{"id":29396,"date":"2024-04-24T22:02:46","date_gmt":"2024-04-24T20:02:46","guid":{"rendered":"https:\/\/www.legalmondo.com\/2024\/04\/digital-fraud-fake-ceo-international-group\/"},"modified":"2024-05-07T20:51:55","modified_gmt":"2024-05-07T18:51:55","slug":"frodi-digitali-truffa-falso-ceo","status":"publish","type":"post","link":"https:\/\/www.legalmondo.com\/it\/2024\/04\/frodi-digitali-truffa-falso-ceo\/","title":{"rendered":"Frodi digitali: la truffa del falso CEO"},"content":{"rendered":"<p><strong>Riassunto<\/strong>: Nell&#8217;era digitale, le frodi aziendali hanno assunto nuove e insidiose forme. Una di queste mette nel mirino i gruppi multinazionali: si tratta della c.d. &#8220;CEO Fraud&#8221;. Questo tipo di truffa si basa sull\u2019uso fraudolento dell&#8217;identit\u00e0 di figure apicali aziendali, come CEO o Presidenti del consiglio di amministrazione. Il modus operandi \u00e8 subdolo: i truffatori si spacciano per il CEO o un alto dirigente del Gruppo multinazionale e contattano direttamente i Chief Financial Officers (CFO) delle filiali o controllate, simulando un\u2019inesistente operazione di investimento riservata per indurli a eseguire bonifici urgenti verso conti correnti esteri.<\/p>\n<h2>Contesto e Dinamiche della CEO Fraud<\/h2>\n<p>La CEO Fraud \u00e8 una forma di truffa in cui i criminali impersonano figure dirigenziali di alto livello per ingannare i dipendenti, solitamente i CFO, inducendoli a trasferire fondi in conti bancari controllati dai truffatori. La scelta di utilizzare le identit\u00e0 di figure apicali come i CEO risiede nella loro autorit\u00e0 percepita e nella capacit\u00e0 di ordinare pagamenti anche ingenti, richiesti con urgenza e con l\u2019indicazione della massima riservatezza, senza sollevare sospetti immediati.<\/p>\n<p>I truffatori adottano vari strumenti di comunicazione per rendere credibili i loro tentativi di frode: in punto di partenza \u00e8 solitamente un <em>data breach<\/em>, che consente ai criminali di accedere ai dati di contatto del CEO o del CFO (email, numero di telefono fisso, numero di cellulare, account whatsapp o social media) o di altre persone all&#8217;interno dell&#8217;ufficio amministrativo dotate di poteri dispositivi e operativi sui conti correnti bancari.<\/p>\n<p>A volte per la conoscenza di queste informazioni non \u00e8 neppure necessario un accesso illegittimo ai sistemi informatici aziendali, perch\u00e9 i soggetti destinatari della truffa rendono spontaneamente pubbliche queste informazioni, ad esempio indicandole sul proprio profilo sul sito web aziendale oppure mostrando pubblicamente i contatti sui profili nei social media (account linkedin, Facebook, etc.) o ancora su presentazioni, biglietti da visita e brochure aziendali nel contesto di incontri pubblici.<\/p>\n<p>Altre volte ancora, non \u00e8 nemmeno necessario per i truffatori appropriarsi di tutti i dati del CEO che vogliono impersonare, ma solo di quelli del destinatario, per poi dichiarare che si sta utilizzando un account personale con numero o indirizzo mail diversi da quelli abitualmente riconducibili al vero CEO.<\/p>\n<p>I contatti vengono tipicamente presi come segue:<\/p>\n<ul>\n<li><strong>WhatsApp e SMS<\/strong>: L&#8217;uso di messaggi permette una comunicazione immediata e personale, spesso percepita come legittima dai destinatari. Il falso CEO invia un messaggio al CFO utilizzando un numero di cellulare del paese in cui ha sede la capogruppo (ad esempio +34 nel caso della Spagna), scrivendo che si tratta del suo numero di telefono personale e utilizzando nel profilo whatsapp una foto ritratto del vero CEO, il che rafforza la percezione che si tratti del suo numero personale.<\/li>\n<li><strong>Telefonate: <\/strong>dopo il primo contatto via messaggio, segue spesso una telefonata, che pu\u00f2 essere direttamente quella del falso CEO oppure di un sedicente avvocato o consulente incaricato dal CEO di dare al CFO le informazioni necessarie sulla falsa operazione di investimento in corso e le istruzioni per procedere al pagamento urgente.<\/li>\n<li><strong>Email:<\/strong> in alternativa o in aggiunta a messaggi e telefonate le comunicazioni possono anche passare attraverso email, spesso indistinguibili da quelle autentiche, nelle quali vengono scrupolosamente replicati i formati di testo, i loghi aziendali, le firme, etc.<\/li>\n<\/ul>\n<p>Ci\u00f2 \u00e8 possibile tramite diverse tecniche di <strong><em>email spoofing<\/em><\/strong> in cui l&#8217;indirizzo email del mittente viene modificato per apparire come se l&#8217;email fosse inviata dal legittimo titolare. In pratica, \u00e8 come se qualcuno inviasse una lettera postale mettendo un indirizzo diverso sul retro della busta per mascherare la vera origine della missiva. Nel nostro caso, questo significa che il CFO riceve un&#8217;email che &#8211; a prima vista &#8211; sembra provenire dal CEO e non dal truffatore.<\/p>\n<p>Non possiamo poi escludere che i truffatori approfittino di falle nella sicurezza dei sistemi aziendali, ad esempio accedendo direttamente alle chat interne all\u2019organizzazione.<\/p>\n<p>Inoltre, la sempre maggiore diffusione di strumenti per il <strong><em>morphing<\/em><\/strong> (ossia per la creazione di immagini con sembianze umane riconducibili a persone reali) potr\u00e0 rendere ancora pi\u00f9 difficile lo smascheramento del truffatore: ai messaggi e alle telefonate potremmo infatti aggiungere messaggi video o addirittura video conferenze apparentemente tenute dal vero CEO.<\/p>\n<h2>La (falsa) operazione di acquisizione di una societ\u00e0 concorrente in Europa<\/h2>\n<p>Vediamo un esempio realmente accaduto di CEO Fraud, per illustrare le modalit\u00e0 pratiche con cui vengono organizzate queste frodi.<\/p>\n<p>I truffatori creano un <strong>falso profilo whatsapp<\/strong> del sedicente CEO di un gruppo multinazionale con sede in Spagna, che utilizza un numero telefonico spagnolo e riproduce la foto profilo nell&#8217;autentico CEO.<\/p>\n<p>Tramite il falso account viene mandato un messaggio al CFO di una controllata in Italia, nel quale si comunica che \u00e8 in corso una <strong>operazione <\/strong>riservata <strong>di investimento<\/strong> per acquisire una societ\u00e0 in Portogallo. A tal fine si render\u00e0 necessario procedere, il giorno seguente, ad un bonifico di un&#8217;importante somma a favore di una societ\u00e0 portoghese, presso una banca locale.<\/p>\n<p>Il messaggio sottolinea l&#8217;importanza che l&#8217;operazione venga mantenuta <strong>strettamente riservata<\/strong>, motivo per cui il CFO non pu\u00f2 rivelare la richiesta di pagamento a nessuno: prima di procedere con il pagamento viene addirittura trasmesso <strong>via email un accordo di riservatezza da parte di un (finto) studio legale<\/strong>, che il CFO viene convinto a firmare e a restituire al fantomatico avvocato incaricato dell\u2019operazione.<\/p>\n<p>Di seguito vengono inviate via mail al CFO<strong> le istruzioni per procedere al bonifico<\/strong>, con cui si sottolinea ancora l&#8217;importanza che il pagamento venga fatto il giorno stesso, in via urgente.<\/p>\n<p>Il giorno dopo aver disposto il bonifico, non ricevendo pi\u00f9 notizie dal falso CEO, il CFO <strong>provvede a contattarlo presso il suo numero di telefono aziendale<\/strong> e <strong>scopre la truffa<\/strong>: a quel punto, per\u00f2, \u00e8 troppo tardi perch\u00e9 le somme sono state gi\u00e0 trasferite dai criminali presso uno o pi\u00f9 conti correnti su banche estere, rendendo molto difficile, se non impossibile, rintracciare i fondi.<\/p>\n<h2>Le principali caratteristiche della CEO fraud<\/h2>\n<ul>\n<li><strong>Eccesso di fiducia<\/strong>: il CFO pu\u00f2 essere facilmente indotto a credere nella veridicit\u00e0 dei numeri di telefono o degli indirizzi mail tramite tecniche informatiche; addirittura, talvolta i truffatori sono talmente abili da riuscire a convincere il CFO ad agire anche utilizzando numeri diversi o servendosi di fantomatici consulenti mai incontrati prima.<\/li>\n<li><strong>Persuasione<\/strong>: il fatto che i truffatori impersonino figure apicali e facciano sentire il CFO investito di incarichi importanti genera nella vittima il desiderio di compiacere i superiori e di abbassare la guardia.<\/li>\n<li><strong>Pressione<\/strong>: i truffatori instillano nel CFO un grande senso di urgenza, chiedendo pagamenti in tempi estremamente rapidi e intimando la segretezza sull\u2019operazione; questo induce la vittima ad agire senza pensare, cercando di essere il pi\u00f9 efficiente possibile.<\/li>\n<li><strong>Rapidit\u00e0<\/strong>: \u00e8 bene sapere che una richiesta di un bonifico urgente non pu\u00f2 essere revocata, o pu\u00f2 essere ritirata tramite <strong><em>recall<\/em><\/strong> solo in tempi estremamente stretti; i truffatori ne approfittano per intascare le somme presso banche non troppo scrupolose o per spostarle altrove, al massimo nel giro di qualche giorno.<\/li>\n<\/ul>\n<h2>Come prevenire queste truffe<\/h2>\n<p>Gli schemi di CEO Fraud possono essere molto sofisticati, ma presentano spesso segnali che, se riconosciuti, possono fermare una truffa prima che causi danni irreparabili.<\/p>\n<p>Gli <strong>indizi principali<\/strong> sono le modalit\u00e0 atipiche di contatto (whatsapp, telefonate, email da account personali del falso CEO), la richiesta di massima riservatezza sull&#8217;operazione, l&#8217;urgenza con la quale si richiede il pagamento di grandi somme, il fatto che il bonifico debba essere fatto su banche all&#8217;estero, il coinvolgimento di societ\u00e0 o soggetti mai menzionati in precedenza. Per prevenire truffe come quella della CEO Fraud, la formazione aziendale dei dipendenti su come riconoscere e rispondere alle truffe \u00e8 cruciale; \u00e8 poi fondamentale predisporre solide procedure di sicurezza interna.<\/p>\n<ul>\n<li>In primo luogo, una precauzione importante e di base \u00e8 quella di adottare sistemi di verifica che analizzano i messaggi di posta elettronica alla ricerca di eventuali virus e <strong>segnalano la provenienza dell&#8217;email da un account esterno all&#8217;organizzazione aziendale.<\/strong><\/li>\n<li>In secondo luogo, \u00e8 fondamentale che le aziende implementino <strong>chiari processi per i pagamenti verso terzi<\/strong>, soprattutto se le modalit\u00e0 sono diverse dall&#8217;operativit\u00e0 standard della societ\u00e0, ad esempio prevedendo limiti di valore ai poteri di disposizione sull\u2019operativit\u00e0 dei conti correnti, oltre i quali \u00e8 necessaria la doppia firma con un altro amministratore.<\/li>\n<li>In ultimo, e in generale, \u00e8 bene adottare tutte le norme di <strong>buon senso<\/strong> e <strong>diligenza<\/strong> nell\u2019analisi del caso. Meglio fare una verifica interna in pi\u00f9, piuttosto che una in meno; ad esempio, in caso di una richiesta particolarmente realistica ma comunque insolita, inoltrare lo scambio con il presunto truffatore all\u2019indirizzo che riteniamo reale e chiedere ulteriori conferme nella mail di forward, anzich\u00e9 rispondendo direttamente nel loop via mail, consente di capire se il mittente \u00e8 fasullo.<\/li>\n<\/ul>\n<h2>Le azioni legali per il recupero dei fondi<\/h2>\n<p>Dopo la scoperta di una CEO Fraud, \u00e8 cruciale agire rapidamente per aumentare le possibilit\u00e0 di recuperare i fondi persi e perseguire legalmente i responsabili.<\/p>\n<h3>Azioni Legali Possibili<\/h3>\n<p>Una pronta comunicazione all\u2019istituto bancario dell\u2019ordinante per il congelamento dei fondi presso la banca beneficiaria, oltre ad una tempestiva <strong>denuncia-querela in Italia<\/strong> anche una denuncia <strong>nel paese in cui ha sede la banca destinataria del pagamento<\/strong> sono passi immediati che possono aiutare a contenere i danni e ad iniziare il processo di recupero.<\/p>\n<p>In molti paesi, infatti, lo schema del CEO Fraud \u00e8 ben noto ed esistono unit\u00e0 di polizia giudiziaria specializzate che hanno gli strumenti per muoversi in maniera tempestiva a seguito della segnalazione del reato.<\/p>\n<p>Le indagini penali nel paese di destinazione del pagamento consentono anche di verificare che siano i titolari del conto corrente e le persone coinvolte nel tentativo di truffa, in alcuni casi giungendo all&#8217;arresto dei responsabili.<\/p>\n<p>Dopo aver tentato di ottenere il blocco del bonifico o dei fondi, si potr\u00e0 poi valutare quale sia stato il comportamento degli istituti bancari coinvolti nella vicenda, in particolare per verificare se la banca beneficiaria abbia adempiuto in maniera corretta agli obblighi imposti dalla normativa in materia di antiriciclaggio, che impongono precisi obblighi di verifica della clientela e dell&#8217;origine dei fondi.<\/p>\n<h2>Conclusioni<\/h2>\n<p>La CEO Fraud \u00e8 una minaccia significativa per le aziende di ogni dimensione e settore, resa possibile e amplificata dalle tecnologie moderne e dalla globalizzazione dei mercati finanziari. Le aziende devono rimanere vigili e proattive, aggiornando continuamente le loro procedure di sicurezza per tenere il passo con le tecniche in evoluzione dei truffatori.<\/p>\n<p>L&#8217;investimento in formazione, tecnologia e consulenza non \u00e8 solo una misura di protezione, ma una necessit\u00e0 strategica per l\u2019operativit\u00e0 dell\u2019impresa.<\/p>\n<p>Nel caso in cui la truffa colpisca l&#8217;azienda, in infine, \u00e8 fondamentale attivarsi in maniera tempestiva per cercare di bloccare i fondi prima che siano spostati su conti correnti in altri paesi e quindi resi irrintracciabili.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Riassunto: Nell&#8217;era digitale, le frodi aziendali hanno assunto nuove e insidiose forme. Una di queste mette nel mirino i gruppi multinazionali: si tratta della c.d. &#8220;CEO Fraud&#8221;. Questo tipo di truffa si basa sull\u2019uso fraudolento dell&#8217;identit\u00e0 di figure apicali aziendali, come CEO o Presidenti del consiglio di amministrazione. Il modus operandi \u00e8 subdolo: i truffatori [&hellip;]<\/p>\n","protected":false},"author":43,"featured_media":29403,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[487],"tags":[217],"class_list":["post-29396","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-banking-it","tag-italy-it"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.legalmondo.com\/it\/wp-json\/wp\/v2\/posts\/29396","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.legalmondo.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.legalmondo.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.legalmondo.com\/it\/wp-json\/wp\/v2\/users\/43"}],"replies":[{"embeddable":true,"href":"https:\/\/www.legalmondo.com\/it\/wp-json\/wp\/v2\/comments?post=29396"}],"version-history":[{"count":2,"href":"https:\/\/www.legalmondo.com\/it\/wp-json\/wp\/v2\/posts\/29396\/revisions"}],"predecessor-version":[{"id":29409,"href":"https:\/\/www.legalmondo.com\/it\/wp-json\/wp\/v2\/posts\/29396\/revisions\/29409"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.legalmondo.com\/it\/wp-json\/wp\/v2\/media\/29403"}],"wp:attachment":[{"href":"https:\/\/www.legalmondo.com\/it\/wp-json\/wp\/v2\/media?parent=29396"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.legalmondo.com\/it\/wp-json\/wp\/v2\/categories?post=29396"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.legalmondo.com\/it\/wp-json\/wp\/v2\/tags?post=29396"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}