24.06.2025 - Nel mondo digitale le informazioni di dominio pubblico rappresentano un’arma a doppio taglio: se da un lato ne giova la trasparenza, dall’altro si aprono nuove opportunità per attività fraudolente. Stando alle attuali osservazioni dell’UFCS, i criminali stanno deliberatamente abusando di informazioni disponibili su fonti pubblicamente accessibili, come ad esempio l’indice centrale delle ditte (Zefix) per impersonare aziende legittime.

L’uso dei dati di dominio pubblico da parte di cibercriminali rappresenta un rischio non trascurabile. Per questo è importante mostrare cautela e vagliare attentamente le informazioni per proteggersi da queste truffe.
I cibercriminali sfruttano sempre più spesso informazioni disponibili al pubblico per ingannare in modo mirato le proprie vittime. Un metodo particolarmente diffuso è la cosiddetta truffa del CEO: i malintenzionati si presentano come membri della direzione aziendale e, con un pretesto, inviano un’e-mail al responsabile finanziario richiedendo di effettuare una transazione urgente. A rendere possibile questo tipo di truffa sono spesso i dati divulgati pubblicamente sui propri siti o sui social network dalle aziende stesse. I nomi, le funzioni e le informazioni di contatto dei dirigenti o dei collaboratori sono sufficienti per redigere messaggi credibili e ingannare le vittime.
Zefix quale fonte di dati
Mentre la classica truffa del CEO segue un copione piuttosto semplice, alcuni criminali intraprendono procedure parecchio più raffinate. Tra queste, attingono alle informazioni disponibili nel registro di commercio pubblico per falsificare intere identità d’impresa.
Questa procedura più impegnativa vede i truffatori setacciare sistematicamente il registro di commercio svizzero (Zefix) alla ricerca di aziende con identità facilmente usurpabile o che hanno l’aria particolarmente redditizia.
Un criterio determinante per la scelta è la presenza online: le aziende prive di un sito web o con una presenza online limitata, come piccoli studi legali, società di investimento o società di consulenza, sono particolarmente vulnerabili agli attacchi dei cibercriminali. La totale assenza di un’impresa su internet lascia la strada praticamente spianata per i truffatori: le vittime non hanno infatti sostanzialmente alcuna possibilità di trovare i dati di contatto corretti dell’azienda e quindi di riconoscere la natura fraudolenta del sito in questione.
Così i malintenzionati estrapolano dalle voci del registro di commercio tutte le informazioni disponibili: il nome esatto dell’azienda, l’indirizzo ufficiale, il numero del registro di commercio e i nomi degli aventi diritto economico o dei dirigenti registrati. Utilizzando questi dati autentici i truffatori creano identità aziendali incredibilmente realistiche: interi siti web, inclusi indirizzi e-mail falsi, intestazioni di lettere o persino profili fittizi sui social network. I truffatori agiscono a nome dell’azienda realmente esistente e sfruttano in modo mirato la sua buona reputazione per guadagnarsi fiducia e dissimulare le proprie intenzioni fraudolente.
A cosa puntano gli aggressori?
L’obiettivo principale è solitamente di natura finanziaria. Assumendo l’identità di un’azienda reale, i truffatori cercano, ad esempio, di:
• indurre potenziali clienti o partner a effettuare investimenti fraudolenti;
• inviare fatture false a nome dell’azienda impersonata;
• ottenere dati di accesso o altre informazioni sensibili da persone contattate (phishing);
• guadagnare la fiducia dei partner commerciali al fine di facilitare i reati di frode.
I danni non riguardano solo le persone o le imprese direttamente ingannate, ma anche le società iscritte nel registro di commercio, il cui nome e la cui reputazione vengono sfruttati a scopi fraudolenti.
Raccomandazioni per le aziende
Le aziende che attualmente sono poco o per nulla presenti sul web dovrebbero attuare le seguenti misure di sicurezza:
- Approntate almeno un semplice sito web ufficiale che funga da fonte primaria di informazioni e punto di contatto. CIò può rendere più difficile per i truffatori abusare dell’identità online dell’azienda.
- Una semplice ricerca online del nome aziendale può aiutare a riconoscere tempestivamente gli abusi.
- Sensibilizzate i vostri collaboratori su possibili tentativi di frode in cui soggetti esterni si spacciano per partner o clienti.
Raccomandazioni generali
- Siate sempre vigili se venite contattati inaspettatamente, anche se i dati del mittente (ragione sociale, indirizzo, numero del registro di commercio, ecc.) sembrano a prima vista corretti.
- Verificate l’autenticità del mittente attraverso un canale indipendente (ad esempio, una ricerca separata del numero di telefono o del sito web ufficiale dell’azienda) prima di rispondere alle richieste o di divulgare informazioni sensibili.
- Prestate attenzione a piccole discrepanze negli indirizzi e-mail (ad es. info@azienda-svizzera.com invece di info@azienda.ch) o a stili di comunicazione insoliti.
- Segnalate gli episodi sospetti all’UFCS e, in caso di danni finanziari, sporgete denuncia presso la competente autorità cantonale di polizia.
Numeri e statistiche attuali
Segnalazioni della scorsa settimana per categoria:
Ultima modifica 24.06.2025