer of assets to the detriment of the person ordering the transfer and in favor of the cyber thief, so that when the person ordering the transfer notices the error, their first reaction is to try to contact the receiving bank in the hope that the funds can be blocked in time. However, in most cases, the cybercriminal has been quicker: the money has already been transferred to another account or withdrawn, leaving little room for maneuvering, except for the initiation of legal proceedings, which we will discuss below.

    The immediate question is what responsibility the bank that has received the transfer order from the deceived user and credits the cyber fraudster’s account with the amount in question has in cases where the payer identifies not only the (fraudulent) IBAN but also the name of the beneficiary of the payment order, which obviously does not match the name of the holder of the bank account receiving the funds.

    The common-sense answer would be that the bank receiving the transfer should confirm that the holder of the account to which the funds are credited and the individual or entity identified as the beneficiary in the transfer order match; if this is not the case, it should suspend the payment and request clarification from the payer. However, this is not the case in light of EU legislation and its transposition into Spanish law, as we will see below.

    Until October 9, the European banking system operated under the premise that the validity of a transfer was based exclusively on the correctness of the IBAN. In other words, if the account number was correct, the transaction was considered valid, even if the beneficiary’s name did not match. This practice has led to numerous cases of fraud, unintentional errors, and loss of funds, especially in instant transfers, where speed can compromise security.

    The most reasonable option for the defrauded payer to recover their money is to sue the bank receiving the payment order (with which they have no contractual relationship) for non-contractual liability under Article 1124 of the Civil Code; in fact, criminal proceedings against the account holder, who is usually referred to in slang as a “mule,” do not usually have a satisfactory outcome, both because the bird usually flies away and because of its lack of solvency.

    The case law of the Provincial Courts has been divided between rulings that strictly and faithfully applied Article 59 of Royal Decree-Law 19/2018 of November 23, on payment services and other urgent financial measures, dismissing the claims of those defrauded, and others in which arguments were sought under the premise of lack of diligence to condemn the bank to compensate the payer.

    This has led to the establishment of quasi-objective liability for banks in relation to digital fraud, imposing a higher standard of diligence on them and transferring the risk inherent in online banking to them, except in cases of willful misconduct or gross negligence on the part of the customer. This line of reasoning, which has been developed from lower court rulings (AP Madrid 178/2015; AP Alicante 107/2018; AP Valencia 212/2021) to the Supreme Court itself (STS 571/2025, among others), is in line with the idea that it is up to the bank to prove that its systems were secure, up to date, and sufficient to prevent the crime from being committed.

    In this context, the concept of bonus argentarius takes on renewed relevance. This is a principle that was included in Law 57/68 to protect home buyers in the real estate sector, but the Supreme Court has ruled on several occasions that it can also be applied to other financial investments. This means that, in the event of losses due to negligence on the part of the financial institution, the customer can file a claim under Law 57/68 and hold the institution liable.

    The bonus argentarius is based on the presumption of fault on the part of the financial institution, which means that even if the customer has no concrete evidence of negligence, it is assumed due to the duty of care that the institution must exercise in the management of investments.

    Based on this principle, the diligence required of financial professionals is not that of the average trader or pater familias, but that of a qualified expert who assumes the obligation to protect the funds entrusted to them by implementing “necessary and renewable” security mechanisms. This implies not only maintaining basic technical measures for enhanced authentication, but also proactively adopting internationally recognized anti-fraud solutions, such as name-IBAN verification (Confirmation of Payee or IBAN-Naam Check), which have proven effective in comparable jurisdictions.

    In line with that doctrine and case law, it can be said that the omission of beneficiary verification measures today constitutes a breach of the contractual duty of diligence and good faith (Articles 1104 and 1258 of the Civil Code), giving rise to civil liability for the damage caused, such that MITM fraud cannot be considered a residual risk attributable to the customer, but rather a systemic security failure attributable to the financial institution, as the designer and custodian of the electronic payment channel.

    In this state of affairs, the Supreme Court, in its recent ruling of March 27, 2025, opted for the alternative of strict application of Article 59, arguing that “if the payment service user provides additional information to that required (specification of the information or unique identifier that the payment service user must provide for the correct initiation or execution of a payment order), the payment service provider shall only be liable for the execution of payment transactions in accordance with the unique identifier provided by the payment service user… and that the liability of the payment service provider, both at Community and national level, is such that it fulfills its obligation by executing the payment transaction in accordance with the unique identifier, without the addition of further information implying a higher standard of diligence

    It is true that, in conclusion, the Supreme Court offered a glimmer of hope to defrauded users when it stated that “the interpretation set out above does not exempt the payment service provider from liability when circumstances, unrelated to the provision of additional data, are found to have contributed to the defective execution of the transaction, either because an additional requirement or demand (e.g., the identification of the beneficiary), or because the payment service provider of the payer or the beneficiary had taken advantage of the error for their own benefit, or because, once the existence of the error had been communicated without delay, one or the other had not taken the measures required by the diligence of an expert trader to allow retroaction or, where appropriate, to minimize the damage.”

    Regulation (EU) 2024/886: a paradigm shift

    And in this scenario fraught with doubts, Regulation (EU) 2024/886 bursts onto the scene, representing a 180-degree turn and a paradigm shift: the new European Regulation, approved in April 2024 and coming into force on October 9, 2025, establishes a clear obligation for banks: they must verify that the name of the beneficiary provided by the payer matches the IBAN holder before executing an immediate transfer in euros.

    The new features of this regulation are

    • mandatory application to all instant transfers within the SEPA area,
    • the new name matching system: if there is a discrepancy between the name and the IBAN, the bank must alert the customer before executing the transaction, and
    • increased liability for financial institutions in the event of fraud or error due to lack of verification.

    In short, the aim is to reduce the risk of fraud, protect consumers, and increase confidence in digital payments.

    This means that Law 19/2018, which regulates payment services in Spain and does not require verification of the beneficiary’s identity, is now outdated, underscoring the need for a national legislative review to harmonize the legal framework with European requirements.

    In conclusion, the obligation to verify the beneficiary of transfers represents a significant step forward in consumer protection and the fight against financial fraud. Regulation (EU) 2024/886 marks a turning point in banking operations, imposing an active responsibility on institutions to ensure the authenticity of transfers.

    In any case, the question remains open regarding the solution to MITM frauds executed before October 9, 2025, and the responsibility of the banking institution. For the time being, the aforementioned Supreme Court ruling of March 27 closes the door to claims against banks, but it cannot be ruled out that the entry into force of Regulation 2024/886 and the paradigm shift will lead to a rethinking of the Supreme Court’s position in line with the quasi-objective liability that lower courts have been maintaining. We will have to wait and see, but such a change would be a great success for bank users who have suffered from this MITM fraud and all other types of cyber fraud.

    Riassunto: Nell’era digitale, le frodi aziendali hanno assunto nuove e insidiose forme. Una di queste mette nel mirino i gruppi multinazionali: si tratta della c.d. “CEO Fraud”. Questo tipo di truffa si basa sull’uso fraudolento dell’identità di figure apicali aziendali, come CEO o Presidenti del consiglio di amministrazione. Il modus operandi è subdolo: i truffatori si spacciano per il CEO o un alto dirigente del Gruppo multinazionale e contattano direttamente i Chief Financial Officers (CFO) delle filiali o controllate, simulando un’inesistente operazione di investimento riservata per indurli a eseguire bonifici urgenti verso conti correnti esteri.

    Contesto e Dinamiche della CEO Fraud

    La CEO Fraud è una forma di truffa in cui i criminali impersonano figure dirigenziali di alto livello per ingannare i dipendenti, solitamente i CFO, inducendoli a trasferire fondi in conti bancari controllati dai truffatori. La scelta di utilizzare le identità di figure apicali come i CEO risiede nella loro autorità percepita e nella capacità di ordinare pagamenti anche ingenti, richiesti con urgenza e con l’indicazione della massima riservatezza, senza sollevare sospetti immediati.

    I truffatori adottano vari strumenti di comunicazione per rendere credibili i loro tentativi di frode: in punto di partenza è solitamente un data breach, che consente ai criminali di accedere ai dati di contatto del CEO o del CFO (email, numero di telefono fisso, numero di cellulare, account whatsapp o social media) o di altre persone all’interno dell’ufficio amministrativo dotate di poteri dispositivi e operativi sui conti correnti bancari.

    A volte per la conoscenza di queste informazioni non è neppure necessario un accesso illegittimo ai sistemi informatici aziendali, perché i soggetti destinatari della truffa rendono spontaneamente pubbliche queste informazioni, ad esempio indicandole sul proprio profilo sul sito web aziendale oppure mostrando pubblicamente i contatti sui profili nei social media (account linkedin, Facebook, etc.) o ancora su presentazioni, biglietti da visita e brochure aziendali nel contesto di incontri pubblici.

    Altre volte ancora, non è nemmeno necessario per i truffatori appropriarsi di tutti i dati del CEO che vogliono impersonare, ma solo di quelli del destinatario, per poi dichiarare che si sta utilizzando un account personale con numero o indirizzo mail diversi da quelli abitualmente riconducibili al vero CEO.

    I contatti vengono tipicamente presi come segue:

    • WhatsApp e SMS: L’uso di messaggi permette una comunicazione immediata e personale, spesso percepita come legittima dai destinatari. Il falso CEO invia un messaggio al CFO utilizzando un numero di cellulare del paese in cui ha sede la capogruppo (ad esempio +34 nel caso della Spagna), scrivendo che si tratta del suo numero di telefono personale e utilizzando nel profilo whatsapp una foto ritratto del vero CEO, il che rafforza la percezione che si tratti del suo numero personale.
    • Telefonate: dopo il primo contatto via messaggio, segue spesso una telefonata, che può essere direttamente quella del falso CEO oppure di un sedicente avvocato o consulente incaricato dal CEO di dare al CFO le informazioni necessarie sulla falsa operazione di investimento in corso e le istruzioni per procedere al pagamento urgente.
    • Email: in alternativa o in aggiunta a messaggi e telefonate le comunicazioni possono anche passare attraverso email, spesso indistinguibili da quelle autentiche, nelle quali vengono scrupolosamente replicati i formati di testo, i loghi aziendali, le firme, etc.

    Ciò è possibile tramite diverse tecniche di email spoofing in cui l’indirizzo email del mittente viene modificato per apparire come se l’email fosse inviata dal legittimo titolare. In pratica, è come se qualcuno inviasse una lettera postale mettendo un indirizzo diverso sul retro della busta per mascherare la vera origine della missiva. Nel nostro caso, questo significa che il CFO riceve un’email che – a prima vista – sembra provenire dal CEO e non dal truffatore.

    Non possiamo poi escludere che i truffatori approfittino di falle nella sicurezza dei sistemi aziendali, ad esempio accedendo direttamente alle chat interne all’organizzazione.

    Inoltre, la sempre maggiore diffusione di strumenti per il morphing (ossia per la creazione di immagini con sembianze umane riconducibili a persone reali) potrà rendere ancora più difficile lo smascheramento del truffatore: ai messaggi e alle telefonate potremmo infatti aggiungere messaggi video o addirittura video conferenze apparentemente tenute dal vero CEO.

    La (falsa) operazione di acquisizione di una società concorrente in Europa

    Vediamo un esempio realmente accaduto di CEO Fraud, per illustrare le modalità pratiche con cui vengono organizzate queste frodi.

    I truffatori creano un falso profilo whatsapp del sedicente CEO di un gruppo multinazionale con sede in Spagna, che utilizza un numero telefonico spagnolo e riproduce la foto profilo nell’autentico CEO.

    Tramite il falso account viene mandato un messaggio al CFO di una controllata in Italia, nel quale si comunica che è in corso una operazione riservata di investimento per acquisire una società in Portogallo. A tal fine si renderà necessario procedere, il giorno seguente, ad un bonifico di un’importante somma a favore di una società portoghese, presso una banca locale.

    Il messaggio sottolinea l’importanza che l’operazione venga mantenuta strettamente riservata, motivo per cui il CFO non può rivelare la richiesta di pagamento a nessuno: prima di procedere con il pagamento viene addirittura trasmesso via email un accordo di riservatezza da parte di un (finto) studio legale, che il CFO viene convinto a firmare e a restituire al fantomatico avvocato incaricato dell’operazione.

    Di seguito vengono inviate via mail al CFO le istruzioni per procedere al bonifico, con cui si sottolinea ancora l’importanza che il pagamento venga fatto il giorno stesso, in via urgente.

    Il giorno dopo aver disposto il bonifico, non ricevendo più notizie dal falso CEO, il CFO provvede a contattarlo presso il suo numero di telefono aziendale e scopre la truffa: a quel punto, però, è troppo tardi perché le somme sono state già trasferite dai criminali presso uno o più conti correnti su banche estere, rendendo molto difficile, se non impossibile, rintracciare i fondi.

    Le principali caratteristiche della CEO fraud

    • Eccesso di fiducia: il CFO può essere facilmente indotto a credere nella veridicità dei numeri di telefono o degli indirizzi mail tramite tecniche informatiche; addirittura, talvolta i truffatori sono talmente abili da riuscire a convincere il CFO ad agire anche utilizzando numeri diversi o servendosi di fantomatici consulenti mai incontrati prima.
    • Persuasione: il fatto che i truffatori impersonino figure apicali e facciano sentire il CFO investito di incarichi importanti genera nella vittima il desiderio di compiacere i superiori e di abbassare la guardia.
    • Pressione: i truffatori instillano nel CFO un grande senso di urgenza, chiedendo pagamenti in tempi estremamente rapidi e intimando la segretezza sull’operazione; questo induce la vittima ad agire senza pensare, cercando di essere il più efficiente possibile.
    • Rapidità: è bene sapere che una richiesta di un bonifico urgente non può essere revocata, o può essere ritirata tramite recall solo in tempi estremamente stretti; i truffatori ne approfittano per intascare le somme presso banche non troppo scrupolose o per spostarle altrove, al massimo nel giro di qualche giorno.

    Come prevenire queste truffe

    Gli schemi di CEO Fraud possono essere molto sofisticati, ma presentano spesso segnali che, se riconosciuti, possono fermare una truffa prima che causi danni irreparabili.

    Gli indizi principali sono le modalità atipiche di contatto (whatsapp, telefonate, email da account personali del falso CEO), la richiesta di massima riservatezza sull’operazione, l’urgenza con la quale si richiede il pagamento di grandi somme, il fatto che il bonifico debba essere fatto su banche all’estero, il coinvolgimento di società o soggetti mai menzionati in precedenza. Per prevenire truffe come quella della CEO Fraud, la formazione aziendale dei dipendenti su come riconoscere e rispondere alle truffe è cruciale; è poi fondamentale predisporre solide procedure di sicurezza interna.

    • In primo luogo, una precauzione importante e di base è quella di adottare sistemi di verifica che analizzano i messaggi di posta elettronica alla ricerca di eventuali virus e segnalano la provenienza dell’email da un account esterno all’organizzazione aziendale.
    • In secondo luogo, è fondamentale che le aziende implementino chiari processi per i pagamenti verso terzi, soprattutto se le modalità sono diverse dall’operatività standard della società, ad esempio prevedendo limiti di valore ai poteri di disposizione sull’operatività dei conti correnti, oltre i quali è necessaria la doppia firma con un altro amministratore.
    • In ultimo, e in generale, è bene adottare tutte le norme di buon senso e diligenza nell’analisi del caso. Meglio fare una verifica interna in più, piuttosto che una in meno; ad esempio, in caso di una richiesta particolarmente realistica ma comunque insolita, inoltrare lo scambio con il presunto truffatore all’indirizzo che riteniamo reale e chiedere ulteriori conferme nella mail di forward, anziché rispondendo direttamente nel loop via mail, consente di capire se il mittente è fasullo.

    Le azioni legali per il recupero dei fondi

    Dopo la scoperta di una CEO Fraud, è cruciale agire rapidamente per aumentare le possibilità di recuperare i fondi persi e perseguire legalmente i responsabili.

    Azioni Legali Possibili

    Una pronta comunicazione all’istituto bancario dell’ordinante per il congelamento dei fondi presso la banca beneficiaria, oltre ad una tempestiva denuncia-querela in Italia anche una denuncia nel paese in cui ha sede la banca destinataria del pagamento sono passi immediati che possono aiutare a contenere i danni e ad iniziare il processo di recupero.

    In molti paesi, infatti, lo schema del CEO Fraud è ben noto ed esistono unità di polizia giudiziaria specializzate che hanno gli strumenti per muoversi in maniera tempestiva a seguito della segnalazione del reato.

    Le indagini penali nel paese di destinazione del pagamento consentono anche di verificare che siano i titolari del conto corrente e le persone coinvolte nel tentativo di truffa, in alcuni casi giungendo all’arresto dei responsabili.

    Dopo aver tentato di ottenere il blocco del bonifico o dei fondi, si potrà poi valutare quale sia stato il comportamento degli istituti bancari coinvolti nella vicenda, in particolare per verificare se la banca beneficiaria abbia adempiuto in maniera corretta agli obblighi imposti dalla normativa in materia di antiriciclaggio, che impongono precisi obblighi di verifica della clientela e dell’origine dei fondi.

    Conclusioni

    La CEO Fraud è una minaccia significativa per le aziende di ogni dimensione e settore, resa possibile e amplificata dalle tecnologie moderne e dalla globalizzazione dei mercati finanziari. Le aziende devono rimanere vigili e proattive, aggiornando continuamente le loro procedure di sicurezza per tenere il passo con le tecniche in evoluzione dei truffatori.

    L’investimento in formazione, tecnologia e consulenza non è solo una misura di protezione, ma una necessità strategica per l’operatività dell’impresa.

    Nel caso in cui la truffa colpisca l’azienda, in infine, è fondamentale attivarsi in maniera tempestiva per cercare di bloccare i fondi prima che siano spostati su conti correnti in altri paesi e quindi resi irrintracciabili.

    Riassunto

    La riforma della Legge Fallimentare Brasiliana introduce importanti cambiamenti sia nelle procedure di risanamento che nelle misure di liquidazione.

    In occasione del 15° anniversario della Legge Fallimentare Brasiliana è stata promulgata un’importante novella, frutto di necessità emerse nel corso della sua applicazione: la Legge Fallimentare, infatti, è spesso stata messa alla prova e le esperienze pratiche hanno dimostrato che alcuni strumenti necessitavano di aggiustamenti, mentre altri richiedevano un cambiamento completo.

    L’obiettivo di questo articolo è quello di elencare le cinque novità più rilevanti.

    #5 – Piano di risanamento presentato dai creditori

    Prima della riforma: la formazione del piano di risanamento era di esclusiva competenza del debitore. Se la maggioranza dell’assemblea dei creditori avesse deciso di respingere il piano, la conseguenza automatica sarebbe stata la conversione in fallimento (liquidazione).

    Ora: in casi come questo, i creditori hanno il diritto di presentare un piano di risanamento giudiziale alternativo. Di conseguenza, i creditori assumono un ruolo più rilevante nella ristrutturazione aziendale.

    #4 – Mediazione incentrata sulla ristrutturazione

    La mediazione è ora incoraggiata nei processi di risanamento giudiziale in corso, in modo che i creditori e i debitori possano trovare una via d’uscita per superare la crisi.

    La novità più importante è la mediazione anticipata, il cui obiettivo è evitare di entrare nella procedura di risanamento e la liquidazione. In questa procedura, il debitore convoca i creditori per una negoziazione mediata e questi ultimi possono chiedere al giudice un ordine di sospensione delle misure esecutive.

    #3 – Operazioni su cespiti oggetto di procedure fallimentari

    L’alienazione dei cespiti del debitore è oggi semplificata sia nel risanamento giudiziale che nel fallimento. Soprattutto nel fallimento – in cui è essenziale ottimizzare la valorizzazione dei cespiti – la legge autorizza la vendita anticipata, l’aggiudicazione da parte dei creditori e persino la donazione di cespiti che i creditori non sono interessati ad acquisire.

    Inoltre, le acquisizioni di attività in difficoltà e le operazioni di fusione e acquisizione sono ora più sicure, grazie a una disposizione legislativa più chiara che prevede uno scudo di responsabilità a favore dell’acquirente.

    #2 – Finanziamento del debitore in possesso (DIP)

    La mancanza di incentivi a finanziare il debitore sottoposto a risanamento giudiziale è sempre stata motivo di critica da parte degli stakeholder. In assenza di disposizioni di legge, i potenziali finanziatori potrebbero essere diffidenti rispetto ai rischi dell’operazione e alla mancanza di chiari vantaggi per compensare il rischio.

    Le critiche sono state affrontate con il riconoscimento giuridico del finanziamento del debitore durante il risanamento giudiziale. Questo tipo di finanziamento è noto come Debtor-in-Possession (DIP) Financing.

    Il debitore è autorizzato, tramite autorizzazione giudiziale, a stipulare contratti di finanziamento per pagare il mantenimento delle sue attività e dei suoi beni, nonché per rispondere delle spese di ristrutturazione.

    A garanzia del finanziamento, il debitore può offrire beni e diritti propri o di terzi, anche se appartenenti ad attività non correnti, cioè non originariamente destinate alla vendita, ma che servono alla struttura aziendale (ad esempio, macchinari).

    #1 – Insolvenza transfrontaliera

    La legge brasiliana ha finalmente incorporato la Model Law on Cross-Border Insolvency dell’Uncitral. Un mondo integrato e pieno di aziende globali impone di prevedere norme specifiche sull’insolvenza transfrontaliera, finora inesistenti, per eliminare l’insicurezza sulla portata delle procedure straniere per i creditori brasiliani e sugli effetti delle procedure brasiliane per i creditori stranieri.

    Ora abbiamo un nuovo panorama, con la possibilità che le procedure all’estero abbiano effetti in Brasile e che le procedure brasiliane raggiungano gli stranieri.

    Viene trattata in modo dettagliato la partecipazione degli stranieri in Brasile e la cooperazione internazionale tra giudici e altre autorità per mettere in moto i principi fondamentali che regolano l’intero sistema di insolvenza, ovvero il miglioramento della certezza del diritto, la gestione efficiente dei processi, la valorizzazione degli asset, la conservazione dell’azienda e l’ottimizzazione della liquidazione degli asset.

    Queste sono le cinque principali novità, in sintesi. Se siete interessati a saperne di più su uno di questi argomenti o se volete rimanere aggiornati sull’insolvenza – ristrutturazione in Brasile, contattateci.

    On 6 January 2022 Ukraine finally cancelled almost a two-year long moratorium for the creditor-trigged insolvencies. The moratorium was imposed in the late spring 2020 as a part of the nation’ response to first wave of COVID pandemic.

    In a nutshell, the moratorium prohibited creditors from requesting insolvency action against those debtors whose obligations matured after 12 March 2020. A separate set of measures also lifted an early warning duty obliging directors of the companies in distress to file for insolvency within one month from a moment when the distress appeared.

    The moratorium was heavily criticized by both domestic and international creditors, who legitimately blamed it for a non-selective approach.

    As further 2021 statistic shown, the moratorium never seemed to reach a goal proclaimed by it authors and made no increase for insolvency relief requests by the debtor companies.

    Instead, the country has been facing a steady increase in “zombie” companies having little to none liquidation value – and their owners clearly intending to get away with no creditor repayment.

    With the moratorium being lifted off the creditors do expect to show no mercy to their Ukrainian debtors. This particularly worries those debtors potentially involved in wrongful trade or fraudulent action. Even with the moratorium in place in 2021 Ukrainian courts confirmed more than UAH 150 mln in creditors loss to be paid by the insolvent companies’ management and owners themselves. This number is expected to triple in 2022 – and there already were Supreme Court’s 2021 judgements confirming liability of the real owners standing behind opaque shareholder company and nominal directors.

    As the creditors’ agitation grows, so do the debtor company owners’ concerns. As the owners\management liability process is extremely bespoke and often requires swift action, it is of crucial importance to get a throughout legal advise on either side – and much better to do that before the actual claim has been brought.

    Lebanon’s secure banking sector plays an important role in the country’s stability and economic status. High liquidity and compliance with all international regulatory standards make it one of the most profitable in the region.

    Stability

    The Lebanese banking sector owes its solidity primarily to the stringent policies applied by the Lebanese Central Bank (LCB). Efforts are constantly being made to fight money laundering and terrorism funding.

    The Lebanese diaspora also contributes to the stability through the flux of transfers and deposits of extraterritorial income. Compared with an estimated population of 4.9 million inhabitants, about 16 million Lebanese live abroad, largely engaged in trade and finance, and mainly concentrated in South America.

    The banking sector’s stability is also bolstered by the currency exchange rate, which has been stable since 1997, when the Lebanese Pound (LBP) was pegged to the United States Dollar (USD) at a rate of 1507.5 LBP to the USD.

    Banking Secret and Automatic exchange of Information

    The Lebanese Banking Secrecy Law of September 3, 1956 was a key aspect in the expansion of the sector. Bank secrecy is applied to any bank operating in Lebanon, local or foreign, and prohibits the disclosure of any details or information about any account or accountholder. For long time this law has increased confidence in Lebanese banking together with the amount of foreign capital coming into the country.

    Before the last economic and financial global shocks, the veil of banking secrecy could be lifted only with prior approval of the accountholder, in case of bankruptcy; for the exchange of information between banks about indebted accounts; and in case of legal actions between a bank and a client or illicit enrichment.

    Nowadays, banking secrecy does not apply to US citizens because of the Foreign Account Tax Compliance Act (FATCA) that requires foreign banks to report American accountholders to the tax authority of the US. Even though Lebanon has not agreed to be FATCA compliant as a whole, individual Lebanon banks have agreed to comply.

    Moreover, in 2016 Lebanon joined the Global Forum on Transparency and the Automatic Exchange of Information (AEOI) for tax purposes, committing to implement a series of regulatory reforms to better comply with the Common Reporting Standards of OECD.

    Consequently, if the requested information is protected under the Banking Secrecy Law of 1956, the request will be forwarded to the Special Investigation Commission (SIC) at the Central Bank with an opinion from the Ministry of Finance for review before it can be disclosed to the foreign tax authority based on an information exchange agreement.

    The regulatory framework and supervision of the banking sector is already in compliance with international standards, such as Basel I, II, and III. Abiding by these laws does not eliminate banking secrecy. New regulations just aim to provide a more effective tool to counter the fight against tax evasion and to track suspicious operations for money laundering purposes, or self-laundering, based on tax offenses.

    According to the AEOI, starting from September 2018 Lebanese Tax Authority will exchange information automatically on non-residents, and will have access to information on residents who hold assets abroad. No issues for Lebanese residents.

    The new legislation will impact: banks, brokers, trusts, fiduciaries, insurance companies, although only for a few products, and certain collective investment funds.

    Corporate Governance

    As part of the strategy to integrate Lebanon further into the international community and the global economy, corporate governance in banks is necessary to guarantee fairness, transparency and accountability.

    It is mandatory for banks while optional for other companies. In fact, an innovation took place in the banking sector on July 26, 2006 when the Governor of the Lebanese Central Bank enacted the Basic Decision No. 9382 to order to comply with the banking rules instituted by the Basel Committee.

    Account freedom and flexibility

    Lebanese banks are known for being open to foreign investors and have branches worldwide. Foreign individuals or companies can easily open a bank account in Lebanon in any currency and benefit from all banking advantages offered to Lebanese citizens. Further, amounts deposited in Lebanon are exempt from taxes and the interest received is subject to a tax rate of 5-percent.

    The author of this post is Claudia Caluori.

    From 18 January 2017, the new European Regulation 655/2014 establishing a European Account Preservation Order procedure to facilitate cross-border debt recovery in civil and commercial matters will enter into force.

    The Regulation foresees in a procedure to seize bank accounts of your debtor in other EU Member States (except when your debtor is domiciled in United Kingdom or Denmark), without that the debtor is notified hereof. The debtor will only notice once the seizure is into force.

    Such cross-border seizure can be obtained before the Courts of an EU Member State who would have jurisdiction on the merits of the case under the EU Regulation 1215/2012 (Brussels I bis).

    The seizure can be requested before, during or even after the procedure on the merits of the case. The request has to be filed using a standard document.

    To grant the request, the Court will have to examine 1) if there is urgency (periculum in mora) and 2) if there is on basis of the provided evidence enough reason to assume the Court will also decide in favor of the creditor in the proceedings concerning the merits of the case (fumus boni iuris). Although these principles are not unknown to national legislation, both will have to await the autonomous interpretation by the European Court of Justice.

    The new EU Regulation 655/2014 is however not created to bully any unwilling debtor by filing preservation order after preservation order. The Regulation foresees 2 mechanisms to avoid such practices:

    • According to art. 12, the creditor can be required to provide a security when he has not obtained any judgment in favor yet;
    • The creditor will also receive a fixed delay in which he has to undertake a proceedings about the merits of the case.

    The new European Regulation 665/2014 also foresees a mechanism where a creditor can request information about his debtor’s bank account(s) in a certain Member State. 

    Not unimportant, as the creditor needs to indicate the bank account number in his request for a transnational seizure (under Belgian national law, the indication of the name of the Bank would already be sufficient).

    Art. 14 of the Regulation now foresees what one could call a bank account disclosure mechanism:

    “Request for the obtaining of account information

    Where the creditor has obtained in a Member State an enforceable judgment, court settlement or authentic instrument which requires the debtor to pay the creditor’s claim and the creditor has reasons to believe that the debtor holds one or more accounts with a bank in a specific Member State, but knows neither the name and/or address of the bank nor the IBAN, BIC or another bank number allowing the bank to be identified, he may request the court with which the application for the Preservation Order is lodged to request that the information authority of the Member State of enforcement obtain the information necessary to allow the bank or banks and the debtor’s account or accounts to be identified”.

    In a few Member States (including Belgium), such disclosure mechanism is completely new.  The Regulation leaves it up to the Member States how they will organize this new disclosure, by giving a few examples:

    “Each Member State shall make available in its national law at least one of the following methods of obtaining the information referred to in paragraph 1:

    (a) an obligation on all banks in its territory to disclose, upon request by the information authority, whether the debtor holds an account with them;

    (b) access for the information authority to the relevant information where that information is held by public authorities or administrations in registers or otherwise;

    (c) the possibility for its courts to oblige the debtor to disclose with which bank or banks in its territory he holds one or more accounts where such an obligation is accompanied by an in personam order by the court prohibiting the withdrawal or transfer by him of funds held in his account or accounts up to the amount to be preserved by the Preservation Order; or

    (d) any other methods which are effective and efficient for the purposes of obtaining the relevant information, provided that they are not disproportionately costly or time-consuming.

    Does this mean any creditor can just run to the Court and ask information?

    No, some conditions apply:

    • the creditor needs to be in possession of an enforceable judgment;
    • there need to be reasons to believe the debtor holds bank accounts in this Member State.

    Conclusion: it will be interesting to see how the Member States will apply this new mechanism.  Whether it will be effective, will also depend on the interpretation of ‘reasons to believe the debtor holds bank accounts in this Member State’.  This will probably be the key to the question if this will end the Pyrrhus decisions, where a creditor is accorded his claim but cannot find assets to seize.

    The author of this post is David Diris.

    Roberto Luzi Crivellini

    Aree di attività

    • Arbitrato
    • Distribuzione
    • Commercio internazionale
    • Contenzioso
    • Real estate
    Contatta Roberto

    Scrivi a Roberto





      Leggi la privacy policy di Legalmondo.
      Questo sito è protetto da reCAPTCHA e si applicano le Norme sulla privacy e i Termini di servizio di Google.

      Brasile – Riforme in materia di fallimento e accordi di ristrutturazione

      14 Dicembre 2022

      • Brasile
      • Bancario
      • Fallimentare

      The increase in so-called cybercrime in recent years is so significant that it requires strong legislative and judicial responses. Losses from online fraud in Europe exceed $100 billion, according to Nasdaq Ventures, of which $5 billion correspond to Spain.

      In Spain, 192,375 cases of computer fraud were reported in 2019, but by 2023 this figure had risen to 427,448. According to the latest official data available, computer fraud accounts for 90.4% of all cybercrimes, with growth of 378% between 2016 and 2023.

      There are many different types of computer fraud, and they are named in English (after all, the lingua franca of our time), including, among other ingenious methods used by skilled fraudsters, those with curious and amusing names (except for those who suffer from them) such as phishing, pharming, juice jacking, tabnabbing, bluesnarfing, catfishing, spoofing, vishing, smishing, whaling, carding, and the one we are interested in today, man in the middle (MITM).

      Man in the Middle scam: how it works

      This MITM fraud involves intercepting communications between two devices connected to a network, allowing the attacker to alter and divert messages exchanged between users. The fraudster intercepts a communication in which one user requests a payment from another and then modifies the IBAN of the bank account to which the transfer should be made in order to obtain the money. The process generally unfolds as follows:

      • Without the company noticing, an attacker intercepts and manipulates an email, changing the IBAN number of the account to which the payment should be made.
      • The cybercriminal impersonates the supplier, sending the message from an email address that is almost identical to the original, but with a slight alteration that is almost imperceptible.
      • The receiving company, trusting the authenticity of the message, makes the transfer to the fraudulent account.

       

      This results in a transfer of assets to the detriment of the person ordering the transfer and in favor of the cyber thief, so that when the person ordering the transfer notices the error, their first reaction is to try to contact the receiving bank in the hope that the funds can be blocked in time. However, in most cases, the cybercriminal has been quicker: the money has already been transferred to another account or withdrawn, leaving little room for maneuvering, except for the initiation of legal proceedings, which we will discuss below.

      The immediate question is what responsibility the bank that has received the transfer order from the deceived user and credits the cyber fraudster’s account with the amount in question has in cases where the payer identifies not only the (fraudulent) IBAN but also the name of the beneficiary of the payment order, which obviously does not match the name of the holder of the bank account receiving the funds.

      The common-sense answer would be that the bank receiving the transfer should confirm that the holder of the account to which the funds are credited and the individual or entity identified as the beneficiary in the transfer order match; if this is not the case, it should suspend the payment and request clarification from the payer. However, this is not the case in light of EU legislation and its transposition into Spanish law, as we will see below.

      Until October 9, the European banking system operated under the premise that the validity of a transfer was based exclusively on the correctness of the IBAN. In other words, if the account number was correct, the transaction was considered valid, even if the beneficiary’s name did not match. This practice has led to numerous cases of fraud, unintentional errors, and loss of funds, especially in instant transfers, where speed can compromise security.

      The most reasonable option for the defrauded payer to recover their money is to sue the bank receiving the payment order (with which they have no contractual relationship) for non-contractual liability under Article 1124 of the Civil Code; in fact, criminal proceedings against the account holder, who is usually referred to in slang as a “mule,” do not usually have a satisfactory outcome, both because the bird usually flies away and because of its lack of solvency.

      The case law of the Provincial Courts has been divided between rulings that strictly and faithfully applied Article 59 of Royal Decree-Law 19/2018 of November 23, on payment services and other urgent financial measures, dismissing the claims of those defrauded, and others in which arguments were sought under the premise of lack of diligence to condemn the bank to compensate the payer.

      This has led to the establishment of quasi-objective liability for banks in relation to digital fraud, imposing a higher standard of diligence on them and transferring the risk inherent in online banking to them, except in cases of willful misconduct or gross negligence on the part of the customer. This line of reasoning, which has been developed from lower court rulings (AP Madrid 178/2015; AP Alicante 107/2018; AP Valencia 212/2021) to the Supreme Court itself (STS 571/2025, among others), is in line with the idea that it is up to the bank to prove that its systems were secure, up to date, and sufficient to prevent the crime from being committed.

      In this context, the concept of bonus argentarius takes on renewed relevance. This is a principle that was included in Law 57/68 to protect home buyers in the real estate sector, but the Supreme Court has ruled on several occasions that it can also be applied to other financial investments. This means that, in the event of losses due to negligence on the part of the financial institution, the customer can file a claim under Law 57/68 and hold the institution liable.

      The bonus argentarius is based on the presumption of fault on the part of the financial institution, which means that even if the customer has no concrete evidence of negligence, it is assumed due to the duty of care that the institution must exercise in the management of investments.

      Based on this principle, the diligence required of financial professionals is not that of the average trader or pater familias, but that of a qualified expert who assumes the obligation to protect the funds entrusted to them by implementing “necessary and renewable” security mechanisms. This implies not only maintaining basic technical measures for enhanced authentication, but also proactively adopting internationally recognized anti-fraud solutions, such as name-IBAN verification (Confirmation of Payee or IBAN-Naam Check), which have proven effective in comparable jurisdictions.

      In line with that doctrine and case law, it can be said that the omission of beneficiary verification measures today constitutes a breach of the contractual duty of diligence and good faith (Articles 1104 and 1258 of the Civil Code), giving rise to civil liability for the damage caused, such that MITM fraud cannot be considered a residual risk attributable to the customer, but rather a systemic security failure attributable to the financial institution, as the designer and custodian of the electronic payment channel.

      In this state of affairs, the Supreme Court, in its recent ruling of March 27, 2025, opted for the alternative of strict application of Article 59, arguing that “if the payment service user provides additional information to that required (specification of the information or unique identifier that the payment service user must provide for the correct initiation or execution of a payment order), the payment service provider shall only be liable for the execution of payment transactions in accordance with the unique identifier provided by the payment service user… and that the liability of the payment service provider, both at Community and national level, is such that it fulfills its obligation by executing the payment transaction in accordance with the unique identifier, without the addition of further information implying a higher standard of diligence

      It is true that, in conclusion, the Supreme Court offered a glimmer of hope to defrauded users when it stated that “the interpretation set out above does not exempt the payment service provider from liability when circumstances, unrelated to the provision of additional data, are found to have contributed to the defective execution of the transaction, either because an additional requirement or demand (e.g., the identification of the beneficiary), or because the payment service provider of the payer or the beneficiary had taken advantage of the error for their own benefit, or because, once the existence of the error had been communicated without delay, one or the other had not taken the measures required by the diligence of an expert trader to allow retroaction or, where appropriate, to minimize the damage.”

      Regulation (EU) 2024/886: a paradigm shift

      And in this scenario fraught with doubts, Regulation (EU) 2024/886 bursts onto the scene, representing a 180-degree turn and a paradigm shift: the new European Regulation, approved in April 2024 and coming into force on October 9, 2025, establishes a clear obligation for banks: they must verify that the name of the beneficiary provided by the payer matches the IBAN holder before executing an immediate transfer in euros.

      The new features of this regulation are

      • mandatory application to all instant transfers within the SEPA area,
      • the new name matching system: if there is a discrepancy between the name and the IBAN, the bank must alert the customer before executing the transaction, and
      • increased liability for financial institutions in the event of fraud or error due to lack of verification.

      In short, the aim is to reduce the risk of fraud, protect consumers, and increase confidence in digital payments.

      This means that Law 19/2018, which regulates payment services in Spain and does not require verification of the beneficiary’s identity, is now outdated, underscoring the need for a national legislative review to harmonize the legal framework with European requirements.

      In conclusion, the obligation to verify the beneficiary of transfers represents a significant step forward in consumer protection and the fight against financial fraud. Regulation (EU) 2024/886 marks a turning point in banking operations, imposing an active responsibility on institutions to ensure the authenticity of transfers.

      In any case, the question remains open regarding the solution to MITM frauds executed before October 9, 2025, and the responsibility of the banking institution. For the time being, the aforementioned Supreme Court ruling of March 27 closes the door to claims against banks, but it cannot be ruled out that the entry into force of Regulation 2024/886 and the paradigm shift will lead to a rethinking of the Supreme Court’s position in line with the quasi-objective liability that lower courts have been maintaining. We will have to wait and see, but such a change would be a great success for bank users who have suffered from this MITM fraud and all other types of cyber fraud.

      Riassunto: Nell’era digitale, le frodi aziendali hanno assunto nuove e insidiose forme. Una di queste mette nel mirino i gruppi multinazionali: si tratta della c.d. “CEO Fraud”. Questo tipo di truffa si basa sull’uso fraudolento dell’identità di figure apicali aziendali, come CEO o Presidenti del consiglio di amministrazione. Il modus operandi è subdolo: i truffatori si spacciano per il CEO o un alto dirigente del Gruppo multinazionale e contattano direttamente i Chief Financial Officers (CFO) delle filiali o controllate, simulando un’inesistente operazione di investimento riservata per indurli a eseguire bonifici urgenti verso conti correnti esteri.

      Contesto e Dinamiche della CEO Fraud

      La CEO Fraud è una forma di truffa in cui i criminali impersonano figure dirigenziali di alto livello per ingannare i dipendenti, solitamente i CFO, inducendoli a trasferire fondi in conti bancari controllati dai truffatori. La scelta di utilizzare le identità di figure apicali come i CEO risiede nella loro autorità percepita e nella capacità di ordinare pagamenti anche ingenti, richiesti con urgenza e con l’indicazione della massima riservatezza, senza sollevare sospetti immediati.

      I truffatori adottano vari strumenti di comunicazione per rendere credibili i loro tentativi di frode: in punto di partenza è solitamente un data breach, che consente ai criminali di accedere ai dati di contatto del CEO o del CFO (email, numero di telefono fisso, numero di cellulare, account whatsapp o social media) o di altre persone all’interno dell’ufficio amministrativo dotate di poteri dispositivi e operativi sui conti correnti bancari.

      A volte per la conoscenza di queste informazioni non è neppure necessario un accesso illegittimo ai sistemi informatici aziendali, perché i soggetti destinatari della truffa rendono spontaneamente pubbliche queste informazioni, ad esempio indicandole sul proprio profilo sul sito web aziendale oppure mostrando pubblicamente i contatti sui profili nei social media (account linkedin, Facebook, etc.) o ancora su presentazioni, biglietti da visita e brochure aziendali nel contesto di incontri pubblici.

      Altre volte ancora, non è nemmeno necessario per i truffatori appropriarsi di tutti i dati del CEO che vogliono impersonare, ma solo di quelli del destinatario, per poi dichiarare che si sta utilizzando un account personale con numero o indirizzo mail diversi da quelli abitualmente riconducibili al vero CEO.

      I contatti vengono tipicamente presi come segue:

      • WhatsApp e SMS: L’uso di messaggi permette una comunicazione immediata e personale, spesso percepita come legittima dai destinatari. Il falso CEO invia un messaggio al CFO utilizzando un numero di cellulare del paese in cui ha sede la capogruppo (ad esempio +34 nel caso della Spagna), scrivendo che si tratta del suo numero di telefono personale e utilizzando nel profilo whatsapp una foto ritratto del vero CEO, il che rafforza la percezione che si tratti del suo numero personale.
      • Telefonate: dopo il primo contatto via messaggio, segue spesso una telefonata, che può essere direttamente quella del falso CEO oppure di un sedicente avvocato o consulente incaricato dal CEO di dare al CFO le informazioni necessarie sulla falsa operazione di investimento in corso e le istruzioni per procedere al pagamento urgente.
      • Email: in alternativa o in aggiunta a messaggi e telefonate le comunicazioni possono anche passare attraverso email, spesso indistinguibili da quelle autentiche, nelle quali vengono scrupolosamente replicati i formati di testo, i loghi aziendali, le firme, etc.

      Ciò è possibile tramite diverse tecniche di email spoofing in cui l’indirizzo email del mittente viene modificato per apparire come se l’email fosse inviata dal legittimo titolare. In pratica, è come se qualcuno inviasse una lettera postale mettendo un indirizzo diverso sul retro della busta per mascherare la vera origine della missiva. Nel nostro caso, questo significa che il CFO riceve un’email che – a prima vista – sembra provenire dal CEO e non dal truffatore.

      Non possiamo poi escludere che i truffatori approfittino di falle nella sicurezza dei sistemi aziendali, ad esempio accedendo direttamente alle chat interne all’organizzazione.

      Inoltre, la sempre maggiore diffusione di strumenti per il morphing (ossia per la creazione di immagini con sembianze umane riconducibili a persone reali) potrà rendere ancora più difficile lo smascheramento del truffatore: ai messaggi e alle telefonate potremmo infatti aggiungere messaggi video o addirittura video conferenze apparentemente tenute dal vero CEO.

      La (falsa) operazione di acquisizione di una società concorrente in Europa

      Vediamo un esempio realmente accaduto di CEO Fraud, per illustrare le modalità pratiche con cui vengono organizzate queste frodi.

      I truffatori creano un falso profilo whatsapp del sedicente CEO di un gruppo multinazionale con sede in Spagna, che utilizza un numero telefonico spagnolo e riproduce la foto profilo nell’autentico CEO.

      Tramite il falso account viene mandato un messaggio al CFO di una controllata in Italia, nel quale si comunica che è in corso una operazione riservata di investimento per acquisire una società in Portogallo. A tal fine si renderà necessario procedere, il giorno seguente, ad un bonifico di un’importante somma a favore di una società portoghese, presso una banca locale.

      Il messaggio sottolinea l’importanza che l’operazione venga mantenuta strettamente riservata, motivo per cui il CFO non può rivelare la richiesta di pagamento a nessuno: prima di procedere con il pagamento viene addirittura trasmesso via email un accordo di riservatezza da parte di un (finto) studio legale, che il CFO viene convinto a firmare e a restituire al fantomatico avvocato incaricato dell’operazione.

      Di seguito vengono inviate via mail al CFO le istruzioni per procedere al bonifico, con cui si sottolinea ancora l’importanza che il pagamento venga fatto il giorno stesso, in via urgente.

      Il giorno dopo aver disposto il bonifico, non ricevendo più notizie dal falso CEO, il CFO provvede a contattarlo presso il suo numero di telefono aziendale e scopre la truffa: a quel punto, però, è troppo tardi perché le somme sono state già trasferite dai criminali presso uno o più conti correnti su banche estere, rendendo molto difficile, se non impossibile, rintracciare i fondi.

      Le principali caratteristiche della CEO fraud

      • Eccesso di fiducia: il CFO può essere facilmente indotto a credere nella veridicità dei numeri di telefono o degli indirizzi mail tramite tecniche informatiche; addirittura, talvolta i truffatori sono talmente abili da riuscire a convincere il CFO ad agire anche utilizzando numeri diversi o servendosi di fantomatici consulenti mai incontrati prima.
      • Persuasione: il fatto che i truffatori impersonino figure apicali e facciano sentire il CFO investito di incarichi importanti genera nella vittima il desiderio di compiacere i superiori e di abbassare la guardia.
      • Pressione: i truffatori instillano nel CFO un grande senso di urgenza, chiedendo pagamenti in tempi estremamente rapidi e intimando la segretezza sull’operazione; questo induce la vittima ad agire senza pensare, cercando di essere il più efficiente possibile.
      • Rapidità: è bene sapere che una richiesta di un bonifico urgente non può essere revocata, o può essere ritirata tramite recall solo in tempi estremamente stretti; i truffatori ne approfittano per intascare le somme presso banche non troppo scrupolose o per spostarle altrove, al massimo nel giro di qualche giorno.

      Come prevenire queste truffe

      Gli schemi di CEO Fraud possono essere molto sofisticati, ma presentano spesso segnali che, se riconosciuti, possono fermare una truffa prima che causi danni irreparabili.

      Gli indizi principali sono le modalità atipiche di contatto (whatsapp, telefonate, email da account personali del falso CEO), la richiesta di massima riservatezza sull’operazione, l’urgenza con la quale si richiede il pagamento di grandi somme, il fatto che il bonifico debba essere fatto su banche all’estero, il coinvolgimento di società o soggetti mai menzionati in precedenza. Per prevenire truffe come quella della CEO Fraud, la formazione aziendale dei dipendenti su come riconoscere e rispondere alle truffe è cruciale; è poi fondamentale predisporre solide procedure di sicurezza interna.

      • In primo luogo, una precauzione importante e di base è quella di adottare sistemi di verifica che analizzano i messaggi di posta elettronica alla ricerca di eventuali virus e segnalano la provenienza dell’email da un account esterno all’organizzazione aziendale.
      • In secondo luogo, è fondamentale che le aziende implementino chiari processi per i pagamenti verso terzi, soprattutto se le modalità sono diverse dall’operatività standard della società, ad esempio prevedendo limiti di valore ai poteri di disposizione sull’operatività dei conti correnti, oltre i quali è necessaria la doppia firma con un altro amministratore.
      • In ultimo, e in generale, è bene adottare tutte le norme di buon senso e diligenza nell’analisi del caso. Meglio fare una verifica interna in più, piuttosto che una in meno; ad esempio, in caso di una richiesta particolarmente realistica ma comunque insolita, inoltrare lo scambio con il presunto truffatore all’indirizzo che riteniamo reale e chiedere ulteriori conferme nella mail di forward, anziché rispondendo direttamente nel loop via mail, consente di capire se il mittente è fasullo.

      Le azioni legali per il recupero dei fondi

      Dopo la scoperta di una CEO Fraud, è cruciale agire rapidamente per aumentare le possibilità di recuperare i fondi persi e perseguire legalmente i responsabili.

      Azioni Legali Possibili

      Una pronta comunicazione all’istituto bancario dell’ordinante per il congelamento dei fondi presso la banca beneficiaria, oltre ad una tempestiva denuncia-querela in Italia anche una denuncia nel paese in cui ha sede la banca destinataria del pagamento sono passi immediati che possono aiutare a contenere i danni e ad iniziare il processo di recupero.

      In molti paesi, infatti, lo schema del CEO Fraud è ben noto ed esistono unità di polizia giudiziaria specializzate che hanno gli strumenti per muoversi in maniera tempestiva a seguito della segnalazione del reato.

      Le indagini penali nel paese di destinazione del pagamento consentono anche di verificare che siano i titolari del conto corrente e le persone coinvolte nel tentativo di truffa, in alcuni casi giungendo all’arresto dei responsabili.

      Dopo aver tentato di ottenere il blocco del bonifico o dei fondi, si potrà poi valutare quale sia stato il comportamento degli istituti bancari coinvolti nella vicenda, in particolare per verificare se la banca beneficiaria abbia adempiuto in maniera corretta agli obblighi imposti dalla normativa in materia di antiriciclaggio, che impongono precisi obblighi di verifica della clientela e dell’origine dei fondi.

      Conclusioni

      La CEO Fraud è una minaccia significativa per le aziende di ogni dimensione e settore, resa possibile e amplificata dalle tecnologie moderne e dalla globalizzazione dei mercati finanziari. Le aziende devono rimanere vigili e proattive, aggiornando continuamente le loro procedure di sicurezza per tenere il passo con le tecniche in evoluzione dei truffatori.

      L’investimento in formazione, tecnologia e consulenza non è solo una misura di protezione, ma una necessità strategica per l’operatività dell’impresa.

      Nel caso in cui la truffa colpisca l’azienda, in infine, è fondamentale attivarsi in maniera tempestiva per cercare di bloccare i fondi prima che siano spostati su conti correnti in altri paesi e quindi resi irrintracciabili.

      Riassunto

      La riforma della Legge Fallimentare Brasiliana introduce importanti cambiamenti sia nelle procedure di risanamento che nelle misure di liquidazione.

      In occasione del 15° anniversario della Legge Fallimentare Brasiliana è stata promulgata un’importante novella, frutto di necessità emerse nel corso della sua applicazione: la Legge Fallimentare, infatti, è spesso stata messa alla prova e le esperienze pratiche hanno dimostrato che alcuni strumenti necessitavano di aggiustamenti, mentre altri richiedevano un cambiamento completo.

      L’obiettivo di questo articolo è quello di elencare le cinque novità più rilevanti.

      #5 – Piano di risanamento presentato dai creditori

      Prima della riforma: la formazione del piano di risanamento era di esclusiva competenza del debitore. Se la maggioranza dell’assemblea dei creditori avesse deciso di respingere il piano, la conseguenza automatica sarebbe stata la conversione in fallimento (liquidazione).

      Ora: in casi come questo, i creditori hanno il diritto di presentare un piano di risanamento giudiziale alternativo. Di conseguenza, i creditori assumono un ruolo più rilevante nella ristrutturazione aziendale.

      #4 – Mediazione incentrata sulla ristrutturazione

      La mediazione è ora incoraggiata nei processi di risanamento giudiziale in corso, in modo che i creditori e i debitori possano trovare una via d’uscita per superare la crisi.

      La novità più importante è la mediazione anticipata, il cui obiettivo è evitare di entrare nella procedura di risanamento e la liquidazione. In questa procedura, il debitore convoca i creditori per una negoziazione mediata e questi ultimi possono chiedere al giudice un ordine di sospensione delle misure esecutive.

      #3 – Operazioni su cespiti oggetto di procedure fallimentari

      L’alienazione dei cespiti del debitore è oggi semplificata sia nel risanamento giudiziale che nel fallimento. Soprattutto nel fallimento – in cui è essenziale ottimizzare la valorizzazione dei cespiti – la legge autorizza la vendita anticipata, l’aggiudicazione da parte dei creditori e persino la donazione di cespiti che i creditori non sono interessati ad acquisire.

      Inoltre, le acquisizioni di attività in difficoltà e le operazioni di fusione e acquisizione sono ora più sicure, grazie a una disposizione legislativa più chiara che prevede uno scudo di responsabilità a favore dell’acquirente.

      #2 – Finanziamento del debitore in possesso (DIP)

      La mancanza di incentivi a finanziare il debitore sottoposto a risanamento giudiziale è sempre stata motivo di critica da parte degli stakeholder. In assenza di disposizioni di legge, i potenziali finanziatori potrebbero essere diffidenti rispetto ai rischi dell’operazione e alla mancanza di chiari vantaggi per compensare il rischio.

      Le critiche sono state affrontate con il riconoscimento giuridico del finanziamento del debitore durante il risanamento giudiziale. Questo tipo di finanziamento è noto come Debtor-in-Possession (DIP) Financing.

      Il debitore è autorizzato, tramite autorizzazione giudiziale, a stipulare contratti di finanziamento per pagare il mantenimento delle sue attività e dei suoi beni, nonché per rispondere delle spese di ristrutturazione.

      A garanzia del finanziamento, il debitore può offrire beni e diritti propri o di terzi, anche se appartenenti ad attività non correnti, cioè non originariamente destinate alla vendita, ma che servono alla struttura aziendale (ad esempio, macchinari).

      #1 – Insolvenza transfrontaliera

      La legge brasiliana ha finalmente incorporato la Model Law on Cross-Border Insolvency dell’Uncitral. Un mondo integrato e pieno di aziende globali impone di prevedere norme specifiche sull’insolvenza transfrontaliera, finora inesistenti, per eliminare l’insicurezza sulla portata delle procedure straniere per i creditori brasiliani e sugli effetti delle procedure brasiliane per i creditori stranieri.

      Ora abbiamo un nuovo panorama, con la possibilità che le procedure all’estero abbiano effetti in Brasile e che le procedure brasiliane raggiungano gli stranieri.

      Viene trattata in modo dettagliato la partecipazione degli stranieri in Brasile e la cooperazione internazionale tra giudici e altre autorità per mettere in moto i principi fondamentali che regolano l’intero sistema di insolvenza, ovvero il miglioramento della certezza del diritto, la gestione efficiente dei processi, la valorizzazione degli asset, la conservazione dell’azienda e l’ottimizzazione della liquidazione degli asset.

      Queste sono le cinque principali novità, in sintesi. Se siete interessati a saperne di più su uno di questi argomenti o se volete rimanere aggiornati sull’insolvenza – ristrutturazione in Brasile, contattateci.

      On 6 January 2022 Ukraine finally cancelled almost a two-year long moratorium for the creditor-trigged insolvencies. The moratorium was imposed in the late spring 2020 as a part of the nation’ response to first wave of COVID pandemic.

      In a nutshell, the moratorium prohibited creditors from requesting insolvency action against those debtors whose obligations matured after 12 March 2020. A separate set of measures also lifted an early warning duty obliging directors of the companies in distress to file for insolvency within one month from a moment when the distress appeared.

      The moratorium was heavily criticized by both domestic and international creditors, who legitimately blamed it for a non-selective approach.

      As further 2021 statistic shown, the moratorium never seemed to reach a goal proclaimed by it authors and made no increase for insolvency relief requests by the debtor companies.

      Instead, the country has been facing a steady increase in “zombie” companies having little to none liquidation value – and their owners clearly intending to get away with no creditor repayment.

      With the moratorium being lifted off the creditors do expect to show no mercy to their Ukrainian debtors. This particularly worries those debtors potentially involved in wrongful trade or fraudulent action. Even with the moratorium in place in 2021 Ukrainian courts confirmed more than UAH 150 mln in creditors loss to be paid by the insolvent companies’ management and owners themselves. This number is expected to triple in 2022 – and there already were Supreme Court’s 2021 judgements confirming liability of the real owners standing behind opaque shareholder company and nominal directors.

      As the creditors’ agitation grows, so do the debtor company owners’ concerns. As the owners\management liability process is extremely bespoke and often requires swift action, it is of crucial importance to get a throughout legal advise on either side – and much better to do that before the actual claim has been brought.

      Lebanon’s secure banking sector plays an important role in the country’s stability and economic status. High liquidity and compliance with all international regulatory standards make it one of the most profitable in the region.

      Stability

      The Lebanese banking sector owes its solidity primarily to the stringent policies applied by the Lebanese Central Bank (LCB). Efforts are constantly being made to fight money laundering and terrorism funding.

      The Lebanese diaspora also contributes to the stability through the flux of transfers and deposits of extraterritorial income. Compared with an estimated population of 4.9 million inhabitants, about 16 million Lebanese live abroad, largely engaged in trade and finance, and mainly concentrated in South America.

      The banking sector’s stability is also bolstered by the currency exchange rate, which has been stable since 1997, when the Lebanese Pound (LBP) was pegged to the United States Dollar (USD) at a rate of 1507.5 LBP to the USD.

      Banking Secret and Automatic exchange of Information

      The Lebanese Banking Secrecy Law of September 3, 1956 was a key aspect in the expansion of the sector. Bank secrecy is applied to any bank operating in Lebanon, local or foreign, and prohibits the disclosure of any details or information about any account or accountholder. For long time this law has increased confidence in Lebanese banking together with the amount of foreign capital coming into the country.

      Before the last economic and financial global shocks, the veil of banking secrecy could be lifted only with prior approval of the accountholder, in case of bankruptcy; for the exchange of information between banks about indebted accounts; and in case of legal actions between a bank and a client or illicit enrichment.

      Nowadays, banking secrecy does not apply to US citizens because of the Foreign Account Tax Compliance Act (FATCA) that requires foreign banks to report American accountholders to the tax authority of the US. Even though Lebanon has not agreed to be FATCA compliant as a whole, individual Lebanon banks have agreed to comply.

      Moreover, in 2016 Lebanon joined the Global Forum on Transparency and the Automatic Exchange of Information (AEOI) for tax purposes, committing to implement a series of regulatory reforms to better comply with the Common Reporting Standards of OECD.

      Consequently, if the requested information is protected under the Banking Secrecy Law of 1956, the request will be forwarded to the Special Investigation Commission (SIC) at the Central Bank with an opinion from the Ministry of Finance for review before it can be disclosed to the foreign tax authority based on an information exchange agreement.

      The regulatory framework and supervision of the banking sector is already in compliance with international standards, such as Basel I, II, and III. Abiding by these laws does not eliminate banking secrecy. New regulations just aim to provide a more effective tool to counter the fight against tax evasion and to track suspicious operations for money laundering purposes, or self-laundering, based on tax offenses.

      According to the AEOI, starting from September 2018 Lebanese Tax Authority will exchange information automatically on non-residents, and will have access to information on residents who hold assets abroad. No issues for Lebanese residents.

      The new legislation will impact: banks, brokers, trusts, fiduciaries, insurance companies, although only for a few products, and certain collective investment funds.

      Corporate Governance

      As part of the strategy to integrate Lebanon further into the international community and the global economy, corporate governance in banks is necessary to guarantee fairness, transparency and accountability.

      It is mandatory for banks while optional for other companies. In fact, an innovation took place in the banking sector on July 26, 2006 when the Governor of the Lebanese Central Bank enacted the Basic Decision No. 9382 to order to comply with the banking rules instituted by the Basel Committee.

      Account freedom and flexibility

      Lebanese banks are known for being open to foreign investors and have branches worldwide. Foreign individuals or companies can easily open a bank account in Lebanon in any currency and benefit from all banking advantages offered to Lebanese citizens. Further, amounts deposited in Lebanon are exempt from taxes and the interest received is subject to a tax rate of 5-percent.

      The author of this post is Claudia Caluori.

      From 18 January 2017, the new European Regulation 655/2014 establishing a European Account Preservation Order procedure to facilitate cross-border debt recovery in civil and commercial matters will enter into force.

      The Regulation foresees in a procedure to seize bank accounts of your debtor in other EU Member States (except when your debtor is domiciled in United Kingdom or Denmark), without that the debtor is notified hereof. The debtor will only notice once the seizure is into force.

      Such cross-border seizure can be obtained before the Courts of an EU Member State who would have jurisdiction on the merits of the case under the EU Regulation 1215/2012 (Brussels I bis).

      The seizure can be requested before, during or even after the procedure on the merits of the case. The request has to be filed using a standard document.

      To grant the request, the Court will have to examine 1) if there is urgency (periculum in mora) and 2) if there is on basis of the provided evidence enough reason to assume the Court will also decide in favor of the creditor in the proceedings concerning the merits of the case (fumus boni iuris). Although these principles are not unknown to national legislation, both will have to await the autonomous interpretation by the European Court of Justice.

      The new EU Regulation 655/2014 is however not created to bully any unwilling debtor by filing preservation order after preservation order. The Regulation foresees 2 mechanisms to avoid such practices:

      • According to art. 12, the creditor can be required to provide a security when he has not obtained any judgment in favor yet;
      • The creditor will also receive a fixed delay in which he has to undertake a proceedings about the merits of the case.

      The new European Regulation 665/2014 also foresees a mechanism where a creditor can request information about his debtor’s bank account(s) in a certain Member State. 

      Not unimportant, as the creditor needs to indicate the bank account number in his request for a transnational seizure (under Belgian national law, the indication of the name of the Bank would already be sufficient).

      Art. 14 of the Regulation now foresees what one could call a bank account disclosure mechanism:

      “Request for the obtaining of account information

      Where the creditor has obtained in a Member State an enforceable judgment, court settlement or authentic instrument which requires the debtor to pay the creditor’s claim and the creditor has reasons to believe that the debtor holds one or more accounts with a bank in a specific Member State, but knows neither the name and/or address of the bank nor the IBAN, BIC or another bank number allowing the bank to be identified, he may request the court with which the application for the Preservation Order is lodged to request that the information authority of the Member State of enforcement obtain the information necessary to allow the bank or banks and the debtor’s account or accounts to be identified”.

      In a few Member States (including Belgium), such disclosure mechanism is completely new.  The Regulation leaves it up to the Member States how they will organize this new disclosure, by giving a few examples:

      “Each Member State shall make available in its national law at least one of the following methods of obtaining the information referred to in paragraph 1:

      (a) an obligation on all banks in its territory to disclose, upon request by the information authority, whether the debtor holds an account with them;

      (b) access for the information authority to the relevant information where that information is held by public authorities or administrations in registers or otherwise;

      (c) the possibility for its courts to oblige the debtor to disclose with which bank or banks in its territory he holds one or more accounts where such an obligation is accompanied by an in personam order by the court prohibiting the withdrawal or transfer by him of funds held in his account or accounts up to the amount to be preserved by the Preservation Order; or

      (d) any other methods which are effective and efficient for the purposes of obtaining the relevant information, provided that they are not disproportionately costly or time-consuming.

      Does this mean any creditor can just run to the Court and ask information?

      No, some conditions apply:

      • the creditor needs to be in possession of an enforceable judgment;
      • there need to be reasons to believe the debtor holds bank accounts in this Member State.

      Conclusion: it will be interesting to see how the Member States will apply this new mechanism.  Whether it will be effective, will also depend on the interpretation of ‘reasons to believe the debtor holds bank accounts in this Member State’.  This will probably be the key to the question if this will end the Pyrrhus decisions, where a creditor is accorded his claim but cannot find assets to seize.

      The author of this post is David Diris.

      Geraldo Fonseca

      Aree di attività

      • Diritto societario
      • Recupero credito
      • Fallimentare
      • Commercio internazionale
      • Contenzioso
      Contatta Geraldo

      Scrivi a Geraldo





        Leggi la privacy policy di Legalmondo.
        Questo sito è protetto da reCAPTCHA e si applicano le Norme sulla privacy e i Termini di servizio di Google.

        Ukraine: new hope for the creditors as the debtors’ concern grows

        17 Gennaio 2022

        • Ucraina
        • Bancario
        • Fallimentare
        • Contenzioso

        The increase in so-called cybercrime in recent years is so significant that it requires strong legislative and judicial responses. Losses from online fraud in Europe exceed $100 billion, according to Nasdaq Ventures, of which $5 billion correspond to Spain.

        In Spain, 192,375 cases of computer fraud were reported in 2019, but by 2023 this figure had risen to 427,448. According to the latest official data available, computer fraud accounts for 90.4% of all cybercrimes, with growth of 378% between 2016 and 2023.

        There are many different types of computer fraud, and they are named in English (after all, the lingua franca of our time), including, among other ingenious methods used by skilled fraudsters, those with curious and amusing names (except for those who suffer from them) such as phishing, pharming, juice jacking, tabnabbing, bluesnarfing, catfishing, spoofing, vishing, smishing, whaling, carding, and the one we are interested in today, man in the middle (MITM).

        Man in the Middle scam: how it works

        This MITM fraud involves intercepting communications between two devices connected to a network, allowing the attacker to alter and divert messages exchanged between users. The fraudster intercepts a communication in which one user requests a payment from another and then modifies the IBAN of the bank account to which the transfer should be made in order to obtain the money. The process generally unfolds as follows:

        • Without the company noticing, an attacker intercepts and manipulates an email, changing the IBAN number of the account to which the payment should be made.
        • The cybercriminal impersonates the supplier, sending the message from an email address that is almost identical to the original, but with a slight alteration that is almost imperceptible.
        • The receiving company, trusting the authenticity of the message, makes the transfer to the fraudulent account.

         

        This results in a transfer of assets to the detriment of the person ordering the transfer and in favor of the cyber thief, so that when the person ordering the transfer notices the error, their first reaction is to try to contact the receiving bank in the hope that the funds can be blocked in time. However, in most cases, the cybercriminal has been quicker: the money has already been transferred to another account or withdrawn, leaving little room for maneuvering, except for the initiation of legal proceedings, which we will discuss below.

        The immediate question is what responsibility the bank that has received the transfer order from the deceived user and credits the cyber fraudster’s account with the amount in question has in cases where the payer identifies not only the (fraudulent) IBAN but also the name of the beneficiary of the payment order, which obviously does not match the name of the holder of the bank account receiving the funds.

        The common-sense answer would be that the bank receiving the transfer should confirm that the holder of the account to which the funds are credited and the individual or entity identified as the beneficiary in the transfer order match; if this is not the case, it should suspend the payment and request clarification from the payer. However, this is not the case in light of EU legislation and its transposition into Spanish law, as we will see below.

        Until October 9, the European banking system operated under the premise that the validity of a transfer was based exclusively on the correctness of the IBAN. In other words, if the account number was correct, the transaction was considered valid, even if the beneficiary’s name did not match. This practice has led to numerous cases of fraud, unintentional errors, and loss of funds, especially in instant transfers, where speed can compromise security.

        The most reasonable option for the defrauded payer to recover their money is to sue the bank receiving the payment order (with which they have no contractual relationship) for non-contractual liability under Article 1124 of the Civil Code; in fact, criminal proceedings against the account holder, who is usually referred to in slang as a “mule,” do not usually have a satisfactory outcome, both because the bird usually flies away and because of its lack of solvency.

        The case law of the Provincial Courts has been divided between rulings that strictly and faithfully applied Article 59 of Royal Decree-Law 19/2018 of November 23, on payment services and other urgent financial measures, dismissing the claims of those defrauded, and others in which arguments were sought under the premise of lack of diligence to condemn the bank to compensate the payer.

        This has led to the establishment of quasi-objective liability for banks in relation to digital fraud, imposing a higher standard of diligence on them and transferring the risk inherent in online banking to them, except in cases of willful misconduct or gross negligence on the part of the customer. This line of reasoning, which has been developed from lower court rulings (AP Madrid 178/2015; AP Alicante 107/2018; AP Valencia 212/2021) to the Supreme Court itself (STS 571/2025, among others), is in line with the idea that it is up to the bank to prove that its systems were secure, up to date, and sufficient to prevent the crime from being committed.

        In this context, the concept of bonus argentarius takes on renewed relevance. This is a principle that was included in Law 57/68 to protect home buyers in the real estate sector, but the Supreme Court has ruled on several occasions that it can also be applied to other financial investments. This means that, in the event of losses due to negligence on the part of the financial institution, the customer can file a claim under Law 57/68 and hold the institution liable.

        The bonus argentarius is based on the presumption of fault on the part of the financial institution, which means that even if the customer has no concrete evidence of negligence, it is assumed due to the duty of care that the institution must exercise in the management of investments.

        Based on this principle, the diligence required of financial professionals is not that of the average trader or pater familias, but that of a qualified expert who assumes the obligation to protect the funds entrusted to them by implementing “necessary and renewable” security mechanisms. This implies not only maintaining basic technical measures for enhanced authentication, but also proactively adopting internationally recognized anti-fraud solutions, such as name-IBAN verification (Confirmation of Payee or IBAN-Naam Check), which have proven effective in comparable jurisdictions.

        In line with that doctrine and case law, it can be said that the omission of beneficiary verification measures today constitutes a breach of the contractual duty of diligence and good faith (Articles 1104 and 1258 of the Civil Code), giving rise to civil liability for the damage caused, such that MITM fraud cannot be considered a residual risk attributable to the customer, but rather a systemic security failure attributable to the financial institution, as the designer and custodian of the electronic payment channel.

        In this state of affairs, the Supreme Court, in its recent ruling of March 27, 2025, opted for the alternative of strict application of Article 59, arguing that “if the payment service user provides additional information to that required (specification of the information or unique identifier that the payment service user must provide for the correct initiation or execution of a payment order), the payment service provider shall only be liable for the execution of payment transactions in accordance with the unique identifier provided by the payment service user… and that the liability of the payment service provider, both at Community and national level, is such that it fulfills its obligation by executing the payment transaction in accordance with the unique identifier, without the addition of further information implying a higher standard of diligence

        It is true that, in conclusion, the Supreme Court offered a glimmer of hope to defrauded users when it stated that “the interpretation set out above does not exempt the payment service provider from liability when circumstances, unrelated to the provision of additional data, are found to have contributed to the defective execution of the transaction, either because an additional requirement or demand (e.g., the identification of the beneficiary), or because the payment service provider of the payer or the beneficiary had taken advantage of the error for their own benefit, or because, once the existence of the error had been communicated without delay, one or the other had not taken the measures required by the diligence of an expert trader to allow retroaction or, where appropriate, to minimize the damage.”

        Regulation (EU) 2024/886: a paradigm shift

        And in this scenario fraught with doubts, Regulation (EU) 2024/886 bursts onto the scene, representing a 180-degree turn and a paradigm shift: the new European Regulation, approved in April 2024 and coming into force on October 9, 2025, establishes a clear obligation for banks: they must verify that the name of the beneficiary provided by the payer matches the IBAN holder before executing an immediate transfer in euros.

        The new features of this regulation are

        • mandatory application to all instant transfers within the SEPA area,
        • the new name matching system: if there is a discrepancy between the name and the IBAN, the bank must alert the customer before executing the transaction, and
        • increased liability for financial institutions in the event of fraud or error due to lack of verification.

        In short, the aim is to reduce the risk of fraud, protect consumers, and increase confidence in digital payments.

        This means that Law 19/2018, which regulates payment services in Spain and does not require verification of the beneficiary’s identity, is now outdated, underscoring the need for a national legislative review to harmonize the legal framework with European requirements.

        In conclusion, the obligation to verify the beneficiary of transfers represents a significant step forward in consumer protection and the fight against financial fraud. Regulation (EU) 2024/886 marks a turning point in banking operations, imposing an active responsibility on institutions to ensure the authenticity of transfers.

        In any case, the question remains open regarding the solution to MITM frauds executed before October 9, 2025, and the responsibility of the banking institution. For the time being, the aforementioned Supreme Court ruling of March 27 closes the door to claims against banks, but it cannot be ruled out that the entry into force of Regulation 2024/886 and the paradigm shift will lead to a rethinking of the Supreme Court’s position in line with the quasi-objective liability that lower courts have been maintaining. We will have to wait and see, but such a change would be a great success for bank users who have suffered from this MITM fraud and all other types of cyber fraud.

        Riassunto: Nell’era digitale, le frodi aziendali hanno assunto nuove e insidiose forme. Una di queste mette nel mirino i gruppi multinazionali: si tratta della c.d. “CEO Fraud”. Questo tipo di truffa si basa sull’uso fraudolento dell’identità di figure apicali aziendali, come CEO o Presidenti del consiglio di amministrazione. Il modus operandi è subdolo: i truffatori si spacciano per il CEO o un alto dirigente del Gruppo multinazionale e contattano direttamente i Chief Financial Officers (CFO) delle filiali o controllate, simulando un’inesistente operazione di investimento riservata per indurli a eseguire bonifici urgenti verso conti correnti esteri.

        Contesto e Dinamiche della CEO Fraud

        La CEO Fraud è una forma di truffa in cui i criminali impersonano figure dirigenziali di alto livello per ingannare i dipendenti, solitamente i CFO, inducendoli a trasferire fondi in conti bancari controllati dai truffatori. La scelta di utilizzare le identità di figure apicali come i CEO risiede nella loro autorità percepita e nella capacità di ordinare pagamenti anche ingenti, richiesti con urgenza e con l’indicazione della massima riservatezza, senza sollevare sospetti immediati.

        I truffatori adottano vari strumenti di comunicazione per rendere credibili i loro tentativi di frode: in punto di partenza è solitamente un data breach, che consente ai criminali di accedere ai dati di contatto del CEO o del CFO (email, numero di telefono fisso, numero di cellulare, account whatsapp o social media) o di altre persone all’interno dell’ufficio amministrativo dotate di poteri dispositivi e operativi sui conti correnti bancari.

        A volte per la conoscenza di queste informazioni non è neppure necessario un accesso illegittimo ai sistemi informatici aziendali, perché i soggetti destinatari della truffa rendono spontaneamente pubbliche queste informazioni, ad esempio indicandole sul proprio profilo sul sito web aziendale oppure mostrando pubblicamente i contatti sui profili nei social media (account linkedin, Facebook, etc.) o ancora su presentazioni, biglietti da visita e brochure aziendali nel contesto di incontri pubblici.

        Altre volte ancora, non è nemmeno necessario per i truffatori appropriarsi di tutti i dati del CEO che vogliono impersonare, ma solo di quelli del destinatario, per poi dichiarare che si sta utilizzando un account personale con numero o indirizzo mail diversi da quelli abitualmente riconducibili al vero CEO.

        I contatti vengono tipicamente presi come segue:

        • WhatsApp e SMS: L’uso di messaggi permette una comunicazione immediata e personale, spesso percepita come legittima dai destinatari. Il falso CEO invia un messaggio al CFO utilizzando un numero di cellulare del paese in cui ha sede la capogruppo (ad esempio +34 nel caso della Spagna), scrivendo che si tratta del suo numero di telefono personale e utilizzando nel profilo whatsapp una foto ritratto del vero CEO, il che rafforza la percezione che si tratti del suo numero personale.
        • Telefonate: dopo il primo contatto via messaggio, segue spesso una telefonata, che può essere direttamente quella del falso CEO oppure di un sedicente avvocato o consulente incaricato dal CEO di dare al CFO le informazioni necessarie sulla falsa operazione di investimento in corso e le istruzioni per procedere al pagamento urgente.
        • Email: in alternativa o in aggiunta a messaggi e telefonate le comunicazioni possono anche passare attraverso email, spesso indistinguibili da quelle autentiche, nelle quali vengono scrupolosamente replicati i formati di testo, i loghi aziendali, le firme, etc.

        Ciò è possibile tramite diverse tecniche di email spoofing in cui l’indirizzo email del mittente viene modificato per apparire come se l’email fosse inviata dal legittimo titolare. In pratica, è come se qualcuno inviasse una lettera postale mettendo un indirizzo diverso sul retro della busta per mascherare la vera origine della missiva. Nel nostro caso, questo significa che il CFO riceve un’email che – a prima vista – sembra provenire dal CEO e non dal truffatore.

        Non possiamo poi escludere che i truffatori approfittino di falle nella sicurezza dei sistemi aziendali, ad esempio accedendo direttamente alle chat interne all’organizzazione.

        Inoltre, la sempre maggiore diffusione di strumenti per il morphing (ossia per la creazione di immagini con sembianze umane riconducibili a persone reali) potrà rendere ancora più difficile lo smascheramento del truffatore: ai messaggi e alle telefonate potremmo infatti aggiungere messaggi video o addirittura video conferenze apparentemente tenute dal vero CEO.

        La (falsa) operazione di acquisizione di una società concorrente in Europa

        Vediamo un esempio realmente accaduto di CEO Fraud, per illustrare le modalità pratiche con cui vengono organizzate queste frodi.

        I truffatori creano un falso profilo whatsapp del sedicente CEO di un gruppo multinazionale con sede in Spagna, che utilizza un numero telefonico spagnolo e riproduce la foto profilo nell’autentico CEO.

        Tramite il falso account viene mandato un messaggio al CFO di una controllata in Italia, nel quale si comunica che è in corso una operazione riservata di investimento per acquisire una società in Portogallo. A tal fine si renderà necessario procedere, il giorno seguente, ad un bonifico di un’importante somma a favore di una società portoghese, presso una banca locale.

        Il messaggio sottolinea l’importanza che l’operazione venga mantenuta strettamente riservata, motivo per cui il CFO non può rivelare la richiesta di pagamento a nessuno: prima di procedere con il pagamento viene addirittura trasmesso via email un accordo di riservatezza da parte di un (finto) studio legale, che il CFO viene convinto a firmare e a restituire al fantomatico avvocato incaricato dell’operazione.

        Di seguito vengono inviate via mail al CFO le istruzioni per procedere al bonifico, con cui si sottolinea ancora l’importanza che il pagamento venga fatto il giorno stesso, in via urgente.

        Il giorno dopo aver disposto il bonifico, non ricevendo più notizie dal falso CEO, il CFO provvede a contattarlo presso il suo numero di telefono aziendale e scopre la truffa: a quel punto, però, è troppo tardi perché le somme sono state già trasferite dai criminali presso uno o più conti correnti su banche estere, rendendo molto difficile, se non impossibile, rintracciare i fondi.

        Le principali caratteristiche della CEO fraud

        • Eccesso di fiducia: il CFO può essere facilmente indotto a credere nella veridicità dei numeri di telefono o degli indirizzi mail tramite tecniche informatiche; addirittura, talvolta i truffatori sono talmente abili da riuscire a convincere il CFO ad agire anche utilizzando numeri diversi o servendosi di fantomatici consulenti mai incontrati prima.
        • Persuasione: il fatto che i truffatori impersonino figure apicali e facciano sentire il CFO investito di incarichi importanti genera nella vittima il desiderio di compiacere i superiori e di abbassare la guardia.
        • Pressione: i truffatori instillano nel CFO un grande senso di urgenza, chiedendo pagamenti in tempi estremamente rapidi e intimando la segretezza sull’operazione; questo induce la vittima ad agire senza pensare, cercando di essere il più efficiente possibile.
        • Rapidità: è bene sapere che una richiesta di un bonifico urgente non può essere revocata, o può essere ritirata tramite recall solo in tempi estremamente stretti; i truffatori ne approfittano per intascare le somme presso banche non troppo scrupolose o per spostarle altrove, al massimo nel giro di qualche giorno.

        Come prevenire queste truffe

        Gli schemi di CEO Fraud possono essere molto sofisticati, ma presentano spesso segnali che, se riconosciuti, possono fermare una truffa prima che causi danni irreparabili.

        Gli indizi principali sono le modalità atipiche di contatto (whatsapp, telefonate, email da account personali del falso CEO), la richiesta di massima riservatezza sull’operazione, l’urgenza con la quale si richiede il pagamento di grandi somme, il fatto che il bonifico debba essere fatto su banche all’estero, il coinvolgimento di società o soggetti mai menzionati in precedenza. Per prevenire truffe come quella della CEO Fraud, la formazione aziendale dei dipendenti su come riconoscere e rispondere alle truffe è cruciale; è poi fondamentale predisporre solide procedure di sicurezza interna.

        • In primo luogo, una precauzione importante e di base è quella di adottare sistemi di verifica che analizzano i messaggi di posta elettronica alla ricerca di eventuali virus e segnalano la provenienza dell’email da un account esterno all’organizzazione aziendale.
        • In secondo luogo, è fondamentale che le aziende implementino chiari processi per i pagamenti verso terzi, soprattutto se le modalità sono diverse dall’operatività standard della società, ad esempio prevedendo limiti di valore ai poteri di disposizione sull’operatività dei conti correnti, oltre i quali è necessaria la doppia firma con un altro amministratore.
        • In ultimo, e in generale, è bene adottare tutte le norme di buon senso e diligenza nell’analisi del caso. Meglio fare una verifica interna in più, piuttosto che una in meno; ad esempio, in caso di una richiesta particolarmente realistica ma comunque insolita, inoltrare lo scambio con il presunto truffatore all’indirizzo che riteniamo reale e chiedere ulteriori conferme nella mail di forward, anziché rispondendo direttamente nel loop via mail, consente di capire se il mittente è fasullo.

        Le azioni legali per il recupero dei fondi

        Dopo la scoperta di una CEO Fraud, è cruciale agire rapidamente per aumentare le possibilità di recuperare i fondi persi e perseguire legalmente i responsabili.

        Azioni Legali Possibili

        Una pronta comunicazione all’istituto bancario dell’ordinante per il congelamento dei fondi presso la banca beneficiaria, oltre ad una tempestiva denuncia-querela in Italia anche una denuncia nel paese in cui ha sede la banca destinataria del pagamento sono passi immediati che possono aiutare a contenere i danni e ad iniziare il processo di recupero.

        In molti paesi, infatti, lo schema del CEO Fraud è ben noto ed esistono unità di polizia giudiziaria specializzate che hanno gli strumenti per muoversi in maniera tempestiva a seguito della segnalazione del reato.

        Le indagini penali nel paese di destinazione del pagamento consentono anche di verificare che siano i titolari del conto corrente e le persone coinvolte nel tentativo di truffa, in alcuni casi giungendo all’arresto dei responsabili.

        Dopo aver tentato di ottenere il blocco del bonifico o dei fondi, si potrà poi valutare quale sia stato il comportamento degli istituti bancari coinvolti nella vicenda, in particolare per verificare se la banca beneficiaria abbia adempiuto in maniera corretta agli obblighi imposti dalla normativa in materia di antiriciclaggio, che impongono precisi obblighi di verifica della clientela e dell’origine dei fondi.

        Conclusioni

        La CEO Fraud è una minaccia significativa per le aziende di ogni dimensione e settore, resa possibile e amplificata dalle tecnologie moderne e dalla globalizzazione dei mercati finanziari. Le aziende devono rimanere vigili e proattive, aggiornando continuamente le loro procedure di sicurezza per tenere il passo con le tecniche in evoluzione dei truffatori.

        L’investimento in formazione, tecnologia e consulenza non è solo una misura di protezione, ma una necessità strategica per l’operatività dell’impresa.

        Nel caso in cui la truffa colpisca l’azienda, in infine, è fondamentale attivarsi in maniera tempestiva per cercare di bloccare i fondi prima che siano spostati su conti correnti in altri paesi e quindi resi irrintracciabili.

        Riassunto

        La riforma della Legge Fallimentare Brasiliana introduce importanti cambiamenti sia nelle procedure di risanamento che nelle misure di liquidazione.

        In occasione del 15° anniversario della Legge Fallimentare Brasiliana è stata promulgata un’importante novella, frutto di necessità emerse nel corso della sua applicazione: la Legge Fallimentare, infatti, è spesso stata messa alla prova e le esperienze pratiche hanno dimostrato che alcuni strumenti necessitavano di aggiustamenti, mentre altri richiedevano un cambiamento completo.

        L’obiettivo di questo articolo è quello di elencare le cinque novità più rilevanti.

        #5 – Piano di risanamento presentato dai creditori

        Prima della riforma: la formazione del piano di risanamento era di esclusiva competenza del debitore. Se la maggioranza dell’assemblea dei creditori avesse deciso di respingere il piano, la conseguenza automatica sarebbe stata la conversione in fallimento (liquidazione).

        Ora: in casi come questo, i creditori hanno il diritto di presentare un piano di risanamento giudiziale alternativo. Di conseguenza, i creditori assumono un ruolo più rilevante nella ristrutturazione aziendale.

        #4 – Mediazione incentrata sulla ristrutturazione

        La mediazione è ora incoraggiata nei processi di risanamento giudiziale in corso, in modo che i creditori e i debitori possano trovare una via d’uscita per superare la crisi.

        La novità più importante è la mediazione anticipata, il cui obiettivo è evitare di entrare nella procedura di risanamento e la liquidazione. In questa procedura, il debitore convoca i creditori per una negoziazione mediata e questi ultimi possono chiedere al giudice un ordine di sospensione delle misure esecutive.

        #3 – Operazioni su cespiti oggetto di procedure fallimentari

        L’alienazione dei cespiti del debitore è oggi semplificata sia nel risanamento giudiziale che nel fallimento. Soprattutto nel fallimento – in cui è essenziale ottimizzare la valorizzazione dei cespiti – la legge autorizza la vendita anticipata, l’aggiudicazione da parte dei creditori e persino la donazione di cespiti che i creditori non sono interessati ad acquisire.

        Inoltre, le acquisizioni di attività in difficoltà e le operazioni di fusione e acquisizione sono ora più sicure, grazie a una disposizione legislativa più chiara che prevede uno scudo di responsabilità a favore dell’acquirente.

        #2 – Finanziamento del debitore in possesso (DIP)

        La mancanza di incentivi a finanziare il debitore sottoposto a risanamento giudiziale è sempre stata motivo di critica da parte degli stakeholder. In assenza di disposizioni di legge, i potenziali finanziatori potrebbero essere diffidenti rispetto ai rischi dell’operazione e alla mancanza di chiari vantaggi per compensare il rischio.

        Le critiche sono state affrontate con il riconoscimento giuridico del finanziamento del debitore durante il risanamento giudiziale. Questo tipo di finanziamento è noto come Debtor-in-Possession (DIP) Financing.

        Il debitore è autorizzato, tramite autorizzazione giudiziale, a stipulare contratti di finanziamento per pagare il mantenimento delle sue attività e dei suoi beni, nonché per rispondere delle spese di ristrutturazione.

        A garanzia del finanziamento, il debitore può offrire beni e diritti propri o di terzi, anche se appartenenti ad attività non correnti, cioè non originariamente destinate alla vendita, ma che servono alla struttura aziendale (ad esempio, macchinari).

        #1 – Insolvenza transfrontaliera

        La legge brasiliana ha finalmente incorporato la Model Law on Cross-Border Insolvency dell’Uncitral. Un mondo integrato e pieno di aziende globali impone di prevedere norme specifiche sull’insolvenza transfrontaliera, finora inesistenti, per eliminare l’insicurezza sulla portata delle procedure straniere per i creditori brasiliani e sugli effetti delle procedure brasiliane per i creditori stranieri.

        Ora abbiamo un nuovo panorama, con la possibilità che le procedure all’estero abbiano effetti in Brasile e che le procedure brasiliane raggiungano gli stranieri.

        Viene trattata in modo dettagliato la partecipazione degli stranieri in Brasile e la cooperazione internazionale tra giudici e altre autorità per mettere in moto i principi fondamentali che regolano l’intero sistema di insolvenza, ovvero il miglioramento della certezza del diritto, la gestione efficiente dei processi, la valorizzazione degli asset, la conservazione dell’azienda e l’ottimizzazione della liquidazione degli asset.

        Queste sono le cinque principali novità, in sintesi. Se siete interessati a saperne di più su uno di questi argomenti o se volete rimanere aggiornati sull’insolvenza – ristrutturazione in Brasile, contattateci.

        On 6 January 2022 Ukraine finally cancelled almost a two-year long moratorium for the creditor-trigged insolvencies. The moratorium was imposed in the late spring 2020 as a part of the nation’ response to first wave of COVID pandemic.

        In a nutshell, the moratorium prohibited creditors from requesting insolvency action against those debtors whose obligations matured after 12 March 2020. A separate set of measures also lifted an early warning duty obliging directors of the companies in distress to file for insolvency within one month from a moment when the distress appeared.

        The moratorium was heavily criticized by both domestic and international creditors, who legitimately blamed it for a non-selective approach.

        As further 2021 statistic shown, the moratorium never seemed to reach a goal proclaimed by it authors and made no increase for insolvency relief requests by the debtor companies.

        Instead, the country has been facing a steady increase in “zombie” companies having little to none liquidation value – and their owners clearly intending to get away with no creditor repayment.

        With the moratorium being lifted off the creditors do expect to show no mercy to their Ukrainian debtors. This particularly worries those debtors potentially involved in wrongful trade or fraudulent action. Even with the moratorium in place in 2021 Ukrainian courts confirmed more than UAH 150 mln in creditors loss to be paid by the insolvent companies’ management and owners themselves. This number is expected to triple in 2022 – and there already were Supreme Court’s 2021 judgements confirming liability of the real owners standing behind opaque shareholder company and nominal directors.

        As the creditors’ agitation grows, so do the debtor company owners’ concerns. As the owners\management liability process is extremely bespoke and often requires swift action, it is of crucial importance to get a throughout legal advise on either side – and much better to do that before the actual claim has been brought.

        Lebanon’s secure banking sector plays an important role in the country’s stability and economic status. High liquidity and compliance with all international regulatory standards make it one of the most profitable in the region.

        Stability

        The Lebanese banking sector owes its solidity primarily to the stringent policies applied by the Lebanese Central Bank (LCB). Efforts are constantly being made to fight money laundering and terrorism funding.

        The Lebanese diaspora also contributes to the stability through the flux of transfers and deposits of extraterritorial income. Compared with an estimated population of 4.9 million inhabitants, about 16 million Lebanese live abroad, largely engaged in trade and finance, and mainly concentrated in South America.

        The banking sector’s stability is also bolstered by the currency exchange rate, which has been stable since 1997, when the Lebanese Pound (LBP) was pegged to the United States Dollar (USD) at a rate of 1507.5 LBP to the USD.

        Banking Secret and Automatic exchange of Information

        The Lebanese Banking Secrecy Law of September 3, 1956 was a key aspect in the expansion of the sector. Bank secrecy is applied to any bank operating in Lebanon, local or foreign, and prohibits the disclosure of any details or information about any account or accountholder. For long time this law has increased confidence in Lebanese banking together with the amount of foreign capital coming into the country.

        Before the last economic and financial global shocks, the veil of banking secrecy could be lifted only with prior approval of the accountholder, in case of bankruptcy; for the exchange of information between banks about indebted accounts; and in case of legal actions between a bank and a client or illicit enrichment.

        Nowadays, banking secrecy does not apply to US citizens because of the Foreign Account Tax Compliance Act (FATCA) that requires foreign banks to report American accountholders to the tax authority of the US. Even though Lebanon has not agreed to be FATCA compliant as a whole, individual Lebanon banks have agreed to comply.

        Moreover, in 2016 Lebanon joined the Global Forum on Transparency and the Automatic Exchange of Information (AEOI) for tax purposes, committing to implement a series of regulatory reforms to better comply with the Common Reporting Standards of OECD.

        Consequently, if the requested information is protected under the Banking Secrecy Law of 1956, the request will be forwarded to the Special Investigation Commission (SIC) at the Central Bank with an opinion from the Ministry of Finance for review before it can be disclosed to the foreign tax authority based on an information exchange agreement.

        The regulatory framework and supervision of the banking sector is already in compliance with international standards, such as Basel I, II, and III. Abiding by these laws does not eliminate banking secrecy. New regulations just aim to provide a more effective tool to counter the fight against tax evasion and to track suspicious operations for money laundering purposes, or self-laundering, based on tax offenses.

        According to the AEOI, starting from September 2018 Lebanese Tax Authority will exchange information automatically on non-residents, and will have access to information on residents who hold assets abroad. No issues for Lebanese residents.

        The new legislation will impact: banks, brokers, trusts, fiduciaries, insurance companies, although only for a few products, and certain collective investment funds.

        Corporate Governance

        As part of the strategy to integrate Lebanon further into the international community and the global economy, corporate governance in banks is necessary to guarantee fairness, transparency and accountability.

        It is mandatory for banks while optional for other companies. In fact, an innovation took place in the banking sector on July 26, 2006 when the Governor of the Lebanese Central Bank enacted the Basic Decision No. 9382 to order to comply with the banking rules instituted by the Basel Committee.

        Account freedom and flexibility

        Lebanese banks are known for being open to foreign investors and have branches worldwide. Foreign individuals or companies can easily open a bank account in Lebanon in any currency and benefit from all banking advantages offered to Lebanese citizens. Further, amounts deposited in Lebanon are exempt from taxes and the interest received is subject to a tax rate of 5-percent.

        The author of this post is Claudia Caluori.

        From 18 January 2017, the new European Regulation 655/2014 establishing a European Account Preservation Order procedure to facilitate cross-border debt recovery in civil and commercial matters will enter into force.

        The Regulation foresees in a procedure to seize bank accounts of your debtor in other EU Member States (except when your debtor is domiciled in United Kingdom or Denmark), without that the debtor is notified hereof. The debtor will only notice once the seizure is into force.

        Such cross-border seizure can be obtained before the Courts of an EU Member State who would have jurisdiction on the merits of the case under the EU Regulation 1215/2012 (Brussels I bis).

        The seizure can be requested before, during or even after the procedure on the merits of the case. The request has to be filed using a standard document.

        To grant the request, the Court will have to examine 1) if there is urgency (periculum in mora) and 2) if there is on basis of the provided evidence enough reason to assume the Court will also decide in favor of the creditor in the proceedings concerning the merits of the case (fumus boni iuris). Although these principles are not unknown to national legislation, both will have to await the autonomous interpretation by the European Court of Justice.

        The new EU Regulation 655/2014 is however not created to bully any unwilling debtor by filing preservation order after preservation order. The Regulation foresees 2 mechanisms to avoid such practices:

        • According to art. 12, the creditor can be required to provide a security when he has not obtained any judgment in favor yet;
        • The creditor will also receive a fixed delay in which he has to undertake a proceedings about the merits of the case.

        The new European Regulation 665/2014 also foresees a mechanism where a creditor can request information about his debtor’s bank account(s) in a certain Member State. 

        Not unimportant, as the creditor needs to indicate the bank account number in his request for a transnational seizure (under Belgian national law, the indication of the name of the Bank would already be sufficient).

        Art. 14 of the Regulation now foresees what one could call a bank account disclosure mechanism:

        “Request for the obtaining of account information

        Where the creditor has obtained in a Member State an enforceable judgment, court settlement or authentic instrument which requires the debtor to pay the creditor’s claim and the creditor has reasons to believe that the debtor holds one or more accounts with a bank in a specific Member State, but knows neither the name and/or address of the bank nor the IBAN, BIC or another bank number allowing the bank to be identified, he may request the court with which the application for the Preservation Order is lodged to request that the information authority of the Member State of enforcement obtain the information necessary to allow the bank or banks and the debtor’s account or accounts to be identified”.

        In a few Member States (including Belgium), such disclosure mechanism is completely new.  The Regulation leaves it up to the Member States how they will organize this new disclosure, by giving a few examples:

        “Each Member State shall make available in its national law at least one of the following methods of obtaining the information referred to in paragraph 1:

        (a) an obligation on all banks in its territory to disclose, upon request by the information authority, whether the debtor holds an account with them;

        (b) access for the information authority to the relevant information where that information is held by public authorities or administrations in registers or otherwise;

        (c) the possibility for its courts to oblige the debtor to disclose with which bank or banks in its territory he holds one or more accounts where such an obligation is accompanied by an in personam order by the court prohibiting the withdrawal or transfer by him of funds held in his account or accounts up to the amount to be preserved by the Preservation Order; or

        (d) any other methods which are effective and efficient for the purposes of obtaining the relevant information, provided that they are not disproportionately costly or time-consuming.

        Does this mean any creditor can just run to the Court and ask information?

        No, some conditions apply:

        • the creditor needs to be in possession of an enforceable judgment;
        • there need to be reasons to believe the debtor holds bank accounts in this Member State.

        Conclusion: it will be interesting to see how the Member States will apply this new mechanism.  Whether it will be effective, will also depend on the interpretation of ‘reasons to believe the debtor holds bank accounts in this Member State’.  This will probably be the key to the question if this will end the Pyrrhus decisions, where a creditor is accorded his claim but cannot find assets to seize.

        The author of this post is David Diris.

        Anton Molchanov

        Aree di attività

        • Diritto agrario
        • Diritto societario
        • Recupero credito
        • Titoli e strumenti finanziari
        • Fallimentare
        Contatta Anton

        Scrivi a Anton





          Leggi la privacy policy di Legalmondo.
          Questo sito è protetto da reCAPTCHA e si applicano le Norme sulla privacy e i Termini di servizio di Google.

          The Lebanese Banking Sector

          12 Aprile 2017

          • Libano
          • Bancario
          • Diritto societario

          The increase in so-called cybercrime in recent years is so significant that it requires strong legislative and judicial responses. Losses from online fraud in Europe exceed $100 billion, according to Nasdaq Ventures, of which $5 billion correspond to Spain.

          In Spain, 192,375 cases of computer fraud were reported in 2019, but by 2023 this figure had risen to 427,448. According to the latest official data available, computer fraud accounts for 90.4% of all cybercrimes, with growth of 378% between 2016 and 2023.

          There are many different types of computer fraud, and they are named in English (after all, the lingua franca of our time), including, among other ingenious methods used by skilled fraudsters, those with curious and amusing names (except for those who suffer from them) such as phishing, pharming, juice jacking, tabnabbing, bluesnarfing, catfishing, spoofing, vishing, smishing, whaling, carding, and the one we are interested in today, man in the middle (MITM).

          Man in the Middle scam: how it works

          This MITM fraud involves intercepting communications between two devices connected to a network, allowing the attacker to alter and divert messages exchanged between users. The fraudster intercepts a communication in which one user requests a payment from another and then modifies the IBAN of the bank account to which the transfer should be made in order to obtain the money. The process generally unfolds as follows:

          • Without the company noticing, an attacker intercepts and manipulates an email, changing the IBAN number of the account to which the payment should be made.
          • The cybercriminal impersonates the supplier, sending the message from an email address that is almost identical to the original, but with a slight alteration that is almost imperceptible.
          • The receiving company, trusting the authenticity of the message, makes the transfer to the fraudulent account.

           

          This results in a transfer of assets to the detriment of the person ordering the transfer and in favor of the cyber thief, so that when the person ordering the transfer notices the error, their first reaction is to try to contact the receiving bank in the hope that the funds can be blocked in time. However, in most cases, the cybercriminal has been quicker: the money has already been transferred to another account or withdrawn, leaving little room for maneuvering, except for the initiation of legal proceedings, which we will discuss below.

          The immediate question is what responsibility the bank that has received the transfer order from the deceived user and credits the cyber fraudster’s account with the amount in question has in cases where the payer identifies not only the (fraudulent) IBAN but also the name of the beneficiary of the payment order, which obviously does not match the name of the holder of the bank account receiving the funds.

          The common-sense answer would be that the bank receiving the transfer should confirm that the holder of the account to which the funds are credited and the individual or entity identified as the beneficiary in the transfer order match; if this is not the case, it should suspend the payment and request clarification from the payer. However, this is not the case in light of EU legislation and its transposition into Spanish law, as we will see below.

          Until October 9, the European banking system operated under the premise that the validity of a transfer was based exclusively on the correctness of the IBAN. In other words, if the account number was correct, the transaction was considered valid, even if the beneficiary’s name did not match. This practice has led to numerous cases of fraud, unintentional errors, and loss of funds, especially in instant transfers, where speed can compromise security.

          The most reasonable option for the defrauded payer to recover their money is to sue the bank receiving the payment order (with which they have no contractual relationship) for non-contractual liability under Article 1124 of the Civil Code; in fact, criminal proceedings against the account holder, who is usually referred to in slang as a “mule,” do not usually have a satisfactory outcome, both because the bird usually flies away and because of its lack of solvency.

          The case law of the Provincial Courts has been divided between rulings that strictly and faithfully applied Article 59 of Royal Decree-Law 19/2018 of November 23, on payment services and other urgent financial measures, dismissing the claims of those defrauded, and others in which arguments were sought under the premise of lack of diligence to condemn the bank to compensate the payer.

          This has led to the establishment of quasi-objective liability for banks in relation to digital fraud, imposing a higher standard of diligence on them and transferring the risk inherent in online banking to them, except in cases of willful misconduct or gross negligence on the part of the customer. This line of reasoning, which has been developed from lower court rulings (AP Madrid 178/2015; AP Alicante 107/2018; AP Valencia 212/2021) to the Supreme Court itself (STS 571/2025, among others), is in line with the idea that it is up to the bank to prove that its systems were secure, up to date, and sufficient to prevent the crime from being committed.

          In this context, the concept of bonus argentarius takes on renewed relevance. This is a principle that was included in Law 57/68 to protect home buyers in the real estate sector, but the Supreme Court has ruled on several occasions that it can also be applied to other financial investments. This means that, in the event of losses due to negligence on the part of the financial institution, the customer can file a claim under Law 57/68 and hold the institution liable.

          The bonus argentarius is based on the presumption of fault on the part of the financial institution, which means that even if the customer has no concrete evidence of negligence, it is assumed due to the duty of care that the institution must exercise in the management of investments.

          Based on this principle, the diligence required of financial professionals is not that of the average trader or pater familias, but that of a qualified expert who assumes the obligation to protect the funds entrusted to them by implementing “necessary and renewable” security mechanisms. This implies not only maintaining basic technical measures for enhanced authentication, but also proactively adopting internationally recognized anti-fraud solutions, such as name-IBAN verification (Confirmation of Payee or IBAN-Naam Check), which have proven effective in comparable jurisdictions.

          In line with that doctrine and case law, it can be said that the omission of beneficiary verification measures today constitutes a breach of the contractual duty of diligence and good faith (Articles 1104 and 1258 of the Civil Code), giving rise to civil liability for the damage caused, such that MITM fraud cannot be considered a residual risk attributable to the customer, but rather a systemic security failure attributable to the financial institution, as the designer and custodian of the electronic payment channel.

          In this state of affairs, the Supreme Court, in its recent ruling of March 27, 2025, opted for the alternative of strict application of Article 59, arguing that “if the payment service user provides additional information to that required (specification of the information or unique identifier that the payment service user must provide for the correct initiation or execution of a payment order), the payment service provider shall only be liable for the execution of payment transactions in accordance with the unique identifier provided by the payment service user… and that the liability of the payment service provider, both at Community and national level, is such that it fulfills its obligation by executing the payment transaction in accordance with the unique identifier, without the addition of further information implying a higher standard of diligence

          It is true that, in conclusion, the Supreme Court offered a glimmer of hope to defrauded users when it stated that “the interpretation set out above does not exempt the payment service provider from liability when circumstances, unrelated to the provision of additional data, are found to have contributed to the defective execution of the transaction, either because an additional requirement or demand (e.g., the identification of the beneficiary), or because the payment service provider of the payer or the beneficiary had taken advantage of the error for their own benefit, or because, once the existence of the error had been communicated without delay, one or the other had not taken the measures required by the diligence of an expert trader to allow retroaction or, where appropriate, to minimize the damage.”

          Regulation (EU) 2024/886: a paradigm shift

          And in this scenario fraught with doubts, Regulation (EU) 2024/886 bursts onto the scene, representing a 180-degree turn and a paradigm shift: the new European Regulation, approved in April 2024 and coming into force on October 9, 2025, establishes a clear obligation for banks: they must verify that the name of the beneficiary provided by the payer matches the IBAN holder before executing an immediate transfer in euros.

          The new features of this regulation are

          • mandatory application to all instant transfers within the SEPA area,
          • the new name matching system: if there is a discrepancy between the name and the IBAN, the bank must alert the customer before executing the transaction, and
          • increased liability for financial institutions in the event of fraud or error due to lack of verification.

          In short, the aim is to reduce the risk of fraud, protect consumers, and increase confidence in digital payments.

          This means that Law 19/2018, which regulates payment services in Spain and does not require verification of the beneficiary’s identity, is now outdated, underscoring the need for a national legislative review to harmonize the legal framework with European requirements.

          In conclusion, the obligation to verify the beneficiary of transfers represents a significant step forward in consumer protection and the fight against financial fraud. Regulation (EU) 2024/886 marks a turning point in banking operations, imposing an active responsibility on institutions to ensure the authenticity of transfers.

          In any case, the question remains open regarding the solution to MITM frauds executed before October 9, 2025, and the responsibility of the banking institution. For the time being, the aforementioned Supreme Court ruling of March 27 closes the door to claims against banks, but it cannot be ruled out that the entry into force of Regulation 2024/886 and the paradigm shift will lead to a rethinking of the Supreme Court’s position in line with the quasi-objective liability that lower courts have been maintaining. We will have to wait and see, but such a change would be a great success for bank users who have suffered from this MITM fraud and all other types of cyber fraud.

          Riassunto: Nell’era digitale, le frodi aziendali hanno assunto nuove e insidiose forme. Una di queste mette nel mirino i gruppi multinazionali: si tratta della c.d. “CEO Fraud”. Questo tipo di truffa si basa sull’uso fraudolento dell’identità di figure apicali aziendali, come CEO o Presidenti del consiglio di amministrazione. Il modus operandi è subdolo: i truffatori si spacciano per il CEO o un alto dirigente del Gruppo multinazionale e contattano direttamente i Chief Financial Officers (CFO) delle filiali o controllate, simulando un’inesistente operazione di investimento riservata per indurli a eseguire bonifici urgenti verso conti correnti esteri.

          Contesto e Dinamiche della CEO Fraud

          La CEO Fraud è una forma di truffa in cui i criminali impersonano figure dirigenziali di alto livello per ingannare i dipendenti, solitamente i CFO, inducendoli a trasferire fondi in conti bancari controllati dai truffatori. La scelta di utilizzare le identità di figure apicali come i CEO risiede nella loro autorità percepita e nella capacità di ordinare pagamenti anche ingenti, richiesti con urgenza e con l’indicazione della massima riservatezza, senza sollevare sospetti immediati.

          I truffatori adottano vari strumenti di comunicazione per rendere credibili i loro tentativi di frode: in punto di partenza è solitamente un data breach, che consente ai criminali di accedere ai dati di contatto del CEO o del CFO (email, numero di telefono fisso, numero di cellulare, account whatsapp o social media) o di altre persone all’interno dell’ufficio amministrativo dotate di poteri dispositivi e operativi sui conti correnti bancari.

          A volte per la conoscenza di queste informazioni non è neppure necessario un accesso illegittimo ai sistemi informatici aziendali, perché i soggetti destinatari della truffa rendono spontaneamente pubbliche queste informazioni, ad esempio indicandole sul proprio profilo sul sito web aziendale oppure mostrando pubblicamente i contatti sui profili nei social media (account linkedin, Facebook, etc.) o ancora su presentazioni, biglietti da visita e brochure aziendali nel contesto di incontri pubblici.

          Altre volte ancora, non è nemmeno necessario per i truffatori appropriarsi di tutti i dati del CEO che vogliono impersonare, ma solo di quelli del destinatario, per poi dichiarare che si sta utilizzando un account personale con numero o indirizzo mail diversi da quelli abitualmente riconducibili al vero CEO.

          I contatti vengono tipicamente presi come segue:

          • WhatsApp e SMS: L’uso di messaggi permette una comunicazione immediata e personale, spesso percepita come legittima dai destinatari. Il falso CEO invia un messaggio al CFO utilizzando un numero di cellulare del paese in cui ha sede la capogruppo (ad esempio +34 nel caso della Spagna), scrivendo che si tratta del suo numero di telefono personale e utilizzando nel profilo whatsapp una foto ritratto del vero CEO, il che rafforza la percezione che si tratti del suo numero personale.
          • Telefonate: dopo il primo contatto via messaggio, segue spesso una telefonata, che può essere direttamente quella del falso CEO oppure di un sedicente avvocato o consulente incaricato dal CEO di dare al CFO le informazioni necessarie sulla falsa operazione di investimento in corso e le istruzioni per procedere al pagamento urgente.
          • Email: in alternativa o in aggiunta a messaggi e telefonate le comunicazioni possono anche passare attraverso email, spesso indistinguibili da quelle autentiche, nelle quali vengono scrupolosamente replicati i formati di testo, i loghi aziendali, le firme, etc.

          Ciò è possibile tramite diverse tecniche di email spoofing in cui l’indirizzo email del mittente viene modificato per apparire come se l’email fosse inviata dal legittimo titolare. In pratica, è come se qualcuno inviasse una lettera postale mettendo un indirizzo diverso sul retro della busta per mascherare la vera origine della missiva. Nel nostro caso, questo significa che il CFO riceve un’email che – a prima vista – sembra provenire dal CEO e non dal truffatore.

          Non possiamo poi escludere che i truffatori approfittino di falle nella sicurezza dei sistemi aziendali, ad esempio accedendo direttamente alle chat interne all’organizzazione.

          Inoltre, la sempre maggiore diffusione di strumenti per il morphing (ossia per la creazione di immagini con sembianze umane riconducibili a persone reali) potrà rendere ancora più difficile lo smascheramento del truffatore: ai messaggi e alle telefonate potremmo infatti aggiungere messaggi video o addirittura video conferenze apparentemente tenute dal vero CEO.

          La (falsa) operazione di acquisizione di una società concorrente in Europa

          Vediamo un esempio realmente accaduto di CEO Fraud, per illustrare le modalità pratiche con cui vengono organizzate queste frodi.

          I truffatori creano un falso profilo whatsapp del sedicente CEO di un gruppo multinazionale con sede in Spagna, che utilizza un numero telefonico spagnolo e riproduce la foto profilo nell’autentico CEO.

          Tramite il falso account viene mandato un messaggio al CFO di una controllata in Italia, nel quale si comunica che è in corso una operazione riservata di investimento per acquisire una società in Portogallo. A tal fine si renderà necessario procedere, il giorno seguente, ad un bonifico di un’importante somma a favore di una società portoghese, presso una banca locale.

          Il messaggio sottolinea l’importanza che l’operazione venga mantenuta strettamente riservata, motivo per cui il CFO non può rivelare la richiesta di pagamento a nessuno: prima di procedere con il pagamento viene addirittura trasmesso via email un accordo di riservatezza da parte di un (finto) studio legale, che il CFO viene convinto a firmare e a restituire al fantomatico avvocato incaricato dell’operazione.

          Di seguito vengono inviate via mail al CFO le istruzioni per procedere al bonifico, con cui si sottolinea ancora l’importanza che il pagamento venga fatto il giorno stesso, in via urgente.

          Il giorno dopo aver disposto il bonifico, non ricevendo più notizie dal falso CEO, il CFO provvede a contattarlo presso il suo numero di telefono aziendale e scopre la truffa: a quel punto, però, è troppo tardi perché le somme sono state già trasferite dai criminali presso uno o più conti correnti su banche estere, rendendo molto difficile, se non impossibile, rintracciare i fondi.

          Le principali caratteristiche della CEO fraud

          • Eccesso di fiducia: il CFO può essere facilmente indotto a credere nella veridicità dei numeri di telefono o degli indirizzi mail tramite tecniche informatiche; addirittura, talvolta i truffatori sono talmente abili da riuscire a convincere il CFO ad agire anche utilizzando numeri diversi o servendosi di fantomatici consulenti mai incontrati prima.
          • Persuasione: il fatto che i truffatori impersonino figure apicali e facciano sentire il CFO investito di incarichi importanti genera nella vittima il desiderio di compiacere i superiori e di abbassare la guardia.
          • Pressione: i truffatori instillano nel CFO un grande senso di urgenza, chiedendo pagamenti in tempi estremamente rapidi e intimando la segretezza sull’operazione; questo induce la vittima ad agire senza pensare, cercando di essere il più efficiente possibile.
          • Rapidità: è bene sapere che una richiesta di un bonifico urgente non può essere revocata, o può essere ritirata tramite recall solo in tempi estremamente stretti; i truffatori ne approfittano per intascare le somme presso banche non troppo scrupolose o per spostarle altrove, al massimo nel giro di qualche giorno.

          Come prevenire queste truffe

          Gli schemi di CEO Fraud possono essere molto sofisticati, ma presentano spesso segnali che, se riconosciuti, possono fermare una truffa prima che causi danni irreparabili.

          Gli indizi principali sono le modalità atipiche di contatto (whatsapp, telefonate, email da account personali del falso CEO), la richiesta di massima riservatezza sull’operazione, l’urgenza con la quale si richiede il pagamento di grandi somme, il fatto che il bonifico debba essere fatto su banche all’estero, il coinvolgimento di società o soggetti mai menzionati in precedenza. Per prevenire truffe come quella della CEO Fraud, la formazione aziendale dei dipendenti su come riconoscere e rispondere alle truffe è cruciale; è poi fondamentale predisporre solide procedure di sicurezza interna.

          • In primo luogo, una precauzione importante e di base è quella di adottare sistemi di verifica che analizzano i messaggi di posta elettronica alla ricerca di eventuali virus e segnalano la provenienza dell’email da un account esterno all’organizzazione aziendale.
          • In secondo luogo, è fondamentale che le aziende implementino chiari processi per i pagamenti verso terzi, soprattutto se le modalità sono diverse dall’operatività standard della società, ad esempio prevedendo limiti di valore ai poteri di disposizione sull’operatività dei conti correnti, oltre i quali è necessaria la doppia firma con un altro amministratore.
          • In ultimo, e in generale, è bene adottare tutte le norme di buon senso e diligenza nell’analisi del caso. Meglio fare una verifica interna in più, piuttosto che una in meno; ad esempio, in caso di una richiesta particolarmente realistica ma comunque insolita, inoltrare lo scambio con il presunto truffatore all’indirizzo che riteniamo reale e chiedere ulteriori conferme nella mail di forward, anziché rispondendo direttamente nel loop via mail, consente di capire se il mittente è fasullo.

          Le azioni legali per il recupero dei fondi

          Dopo la scoperta di una CEO Fraud, è cruciale agire rapidamente per aumentare le possibilità di recuperare i fondi persi e perseguire legalmente i responsabili.

          Azioni Legali Possibili

          Una pronta comunicazione all’istituto bancario dell’ordinante per il congelamento dei fondi presso la banca beneficiaria, oltre ad una tempestiva denuncia-querela in Italia anche una denuncia nel paese in cui ha sede la banca destinataria del pagamento sono passi immediati che possono aiutare a contenere i danni e ad iniziare il processo di recupero.

          In molti paesi, infatti, lo schema del CEO Fraud è ben noto ed esistono unità di polizia giudiziaria specializzate che hanno gli strumenti per muoversi in maniera tempestiva a seguito della segnalazione del reato.

          Le indagini penali nel paese di destinazione del pagamento consentono anche di verificare che siano i titolari del conto corrente e le persone coinvolte nel tentativo di truffa, in alcuni casi giungendo all’arresto dei responsabili.

          Dopo aver tentato di ottenere il blocco del bonifico o dei fondi, si potrà poi valutare quale sia stato il comportamento degli istituti bancari coinvolti nella vicenda, in particolare per verificare se la banca beneficiaria abbia adempiuto in maniera corretta agli obblighi imposti dalla normativa in materia di antiriciclaggio, che impongono precisi obblighi di verifica della clientela e dell’origine dei fondi.

          Conclusioni

          La CEO Fraud è una minaccia significativa per le aziende di ogni dimensione e settore, resa possibile e amplificata dalle tecnologie moderne e dalla globalizzazione dei mercati finanziari. Le aziende devono rimanere vigili e proattive, aggiornando continuamente le loro procedure di sicurezza per tenere il passo con le tecniche in evoluzione dei truffatori.

          L’investimento in formazione, tecnologia e consulenza non è solo una misura di protezione, ma una necessità strategica per l’operatività dell’impresa.

          Nel caso in cui la truffa colpisca l’azienda, in infine, è fondamentale attivarsi in maniera tempestiva per cercare di bloccare i fondi prima che siano spostati su conti correnti in altri paesi e quindi resi irrintracciabili.

          Riassunto

          La riforma della Legge Fallimentare Brasiliana introduce importanti cambiamenti sia nelle procedure di risanamento che nelle misure di liquidazione.

          In occasione del 15° anniversario della Legge Fallimentare Brasiliana è stata promulgata un’importante novella, frutto di necessità emerse nel corso della sua applicazione: la Legge Fallimentare, infatti, è spesso stata messa alla prova e le esperienze pratiche hanno dimostrato che alcuni strumenti necessitavano di aggiustamenti, mentre altri richiedevano un cambiamento completo.

          L’obiettivo di questo articolo è quello di elencare le cinque novità più rilevanti.

          #5 – Piano di risanamento presentato dai creditori

          Prima della riforma: la formazione del piano di risanamento era di esclusiva competenza del debitore. Se la maggioranza dell’assemblea dei creditori avesse deciso di respingere il piano, la conseguenza automatica sarebbe stata la conversione in fallimento (liquidazione).

          Ora: in casi come questo, i creditori hanno il diritto di presentare un piano di risanamento giudiziale alternativo. Di conseguenza, i creditori assumono un ruolo più rilevante nella ristrutturazione aziendale.

          #4 – Mediazione incentrata sulla ristrutturazione

          La mediazione è ora incoraggiata nei processi di risanamento giudiziale in corso, in modo che i creditori e i debitori possano trovare una via d’uscita per superare la crisi.

          La novità più importante è la mediazione anticipata, il cui obiettivo è evitare di entrare nella procedura di risanamento e la liquidazione. In questa procedura, il debitore convoca i creditori per una negoziazione mediata e questi ultimi possono chiedere al giudice un ordine di sospensione delle misure esecutive.

          #3 – Operazioni su cespiti oggetto di procedure fallimentari

          L’alienazione dei cespiti del debitore è oggi semplificata sia nel risanamento giudiziale che nel fallimento. Soprattutto nel fallimento – in cui è essenziale ottimizzare la valorizzazione dei cespiti – la legge autorizza la vendita anticipata, l’aggiudicazione da parte dei creditori e persino la donazione di cespiti che i creditori non sono interessati ad acquisire.

          Inoltre, le acquisizioni di attività in difficoltà e le operazioni di fusione e acquisizione sono ora più sicure, grazie a una disposizione legislativa più chiara che prevede uno scudo di responsabilità a favore dell’acquirente.

          #2 – Finanziamento del debitore in possesso (DIP)

          La mancanza di incentivi a finanziare il debitore sottoposto a risanamento giudiziale è sempre stata motivo di critica da parte degli stakeholder. In assenza di disposizioni di legge, i potenziali finanziatori potrebbero essere diffidenti rispetto ai rischi dell’operazione e alla mancanza di chiari vantaggi per compensare il rischio.

          Le critiche sono state affrontate con il riconoscimento giuridico del finanziamento del debitore durante il risanamento giudiziale. Questo tipo di finanziamento è noto come Debtor-in-Possession (DIP) Financing.

          Il debitore è autorizzato, tramite autorizzazione giudiziale, a stipulare contratti di finanziamento per pagare il mantenimento delle sue attività e dei suoi beni, nonché per rispondere delle spese di ristrutturazione.

          A garanzia del finanziamento, il debitore può offrire beni e diritti propri o di terzi, anche se appartenenti ad attività non correnti, cioè non originariamente destinate alla vendita, ma che servono alla struttura aziendale (ad esempio, macchinari).

          #1 – Insolvenza transfrontaliera

          La legge brasiliana ha finalmente incorporato la Model Law on Cross-Border Insolvency dell’Uncitral. Un mondo integrato e pieno di aziende globali impone di prevedere norme specifiche sull’insolvenza transfrontaliera, finora inesistenti, per eliminare l’insicurezza sulla portata delle procedure straniere per i creditori brasiliani e sugli effetti delle procedure brasiliane per i creditori stranieri.

          Ora abbiamo un nuovo panorama, con la possibilità che le procedure all’estero abbiano effetti in Brasile e che le procedure brasiliane raggiungano gli stranieri.

          Viene trattata in modo dettagliato la partecipazione degli stranieri in Brasile e la cooperazione internazionale tra giudici e altre autorità per mettere in moto i principi fondamentali che regolano l’intero sistema di insolvenza, ovvero il miglioramento della certezza del diritto, la gestione efficiente dei processi, la valorizzazione degli asset, la conservazione dell’azienda e l’ottimizzazione della liquidazione degli asset.

          Queste sono le cinque principali novità, in sintesi. Se siete interessati a saperne di più su uno di questi argomenti o se volete rimanere aggiornati sull’insolvenza – ristrutturazione in Brasile, contattateci.

          On 6 January 2022 Ukraine finally cancelled almost a two-year long moratorium for the creditor-trigged insolvencies. The moratorium was imposed in the late spring 2020 as a part of the nation’ response to first wave of COVID pandemic.

          In a nutshell, the moratorium prohibited creditors from requesting insolvency action against those debtors whose obligations matured after 12 March 2020. A separate set of measures also lifted an early warning duty obliging directors of the companies in distress to file for insolvency within one month from a moment when the distress appeared.

          The moratorium was heavily criticized by both domestic and international creditors, who legitimately blamed it for a non-selective approach.

          As further 2021 statistic shown, the moratorium never seemed to reach a goal proclaimed by it authors and made no increase for insolvency relief requests by the debtor companies.

          Instead, the country has been facing a steady increase in “zombie” companies having little to none liquidation value – and their owners clearly intending to get away with no creditor repayment.

          With the moratorium being lifted off the creditors do expect to show no mercy to their Ukrainian debtors. This particularly worries those debtors potentially involved in wrongful trade or fraudulent action. Even with the moratorium in place in 2021 Ukrainian courts confirmed more than UAH 150 mln in creditors loss to be paid by the insolvent companies’ management and owners themselves. This number is expected to triple in 2022 – and there already were Supreme Court’s 2021 judgements confirming liability of the real owners standing behind opaque shareholder company and nominal directors.

          As the creditors’ agitation grows, so do the debtor company owners’ concerns. As the owners\management liability process is extremely bespoke and often requires swift action, it is of crucial importance to get a throughout legal advise on either side – and much better to do that before the actual claim has been brought.

          Lebanon’s secure banking sector plays an important role in the country’s stability and economic status. High liquidity and compliance with all international regulatory standards make it one of the most profitable in the region.

          Stability

          The Lebanese banking sector owes its solidity primarily to the stringent policies applied by the Lebanese Central Bank (LCB). Efforts are constantly being made to fight money laundering and terrorism funding.

          The Lebanese diaspora also contributes to the stability through the flux of transfers and deposits of extraterritorial income. Compared with an estimated population of 4.9 million inhabitants, about 16 million Lebanese live abroad, largely engaged in trade and finance, and mainly concentrated in South America.

          The banking sector’s stability is also bolstered by the currency exchange rate, which has been stable since 1997, when the Lebanese Pound (LBP) was pegged to the United States Dollar (USD) at a rate of 1507.5 LBP to the USD.

          Banking Secret and Automatic exchange of Information

          The Lebanese Banking Secrecy Law of September 3, 1956 was a key aspect in the expansion of the sector. Bank secrecy is applied to any bank operating in Lebanon, local or foreign, and prohibits the disclosure of any details or information about any account or accountholder. For long time this law has increased confidence in Lebanese banking together with the amount of foreign capital coming into the country.

          Before the last economic and financial global shocks, the veil of banking secrecy could be lifted only with prior approval of the accountholder, in case of bankruptcy; for the exchange of information between banks about indebted accounts; and in case of legal actions between a bank and a client or illicit enrichment.

          Nowadays, banking secrecy does not apply to US citizens because of the Foreign Account Tax Compliance Act (FATCA) that requires foreign banks to report American accountholders to the tax authority of the US. Even though Lebanon has not agreed to be FATCA compliant as a whole, individual Lebanon banks have agreed to comply.

          Moreover, in 2016 Lebanon joined the Global Forum on Transparency and the Automatic Exchange of Information (AEOI) for tax purposes, committing to implement a series of regulatory reforms to better comply with the Common Reporting Standards of OECD.

          Consequently, if the requested information is protected under the Banking Secrecy Law of 1956, the request will be forwarded to the Special Investigation Commission (SIC) at the Central Bank with an opinion from the Ministry of Finance for review before it can be disclosed to the foreign tax authority based on an information exchange agreement.

          The regulatory framework and supervision of the banking sector is already in compliance with international standards, such as Basel I, II, and III. Abiding by these laws does not eliminate banking secrecy. New regulations just aim to provide a more effective tool to counter the fight against tax evasion and to track suspicious operations for money laundering purposes, or self-laundering, based on tax offenses.

          According to the AEOI, starting from September 2018 Lebanese Tax Authority will exchange information automatically on non-residents, and will have access to information on residents who hold assets abroad. No issues for Lebanese residents.

          The new legislation will impact: banks, brokers, trusts, fiduciaries, insurance companies, although only for a few products, and certain collective investment funds.

          Corporate Governance

          As part of the strategy to integrate Lebanon further into the international community and the global economy, corporate governance in banks is necessary to guarantee fairness, transparency and accountability.

          It is mandatory for banks while optional for other companies. In fact, an innovation took place in the banking sector on July 26, 2006 when the Governor of the Lebanese Central Bank enacted the Basic Decision No. 9382 to order to comply with the banking rules instituted by the Basel Committee.

          Account freedom and flexibility

          Lebanese banks are known for being open to foreign investors and have branches worldwide. Foreign individuals or companies can easily open a bank account in Lebanon in any currency and benefit from all banking advantages offered to Lebanese citizens. Further, amounts deposited in Lebanon are exempt from taxes and the interest received is subject to a tax rate of 5-percent.

          The author of this post is Claudia Caluori.

          From 18 January 2017, the new European Regulation 655/2014 establishing a European Account Preservation Order procedure to facilitate cross-border debt recovery in civil and commercial matters will enter into force.

          The Regulation foresees in a procedure to seize bank accounts of your debtor in other EU Member States (except when your debtor is domiciled in United Kingdom or Denmark), without that the debtor is notified hereof. The debtor will only notice once the seizure is into force.

          Such cross-border seizure can be obtained before the Courts of an EU Member State who would have jurisdiction on the merits of the case under the EU Regulation 1215/2012 (Brussels I bis).

          The seizure can be requested before, during or even after the procedure on the merits of the case. The request has to be filed using a standard document.

          To grant the request, the Court will have to examine 1) if there is urgency (periculum in mora) and 2) if there is on basis of the provided evidence enough reason to assume the Court will also decide in favor of the creditor in the proceedings concerning the merits of the case (fumus boni iuris). Although these principles are not unknown to national legislation, both will have to await the autonomous interpretation by the European Court of Justice.

          The new EU Regulation 655/2014 is however not created to bully any unwilling debtor by filing preservation order after preservation order. The Regulation foresees 2 mechanisms to avoid such practices:

          • According to art. 12, the creditor can be required to provide a security when he has not obtained any judgment in favor yet;
          • The creditor will also receive a fixed delay in which he has to undertake a proceedings about the merits of the case.

          The new European Regulation 665/2014 also foresees a mechanism where a creditor can request information about his debtor’s bank account(s) in a certain Member State. 

          Not unimportant, as the creditor needs to indicate the bank account number in his request for a transnational seizure (under Belgian national law, the indication of the name of the Bank would already be sufficient).

          Art. 14 of the Regulation now foresees what one could call a bank account disclosure mechanism:

          “Request for the obtaining of account information

          Where the creditor has obtained in a Member State an enforceable judgment, court settlement or authentic instrument which requires the debtor to pay the creditor’s claim and the creditor has reasons to believe that the debtor holds one or more accounts with a bank in a specific Member State, but knows neither the name and/or address of the bank nor the IBAN, BIC or another bank number allowing the bank to be identified, he may request the court with which the application for the Preservation Order is lodged to request that the information authority of the Member State of enforcement obtain the information necessary to allow the bank or banks and the debtor’s account or accounts to be identified”.

          In a few Member States (including Belgium), such disclosure mechanism is completely new.  The Regulation leaves it up to the Member States how they will organize this new disclosure, by giving a few examples:

          “Each Member State shall make available in its national law at least one of the following methods of obtaining the information referred to in paragraph 1:

          (a) an obligation on all banks in its territory to disclose, upon request by the information authority, whether the debtor holds an account with them;

          (b) access for the information authority to the relevant information where that information is held by public authorities or administrations in registers or otherwise;

          (c) the possibility for its courts to oblige the debtor to disclose with which bank or banks in its territory he holds one or more accounts where such an obligation is accompanied by an in personam order by the court prohibiting the withdrawal or transfer by him of funds held in his account or accounts up to the amount to be preserved by the Preservation Order; or

          (d) any other methods which are effective and efficient for the purposes of obtaining the relevant information, provided that they are not disproportionately costly or time-consuming.

          Does this mean any creditor can just run to the Court and ask information?

          No, some conditions apply:

          • the creditor needs to be in possession of an enforceable judgment;
          • there need to be reasons to believe the debtor holds bank accounts in this Member State.

          Conclusion: it will be interesting to see how the Member States will apply this new mechanism.  Whether it will be effective, will also depend on the interpretation of ‘reasons to believe the debtor holds bank accounts in this Member State’.  This will probably be the key to the question if this will end the Pyrrhus decisions, where a creditor is accorded his claim but cannot find assets to seize.

          The author of this post is David Diris.

          The EU Regulation 655/2014 on transnational seizures on bank accounts

          21 Dicembre 2016

          • Europa
          • Bancario
          • Recupero Credito
          • Contenzioso

          The increase in so-called cybercrime in recent years is so significant that it requires strong legislative and judicial responses. Losses from online fraud in Europe exceed $100 billion, according to Nasdaq Ventures, of which $5 billion correspond to Spain.

          In Spain, 192,375 cases of computer fraud were reported in 2019, but by 2023 this figure had risen to 427,448. According to the latest official data available, computer fraud accounts for 90.4% of all cybercrimes, with growth of 378% between 2016 and 2023.

          There are many different types of computer fraud, and they are named in English (after all, the lingua franca of our time), including, among other ingenious methods used by skilled fraudsters, those with curious and amusing names (except for those who suffer from them) such as phishing, pharming, juice jacking, tabnabbing, bluesnarfing, catfishing, spoofing, vishing, smishing, whaling, carding, and the one we are interested in today, man in the middle (MITM).

          Man in the Middle scam: how it works

          This MITM fraud involves intercepting communications between two devices connected to a network, allowing the attacker to alter and divert messages exchanged between users. The fraudster intercepts a communication in which one user requests a payment from another and then modifies the IBAN of the bank account to which the transfer should be made in order to obtain the money. The process generally unfolds as follows:

          • Without the company noticing, an attacker intercepts and manipulates an email, changing the IBAN number of the account to which the payment should be made.
          • The cybercriminal impersonates the supplier, sending the message from an email address that is almost identical to the original, but with a slight alteration that is almost imperceptible.
          • The receiving company, trusting the authenticity of the message, makes the transfer to the fraudulent account.

           

          This results in a transfer of assets to the detriment of the person ordering the transfer and in favor of the cyber thief, so that when the person ordering the transfer notices the error, their first reaction is to try to contact the receiving bank in the hope that the funds can be blocked in time. However, in most cases, the cybercriminal has been quicker: the money has already been transferred to another account or withdrawn, leaving little room for maneuvering, except for the initiation of legal proceedings, which we will discuss below.

          The immediate question is what responsibility the bank that has received the transfer order from the deceived user and credits the cyber fraudster’s account with the amount in question has in cases where the payer identifies not only the (fraudulent) IBAN but also the name of the beneficiary of the payment order, which obviously does not match the name of the holder of the bank account receiving the funds.

          The common-sense answer would be that the bank receiving the transfer should confirm that the holder of the account to which the funds are credited and the individual or entity identified as the beneficiary in the transfer order match; if this is not the case, it should suspend the payment and request clarification from the payer. However, this is not the case in light of EU legislation and its transposition into Spanish law, as we will see below.

          Until October 9, the European banking system operated under the premise that the validity of a transfer was based exclusively on the correctness of the IBAN. In other words, if the account number was correct, the transaction was considered valid, even if the beneficiary’s name did not match. This practice has led to numerous cases of fraud, unintentional errors, and loss of funds, especially in instant transfers, where speed can compromise security.

          The most reasonable option for the defrauded payer to recover their money is to sue the bank receiving the payment order (with which they have no contractual relationship) for non-contractual liability under Article 1124 of the Civil Code; in fact, criminal proceedings against the account holder, who is usually referred to in slang as a “mule,” do not usually have a satisfactory outcome, both because the bird usually flies away and because of its lack of solvency.

          The case law of the Provincial Courts has been divided between rulings that strictly and faithfully applied Article 59 of Royal Decree-Law 19/2018 of November 23, on payment services and other urgent financial measures, dismissing the claims of those defrauded, and others in which arguments were sought under the premise of lack of diligence to condemn the bank to compensate the payer.

          This has led to the establishment of quasi-objective liability for banks in relation to digital fraud, imposing a higher standard of diligence on them and transferring the risk inherent in online banking to them, except in cases of willful misconduct or gross negligence on the part of the customer. This line of reasoning, which has been developed from lower court rulings (AP Madrid 178/2015; AP Alicante 107/2018; AP Valencia 212/2021) to the Supreme Court itself (STS 571/2025, among others), is in line with the idea that it is up to the bank to prove that its systems were secure, up to date, and sufficient to prevent the crime from being committed.

          In this context, the concept of bonus argentarius takes on renewed relevance. This is a principle that was included in Law 57/68 to protect home buyers in the real estate sector, but the Supreme Court has ruled on several occasions that it can also be applied to other financial investments. This means that, in the event of losses due to negligence on the part of the financial institution, the customer can file a claim under Law 57/68 and hold the institution liable.

          The bonus argentarius is based on the presumption of fault on the part of the financial institution, which means that even if the customer has no concrete evidence of negligence, it is assumed due to the duty of care that the institution must exercise in the management of investments.

          Based on this principle, the diligence required of financial professionals is not that of the average trader or pater familias, but that of a qualified expert who assumes the obligation to protect the funds entrusted to them by implementing “necessary and renewable” security mechanisms. This implies not only maintaining basic technical measures for enhanced authentication, but also proactively adopting internationally recognized anti-fraud solutions, such as name-IBAN verification (Confirmation of Payee or IBAN-Naam Check), which have proven effective in comparable jurisdictions.

          In line with that doctrine and case law, it can be said that the omission of beneficiary verification measures today constitutes a breach of the contractual duty of diligence and good faith (Articles 1104 and 1258 of the Civil Code), giving rise to civil liability for the damage caused, such that MITM fraud cannot be considered a residual risk attributable to the customer, but rather a systemic security failure attributable to the financial institution, as the designer and custodian of the electronic payment channel.

          In this state of affairs, the Supreme Court, in its recent ruling of March 27, 2025, opted for the alternative of strict application of Article 59, arguing that “if the payment service user provides additional information to that required (specification of the information or unique identifier that the payment service user must provide for the correct initiation or execution of a payment order), the payment service provider shall only be liable for the execution of payment transactions in accordance with the unique identifier provided by the payment service user… and that the liability of the payment service provider, both at Community and national level, is such that it fulfills its obligation by executing the payment transaction in accordance with the unique identifier, without the addition of further information implying a higher standard of diligence

          It is true that, in conclusion, the Supreme Court offered a glimmer of hope to defrauded users when it stated that “the interpretation set out above does not exempt the payment service provider from liability when circumstances, unrelated to the provision of additional data, are found to have contributed to the defective execution of the transaction, either because an additional requirement or demand (e.g., the identification of the beneficiary), or because the payment service provider of the payer or the beneficiary had taken advantage of the error for their own benefit, or because, once the existence of the error had been communicated without delay, one or the other had not taken the measures required by the diligence of an expert trader to allow retroaction or, where appropriate, to minimize the damage.”

          Regulation (EU) 2024/886: a paradigm shift

          And in this scenario fraught with doubts, Regulation (EU) 2024/886 bursts onto the scene, representing a 180-degree turn and a paradigm shift: the new European Regulation, approved in April 2024 and coming into force on October 9, 2025, establishes a clear obligation for banks: they must verify that the name of the beneficiary provided by the payer matches the IBAN holder before executing an immediate transfer in euros.

          The new features of this regulation are

          • mandatory application to all instant transfers within the SEPA area,
          • the new name matching system: if there is a discrepancy between the name and the IBAN, the bank must alert the customer before executing the transaction, and
          • increased liability for financial institutions in the event of fraud or error due to lack of verification.

          In short, the aim is to reduce the risk of fraud, protect consumers, and increase confidence in digital payments.

          This means that Law 19/2018, which regulates payment services in Spain and does not require verification of the beneficiary’s identity, is now outdated, underscoring the need for a national legislative review to harmonize the legal framework with European requirements.

          In conclusion, the obligation to verify the beneficiary of transfers represents a significant step forward in consumer protection and the fight against financial fraud. Regulation (EU) 2024/886 marks a turning point in banking operations, imposing an active responsibility on institutions to ensure the authenticity of transfers.

          In any case, the question remains open regarding the solution to MITM frauds executed before October 9, 2025, and the responsibility of the banking institution. For the time being, the aforementioned Supreme Court ruling of March 27 closes the door to claims against banks, but it cannot be ruled out that the entry into force of Regulation 2024/886 and the paradigm shift will lead to a rethinking of the Supreme Court’s position in line with the quasi-objective liability that lower courts have been maintaining. We will have to wait and see, but such a change would be a great success for bank users who have suffered from this MITM fraud and all other types of cyber fraud.

          Riassunto: Nell’era digitale, le frodi aziendali hanno assunto nuove e insidiose forme. Una di queste mette nel mirino i gruppi multinazionali: si tratta della c.d. “CEO Fraud”. Questo tipo di truffa si basa sull’uso fraudolento dell’identità di figure apicali aziendali, come CEO o Presidenti del consiglio di amministrazione. Il modus operandi è subdolo: i truffatori si spacciano per il CEO o un alto dirigente del Gruppo multinazionale e contattano direttamente i Chief Financial Officers (CFO) delle filiali o controllate, simulando un’inesistente operazione di investimento riservata per indurli a eseguire bonifici urgenti verso conti correnti esteri.

          Contesto e Dinamiche della CEO Fraud

          La CEO Fraud è una forma di truffa in cui i criminali impersonano figure dirigenziali di alto livello per ingannare i dipendenti, solitamente i CFO, inducendoli a trasferire fondi in conti bancari controllati dai truffatori. La scelta di utilizzare le identità di figure apicali come i CEO risiede nella loro autorità percepita e nella capacità di ordinare pagamenti anche ingenti, richiesti con urgenza e con l’indicazione della massima riservatezza, senza sollevare sospetti immediati.

          I truffatori adottano vari strumenti di comunicazione per rendere credibili i loro tentativi di frode: in punto di partenza è solitamente un data breach, che consente ai criminali di accedere ai dati di contatto del CEO o del CFO (email, numero di telefono fisso, numero di cellulare, account whatsapp o social media) o di altre persone all’interno dell’ufficio amministrativo dotate di poteri dispositivi e operativi sui conti correnti bancari.

          A volte per la conoscenza di queste informazioni non è neppure necessario un accesso illegittimo ai sistemi informatici aziendali, perché i soggetti destinatari della truffa rendono spontaneamente pubbliche queste informazioni, ad esempio indicandole sul proprio profilo sul sito web aziendale oppure mostrando pubblicamente i contatti sui profili nei social media (account linkedin, Facebook, etc.) o ancora su presentazioni, biglietti da visita e brochure aziendali nel contesto di incontri pubblici.

          Altre volte ancora, non è nemmeno necessario per i truffatori appropriarsi di tutti i dati del CEO che vogliono impersonare, ma solo di quelli del destinatario, per poi dichiarare che si sta utilizzando un account personale con numero o indirizzo mail diversi da quelli abitualmente riconducibili al vero CEO.

          I contatti vengono tipicamente presi come segue:

          • WhatsApp e SMS: L’uso di messaggi permette una comunicazione immediata e personale, spesso percepita come legittima dai destinatari. Il falso CEO invia un messaggio al CFO utilizzando un numero di cellulare del paese in cui ha sede la capogruppo (ad esempio +34 nel caso della Spagna), scrivendo che si tratta del suo numero di telefono personale e utilizzando nel profilo whatsapp una foto ritratto del vero CEO, il che rafforza la percezione che si tratti del suo numero personale.
          • Telefonate: dopo il primo contatto via messaggio, segue spesso una telefonata, che può essere direttamente quella del falso CEO oppure di un sedicente avvocato o consulente incaricato dal CEO di dare al CFO le informazioni necessarie sulla falsa operazione di investimento in corso e le istruzioni per procedere al pagamento urgente.
          • Email: in alternativa o in aggiunta a messaggi e telefonate le comunicazioni possono anche passare attraverso email, spesso indistinguibili da quelle autentiche, nelle quali vengono scrupolosamente replicati i formati di testo, i loghi aziendali, le firme, etc.

          Ciò è possibile tramite diverse tecniche di email spoofing in cui l’indirizzo email del mittente viene modificato per apparire come se l’email fosse inviata dal legittimo titolare. In pratica, è come se qualcuno inviasse una lettera postale mettendo un indirizzo diverso sul retro della busta per mascherare la vera origine della missiva. Nel nostro caso, questo significa che il CFO riceve un’email che – a prima vista – sembra provenire dal CEO e non dal truffatore.

          Non possiamo poi escludere che i truffatori approfittino di falle nella sicurezza dei sistemi aziendali, ad esempio accedendo direttamente alle chat interne all’organizzazione.

          Inoltre, la sempre maggiore diffusione di strumenti per il morphing (ossia per la creazione di immagini con sembianze umane riconducibili a persone reali) potrà rendere ancora più difficile lo smascheramento del truffatore: ai messaggi e alle telefonate potremmo infatti aggiungere messaggi video o addirittura video conferenze apparentemente tenute dal vero CEO.

          La (falsa) operazione di acquisizione di una società concorrente in Europa

          Vediamo un esempio realmente accaduto di CEO Fraud, per illustrare le modalità pratiche con cui vengono organizzate queste frodi.

          I truffatori creano un falso profilo whatsapp del sedicente CEO di un gruppo multinazionale con sede in Spagna, che utilizza un numero telefonico spagnolo e riproduce la foto profilo nell’autentico CEO.

          Tramite il falso account viene mandato un messaggio al CFO di una controllata in Italia, nel quale si comunica che è in corso una operazione riservata di investimento per acquisire una società in Portogallo. A tal fine si renderà necessario procedere, il giorno seguente, ad un bonifico di un’importante somma a favore di una società portoghese, presso una banca locale.

          Il messaggio sottolinea l’importanza che l’operazione venga mantenuta strettamente riservata, motivo per cui il CFO non può rivelare la richiesta di pagamento a nessuno: prima di procedere con il pagamento viene addirittura trasmesso via email un accordo di riservatezza da parte di un (finto) studio legale, che il CFO viene convinto a firmare e a restituire al fantomatico avvocato incaricato dell’operazione.

          Di seguito vengono inviate via mail al CFO le istruzioni per procedere al bonifico, con cui si sottolinea ancora l’importanza che il pagamento venga fatto il giorno stesso, in via urgente.

          Il giorno dopo aver disposto il bonifico, non ricevendo più notizie dal falso CEO, il CFO provvede a contattarlo presso il suo numero di telefono aziendale e scopre la truffa: a quel punto, però, è troppo tardi perché le somme sono state già trasferite dai criminali presso uno o più conti correnti su banche estere, rendendo molto difficile, se non impossibile, rintracciare i fondi.

          Le principali caratteristiche della CEO fraud

          • Eccesso di fiducia: il CFO può essere facilmente indotto a credere nella veridicità dei numeri di telefono o degli indirizzi mail tramite tecniche informatiche; addirittura, talvolta i truffatori sono talmente abili da riuscire a convincere il CFO ad agire anche utilizzando numeri diversi o servendosi di fantomatici consulenti mai incontrati prima.
          • Persuasione: il fatto che i truffatori impersonino figure apicali e facciano sentire il CFO investito di incarichi importanti genera nella vittima il desiderio di compiacere i superiori e di abbassare la guardia.
          • Pressione: i truffatori instillano nel CFO un grande senso di urgenza, chiedendo pagamenti in tempi estremamente rapidi e intimando la segretezza sull’operazione; questo induce la vittima ad agire senza pensare, cercando di essere il più efficiente possibile.
          • Rapidità: è bene sapere che una richiesta di un bonifico urgente non può essere revocata, o può essere ritirata tramite recall solo in tempi estremamente stretti; i truffatori ne approfittano per intascare le somme presso banche non troppo scrupolose o per spostarle altrove, al massimo nel giro di qualche giorno.

          Come prevenire queste truffe

          Gli schemi di CEO Fraud possono essere molto sofisticati, ma presentano spesso segnali che, se riconosciuti, possono fermare una truffa prima che causi danni irreparabili.

          Gli indizi principali sono le modalità atipiche di contatto (whatsapp, telefonate, email da account personali del falso CEO), la richiesta di massima riservatezza sull’operazione, l’urgenza con la quale si richiede il pagamento di grandi somme, il fatto che il bonifico debba essere fatto su banche all’estero, il coinvolgimento di società o soggetti mai menzionati in precedenza. Per prevenire truffe come quella della CEO Fraud, la formazione aziendale dei dipendenti su come riconoscere e rispondere alle truffe è cruciale; è poi fondamentale predisporre solide procedure di sicurezza interna.

          • In primo luogo, una precauzione importante e di base è quella di adottare sistemi di verifica che analizzano i messaggi di posta elettronica alla ricerca di eventuali virus e segnalano la provenienza dell’email da un account esterno all’organizzazione aziendale.
          • In secondo luogo, è fondamentale che le aziende implementino chiari processi per i pagamenti verso terzi, soprattutto se le modalità sono diverse dall’operatività standard della società, ad esempio prevedendo limiti di valore ai poteri di disposizione sull’operatività dei conti correnti, oltre i quali è necessaria la doppia firma con un altro amministratore.
          • In ultimo, e in generale, è bene adottare tutte le norme di buon senso e diligenza nell’analisi del caso. Meglio fare una verifica interna in più, piuttosto che una in meno; ad esempio, in caso di una richiesta particolarmente realistica ma comunque insolita, inoltrare lo scambio con il presunto truffatore all’indirizzo che riteniamo reale e chiedere ulteriori conferme nella mail di forward, anziché rispondendo direttamente nel loop via mail, consente di capire se il mittente è fasullo.

          Le azioni legali per il recupero dei fondi

          Dopo la scoperta di una CEO Fraud, è cruciale agire rapidamente per aumentare le possibilità di recuperare i fondi persi e perseguire legalmente i responsabili.

          Azioni Legali Possibili

          Una pronta comunicazione all’istituto bancario dell’ordinante per il congelamento dei fondi presso la banca beneficiaria, oltre ad una tempestiva denuncia-querela in Italia anche una denuncia nel paese in cui ha sede la banca destinataria del pagamento sono passi immediati che possono aiutare a contenere i danni e ad iniziare il processo di recupero.

          In molti paesi, infatti, lo schema del CEO Fraud è ben noto ed esistono unità di polizia giudiziaria specializzate che hanno gli strumenti per muoversi in maniera tempestiva a seguito della segnalazione del reato.

          Le indagini penali nel paese di destinazione del pagamento consentono anche di verificare che siano i titolari del conto corrente e le persone coinvolte nel tentativo di truffa, in alcuni casi giungendo all’arresto dei responsabili.

          Dopo aver tentato di ottenere il blocco del bonifico o dei fondi, si potrà poi valutare quale sia stato il comportamento degli istituti bancari coinvolti nella vicenda, in particolare per verificare se la banca beneficiaria abbia adempiuto in maniera corretta agli obblighi imposti dalla normativa in materia di antiriciclaggio, che impongono precisi obblighi di verifica della clientela e dell’origine dei fondi.

          Conclusioni

          La CEO Fraud è una minaccia significativa per le aziende di ogni dimensione e settore, resa possibile e amplificata dalle tecnologie moderne e dalla globalizzazione dei mercati finanziari. Le aziende devono rimanere vigili e proattive, aggiornando continuamente le loro procedure di sicurezza per tenere il passo con le tecniche in evoluzione dei truffatori.

          L’investimento in formazione, tecnologia e consulenza non è solo una misura di protezione, ma una necessità strategica per l’operatività dell’impresa.

          Nel caso in cui la truffa colpisca l’azienda, in infine, è fondamentale attivarsi in maniera tempestiva per cercare di bloccare i fondi prima che siano spostati su conti correnti in altri paesi e quindi resi irrintracciabili.

          Riassunto

          La riforma della Legge Fallimentare Brasiliana introduce importanti cambiamenti sia nelle procedure di risanamento che nelle misure di liquidazione.

          In occasione del 15° anniversario della Legge Fallimentare Brasiliana è stata promulgata un’importante novella, frutto di necessità emerse nel corso della sua applicazione: la Legge Fallimentare, infatti, è spesso stata messa alla prova e le esperienze pratiche hanno dimostrato che alcuni strumenti necessitavano di aggiustamenti, mentre altri richiedevano un cambiamento completo.

          L’obiettivo di questo articolo è quello di elencare le cinque novità più rilevanti.

          #5 – Piano di risanamento presentato dai creditori

          Prima della riforma: la formazione del piano di risanamento era di esclusiva competenza del debitore. Se la maggioranza dell’assemblea dei creditori avesse deciso di respingere il piano, la conseguenza automatica sarebbe stata la conversione in fallimento (liquidazione).

          Ora: in casi come questo, i creditori hanno il diritto di presentare un piano di risanamento giudiziale alternativo. Di conseguenza, i creditori assumono un ruolo più rilevante nella ristrutturazione aziendale.

          #4 – Mediazione incentrata sulla ristrutturazione

          La mediazione è ora incoraggiata nei processi di risanamento giudiziale in corso, in modo che i creditori e i debitori possano trovare una via d’uscita per superare la crisi.

          La novità più importante è la mediazione anticipata, il cui obiettivo è evitare di entrare nella procedura di risanamento e la liquidazione. In questa procedura, il debitore convoca i creditori per una negoziazione mediata e questi ultimi possono chiedere al giudice un ordine di sospensione delle misure esecutive.

          #3 – Operazioni su cespiti oggetto di procedure fallimentari

          L’alienazione dei cespiti del debitore è oggi semplificata sia nel risanamento giudiziale che nel fallimento. Soprattutto nel fallimento – in cui è essenziale ottimizzare la valorizzazione dei cespiti – la legge autorizza la vendita anticipata, l’aggiudicazione da parte dei creditori e persino la donazione di cespiti che i creditori non sono interessati ad acquisire.

          Inoltre, le acquisizioni di attività in difficoltà e le operazioni di fusione e acquisizione sono ora più sicure, grazie a una disposizione legislativa più chiara che prevede uno scudo di responsabilità a favore dell’acquirente.

          #2 – Finanziamento del debitore in possesso (DIP)

          La mancanza di incentivi a finanziare il debitore sottoposto a risanamento giudiziale è sempre stata motivo di critica da parte degli stakeholder. In assenza di disposizioni di legge, i potenziali finanziatori potrebbero essere diffidenti rispetto ai rischi dell’operazione e alla mancanza di chiari vantaggi per compensare il rischio.

          Le critiche sono state affrontate con il riconoscimento giuridico del finanziamento del debitore durante il risanamento giudiziale. Questo tipo di finanziamento è noto come Debtor-in-Possession (DIP) Financing.

          Il debitore è autorizzato, tramite autorizzazione giudiziale, a stipulare contratti di finanziamento per pagare il mantenimento delle sue attività e dei suoi beni, nonché per rispondere delle spese di ristrutturazione.

          A garanzia del finanziamento, il debitore può offrire beni e diritti propri o di terzi, anche se appartenenti ad attività non correnti, cioè non originariamente destinate alla vendita, ma che servono alla struttura aziendale (ad esempio, macchinari).

          #1 – Insolvenza transfrontaliera

          La legge brasiliana ha finalmente incorporato la Model Law on Cross-Border Insolvency dell’Uncitral. Un mondo integrato e pieno di aziende globali impone di prevedere norme specifiche sull’insolvenza transfrontaliera, finora inesistenti, per eliminare l’insicurezza sulla portata delle procedure straniere per i creditori brasiliani e sugli effetti delle procedure brasiliane per i creditori stranieri.

          Ora abbiamo un nuovo panorama, con la possibilità che le procedure all’estero abbiano effetti in Brasile e che le procedure brasiliane raggiungano gli stranieri.

          Viene trattata in modo dettagliato la partecipazione degli stranieri in Brasile e la cooperazione internazionale tra giudici e altre autorità per mettere in moto i principi fondamentali che regolano l’intero sistema di insolvenza, ovvero il miglioramento della certezza del diritto, la gestione efficiente dei processi, la valorizzazione degli asset, la conservazione dell’azienda e l’ottimizzazione della liquidazione degli asset.

          Queste sono le cinque principali novità, in sintesi. Se siete interessati a saperne di più su uno di questi argomenti o se volete rimanere aggiornati sull’insolvenza – ristrutturazione in Brasile, contattateci.

          On 6 January 2022 Ukraine finally cancelled almost a two-year long moratorium for the creditor-trigged insolvencies. The moratorium was imposed in the late spring 2020 as a part of the nation’ response to first wave of COVID pandemic.

          In a nutshell, the moratorium prohibited creditors from requesting insolvency action against those debtors whose obligations matured after 12 March 2020. A separate set of measures also lifted an early warning duty obliging directors of the companies in distress to file for insolvency within one month from a moment when the distress appeared.

          The moratorium was heavily criticized by both domestic and international creditors, who legitimately blamed it for a non-selective approach.

          As further 2021 statistic shown, the moratorium never seemed to reach a goal proclaimed by it authors and made no increase for insolvency relief requests by the debtor companies.

          Instead, the country has been facing a steady increase in “zombie” companies having little to none liquidation value – and their owners clearly intending to get away with no creditor repayment.

          With the moratorium being lifted off the creditors do expect to show no mercy to their Ukrainian debtors. This particularly worries those debtors potentially involved in wrongful trade or fraudulent action. Even with the moratorium in place in 2021 Ukrainian courts confirmed more than UAH 150 mln in creditors loss to be paid by the insolvent companies’ management and owners themselves. This number is expected to triple in 2022 – and there already were Supreme Court’s 2021 judgements confirming liability of the real owners standing behind opaque shareholder company and nominal directors.

          As the creditors’ agitation grows, so do the debtor company owners’ concerns. As the owners\management liability process is extremely bespoke and often requires swift action, it is of crucial importance to get a throughout legal advise on either side – and much better to do that before the actual claim has been brought.

          Lebanon’s secure banking sector plays an important role in the country’s stability and economic status. High liquidity and compliance with all international regulatory standards make it one of the most profitable in the region.

          Stability

          The Lebanese banking sector owes its solidity primarily to the stringent policies applied by the Lebanese Central Bank (LCB). Efforts are constantly being made to fight money laundering and terrorism funding.

          The Lebanese diaspora also contributes to the stability through the flux of transfers and deposits of extraterritorial income. Compared with an estimated population of 4.9 million inhabitants, about 16 million Lebanese live abroad, largely engaged in trade and finance, and mainly concentrated in South America.

          The banking sector’s stability is also bolstered by the currency exchange rate, which has been stable since 1997, when the Lebanese Pound (LBP) was pegged to the United States Dollar (USD) at a rate of 1507.5 LBP to the USD.

          Banking Secret and Automatic exchange of Information

          The Lebanese Banking Secrecy Law of September 3, 1956 was a key aspect in the expansion of the sector. Bank secrecy is applied to any bank operating in Lebanon, local or foreign, and prohibits the disclosure of any details or information about any account or accountholder. For long time this law has increased confidence in Lebanese banking together with the amount of foreign capital coming into the country.

          Before the last economic and financial global shocks, the veil of banking secrecy could be lifted only with prior approval of the accountholder, in case of bankruptcy; for the exchange of information between banks about indebted accounts; and in case of legal actions between a bank and a client or illicit enrichment.

          Nowadays, banking secrecy does not apply to US citizens because of the Foreign Account Tax Compliance Act (FATCA) that requires foreign banks to report American accountholders to the tax authority of the US. Even though Lebanon has not agreed to be FATCA compliant as a whole, individual Lebanon banks have agreed to comply.

          Moreover, in 2016 Lebanon joined the Global Forum on Transparency and the Automatic Exchange of Information (AEOI) for tax purposes, committing to implement a series of regulatory reforms to better comply with the Common Reporting Standards of OECD.

          Consequently, if the requested information is protected under the Banking Secrecy Law of 1956, the request will be forwarded to the Special Investigation Commission (SIC) at the Central Bank with an opinion from the Ministry of Finance for review before it can be disclosed to the foreign tax authority based on an information exchange agreement.

          The regulatory framework and supervision of the banking sector is already in compliance with international standards, such as Basel I, II, and III. Abiding by these laws does not eliminate banking secrecy. New regulations just aim to provide a more effective tool to counter the fight against tax evasion and to track suspicious operations for money laundering purposes, or self-laundering, based on tax offenses.

          According to the AEOI, starting from September 2018 Lebanese Tax Authority will exchange information automatically on non-residents, and will have access to information on residents who hold assets abroad. No issues for Lebanese residents.

          The new legislation will impact: banks, brokers, trusts, fiduciaries, insurance companies, although only for a few products, and certain collective investment funds.

          Corporate Governance

          As part of the strategy to integrate Lebanon further into the international community and the global economy, corporate governance in banks is necessary to guarantee fairness, transparency and accountability.

          It is mandatory for banks while optional for other companies. In fact, an innovation took place in the banking sector on July 26, 2006 when the Governor of the Lebanese Central Bank enacted the Basic Decision No. 9382 to order to comply with the banking rules instituted by the Basel Committee.

          Account freedom and flexibility

          Lebanese banks are known for being open to foreign investors and have branches worldwide. Foreign individuals or companies can easily open a bank account in Lebanon in any currency and benefit from all banking advantages offered to Lebanese citizens. Further, amounts deposited in Lebanon are exempt from taxes and the interest received is subject to a tax rate of 5-percent.

          The author of this post is Claudia Caluori.

          From 18 January 2017, the new European Regulation 655/2014 establishing a European Account Preservation Order procedure to facilitate cross-border debt recovery in civil and commercial matters will enter into force.

          The Regulation foresees in a procedure to seize bank accounts of your debtor in other EU Member States (except when your debtor is domiciled in United Kingdom or Denmark), without that the debtor is notified hereof. The debtor will only notice once the seizure is into force.

          Such cross-border seizure can be obtained before the Courts of an EU Member State who would have jurisdiction on the merits of the case under the EU Regulation 1215/2012 (Brussels I bis).

          The seizure can be requested before, during or even after the procedure on the merits of the case. The request has to be filed using a standard document.

          To grant the request, the Court will have to examine 1) if there is urgency (periculum in mora) and 2) if there is on basis of the provided evidence enough reason to assume the Court will also decide in favor of the creditor in the proceedings concerning the merits of the case (fumus boni iuris). Although these principles are not unknown to national legislation, both will have to await the autonomous interpretation by the European Court of Justice.

          The new EU Regulation 655/2014 is however not created to bully any unwilling debtor by filing preservation order after preservation order. The Regulation foresees 2 mechanisms to avoid such practices:

          • According to art. 12, the creditor can be required to provide a security when he has not obtained any judgment in favor yet;
          • The creditor will also receive a fixed delay in which he has to undertake a proceedings about the merits of the case.

          The new European Regulation 665/2014 also foresees a mechanism where a creditor can request information about his debtor’s bank account(s) in a certain Member State. 

          Not unimportant, as the creditor needs to indicate the bank account number in his request for a transnational seizure (under Belgian national law, the indication of the name of the Bank would already be sufficient).

          Art. 14 of the Regulation now foresees what one could call a bank account disclosure mechanism:

          “Request for the obtaining of account information

          Where the creditor has obtained in a Member State an enforceable judgment, court settlement or authentic instrument which requires the debtor to pay the creditor’s claim and the creditor has reasons to believe that the debtor holds one or more accounts with a bank in a specific Member State, but knows neither the name and/or address of the bank nor the IBAN, BIC or another bank number allowing the bank to be identified, he may request the court with which the application for the Preservation Order is lodged to request that the information authority of the Member State of enforcement obtain the information necessary to allow the bank or banks and the debtor’s account or accounts to be identified”.

          In a few Member States (including Belgium), such disclosure mechanism is completely new.  The Regulation leaves it up to the Member States how they will organize this new disclosure, by giving a few examples:

          “Each Member State shall make available in its national law at least one of the following methods of obtaining the information referred to in paragraph 1:

          (a) an obligation on all banks in its territory to disclose, upon request by the information authority, whether the debtor holds an account with them;

          (b) access for the information authority to the relevant information where that information is held by public authorities or administrations in registers or otherwise;

          (c) the possibility for its courts to oblige the debtor to disclose with which bank or banks in its territory he holds one or more accounts where such an obligation is accompanied by an in personam order by the court prohibiting the withdrawal or transfer by him of funds held in his account or accounts up to the amount to be preserved by the Preservation Order; or

          (d) any other methods which are effective and efficient for the purposes of obtaining the relevant information, provided that they are not disproportionately costly or time-consuming.

          Does this mean any creditor can just run to the Court and ask information?

          No, some conditions apply:

          • the creditor needs to be in possession of an enforceable judgment;
          • there need to be reasons to believe the debtor holds bank accounts in this Member State.

          Conclusion: it will be interesting to see how the Member States will apply this new mechanism.  Whether it will be effective, will also depend on the interpretation of ‘reasons to believe the debtor holds bank accounts in this Member State’.  This will probably be the key to the question if this will end the Pyrrhus decisions, where a creditor is accorded his claim but cannot find assets to seize.

          The author of this post is David Diris.