27.01.2026 - La cosiddetta truffa del CEO rimane una delle frodi più comunemente segnalate all’UFCS, con un aumento da 719 a 971 casi nel 2025 rispetto al 2024. La scorsa settimana l’UFCS ha ricevuto nuovamente segnalazioni che dimostrano come i criminali stiano costantemente perfezionando la loro truffa. Tra gli espedienti utilizzati non rientrano più solo le e-mail false, ma anche la manipolazione psicologica e l’intelligenza artificiale. La retrospettiva di questa settimana analizza come riconoscere i sottili segnali di allarme nella quotidianità lavorativa.
Nel ritmo frenetico della quotidianità lavorativa, sono spesso le e-mail dei superiori a stabilire le priorità. Le istruzioni impartite dalla direzione sono solitamente eseguite rapidamente e senza troppe domande. Nella cosiddetta truffa del CEO, i cibercriminali sfruttano proprio questo riflesso. Gli attacchi si verificano spesso a ondate e colpiscono PMI o organizzazioni di tutte le dimensioni. I truffatori utilizzano principalmente dati provenienti da fonti pubbliche: nel mirino si trovano in particolare le aziende, le associazioni o i comuni che pubblicano dati sui propri collaboratori o sul proprio team sul proprio sito web o sui social media.
Tutto inizia con la ricerca
A differenza delle e-mail di phishing inviate in massa, gli autori della truffa del CEO si preparano in anticipo. Effettuano ricerche sui social network come LinkedIn o sui siti web aziendali, oltre che nel registro di commercio, per analizzare gerarchie, responsabilità e assenze. Così scoprono esattamente chi nel reparto contabilità ha accesso ai conti e chi nella direzione è autorizzato a impartire istruzioni.
Lo scenario tipico che viene ripetutamente segnalato all’UFCS è il seguente: un collaboratore del reparto delle finanze riceve un’e-mail che sembra provenire dall’amministratore delegato. Il nome del mittente è corretto e anche l’indirizzo e-mail sembra a prima vista affidabile. È solo a una seconda occhiata che le discrepanze diventano evidenti: i truffatori spesso utilizzano domini con «typosquatting», ossia con minimi errori di ortografia nel dominio.
Quando l’autorevolezza fa leva sull’urgenza
Nel messaggio, di solito lo scenario si profila come una «richiesta» urgente. Le scuse più diffuse sono:
- Un pagamento urgente a un fornitore estero, di solito seguito da una domanda sul saldo del conto corrente;
- L’acquisto di carte regalo o voucher per i partner, che deve essere effettuato immediatamente.
I malintenzionati esercitano pressioni psicologiche: frasi come «Confido nella sua discrezione», «Le sono incredibilmente grato» o «Effettui immediatamente il pagamento» hanno lo scopo di impedire al collaboratore di seguire il consueto protocollo di sicurezza o di fare domande.
Nuova variante via WhatsApp e con l’IA
Tuttavia, le truffe del CEO non avvengono solo via e-mail, ma anche tramite WhatsApp o telefono. Uno sviluppo preoccupante è il crescente utilizzo dell’intelligenza artificiale (IA). I criminali utilizzano strumenti di intelligenza artificiale per imitare lo stile di scrittura dei veri superiori, compresi i saluti o le frasi tipiche. Ne è un esempio un caso reso pubblico la scorsa settimana nel Cantone di Svitto: una società ha perso diversi milioni di franchi in una frode che faceva ampio uso di chiamate audio e messaggi vocali deepfake. L’intelligenza artificiale è infatti in grado di emulare in maniera credibile la voce del capo o di un partner commerciale.
Sono state osservate anche videoconferenze manipolate con l’intelligenza artificiale, che tuttavia sembrano ancora troppo complesse da attuare per i truffatori. Probabilmente si tratta ancora di primi tentativi. I malintenzionati tendono a concentrarsi piuttosto sulla variante telefonica e sulla clonazione vocale.
Gli intramontabili studi legali
L’UFCS riceve anche ripetutamente segnalazioni di contatti tramite avvocati: i nomi di studi legali esistenti con sede in Svizzera vengono utilizzati impropriamente per infondere fiducia nelle vittime. In questo caso, il presunto superiore chiede alla vittima se un determinato avvocato l’ha già contattata per una questione riservata o un mandato urgente. La menzione di una terza persona ha lo scopo di creare ulteriore gravità e pressione legale. Inoltre, le vittime non conoscono le caratteristiche e le abitudini dell’avvocato come quelle del loro capo o dei loro stessi collaboratori. I truffatori, quindi, non devono più impegnarsi così tanto per imitare la persona. Di norma, i truffatori si spacciano per il suddetto avvocato per richiedere un bonifico bancario urgente all’estero con la scusa della massima segretezza.
Raccomandazioni
L’UFCS consiglia alle aziende di creare barriere tecniche e organizzative:
- Il principio «quattro occhi vedono meglio di due»: Per i pagamenti e le modifiche ai dati anagrafici (ad esempio, il nuovo IBAN di un fornitore), è indispensabile inserire una firma collettiva o l’autorizzazione di un’altra persona.
- Verifica tramite un secondo canale: Se ricevete una richiesta di pagamento via e-mail, soprattutto se «urgente» o «segreta», chiamate il cliente. Non utilizzate il numero indicato nell’e-mail, ma il numero che conoscete.
- Non fate eccezioni: I processi di sicurezza non devono essere aggirati, anche (e soprattutto) in caso di istruzioni da parte dei livelli più alti della gerarchia. Un sano scetticismo dovrebbe essere visto come un punto di forza della cultura aziendale, non come disobbedienza.
- Contrassegnate le e-mail esterne: Configurate il vostro server di posta affinché le e-mail provenienti da mittenti esterni siano chiaramente contrassegnate nell’oggetto o nel corpo (ad esempio, «ESTERNO»). Così noterete subito se un’e-mail che sembra provenire dal CEO interno è stata in realtà inviata da un indirizzo esterno.
Numeri e statistiche attuali
Segnalazioni della scorsa settimana per categoria:
Ultima modifica 27.01.2026
