I pagamenti digitali sono oggi molto diffusi, ma aprono un fronte di rischio nuovo: gli attacchi non passano più solo dalla tecnologia, passano soprattutto dalle persone e dai processi. Quali sono le principali minacce a cui prestare attenzione? E come difendersi?
Le truffe più frequenti oggi non sono soltanto attacchi hacker condotti in grande stile, ma veri e propri inganni operativi capaci di mettere in difficoltà anche chi è esperto: email credibili, richieste urgenti, cambi di IBAN, finti fornitori, portali di pagamento fasulli e link improvvisati.
Le minacce più comuni includono: il phishing (messaggi che fingono di provenire da una banca, corriere o marketplace che spingono a inserire credenziali o a cliccare su link malevoli), le frodi su IBAN (messaggi che arrivano sulle PEC con richieste plausibili a pagare fatture scadute verso un conto che in realtà appartiene a un truffatore), finti portali o link di pagamento (pagine simili a quelle originali di banche, gateway o fornitori di servizi web costruite per sottrarre credenziali o indurre pagamenti).
La prima misura da mettere subito in pratica è attivare l’autenticazione a due fattori (2FA) o ancora meglio la MFA (Multi Factor Authentication) sull’home banking, sugli account email aziendali, sui servizi web, sui gestionali e su tutte le piattaforme di pagamento.
Tuttavia, per quanto indispensabile, la MFA da sola non è sufficiente a tutelare l’azienda dalle frodi più comuni, perché molte truffe non “rubano” solo password e codici: sfruttano urgenza, distrazione e procedure interne deboli per indurre qualcuno ad autorizzare pagamenti o modifiche apparentemente legittime.
Per questo motivo, alla sicurezza tecnologica va affiancato un set di regole operative semplici e ripetibili: verifica su canale indipendente, doppia approvazione dei pagamenti e controlli standard su fornitori e coordinate bancarie.
È importante anche scegliere il “fattore” giusto e proteggere tutti i canali critici. impostare accessi specifici per ruolo (chi prepara pagamenti, chi li autorizza, etc…), limitare i privilegi (nessun utente dovrebbe avere “tutto”), attivare notifiche di login e controlli sugli accessi (per essere informati in caso di accessi insoliti, orari anomali o tentativi sospetti).
Con particolare riferimento alla procedura di cambio IBAN, la protezione più efficiente è verificare sempre che il cambio sia reale attraverso una chiamata telefonica ad un numero telefonico già noto (mai quello indicato nella mail).
È opportuno usare sempre il numero telefonico presente in rubrica/anagrafica o sul contratto (e non quello riportato nella richiesta), documentare la verifica (data, ora, nominativo ed esito) e aggiornare l’anagrafica solo dopo aver completato il controllo.
Per ogni nuovo fornitore, è opportuno creare una checklist standard, così da raccogliere e verificare sempre le stesse informazioni prima di autorizzare pagamenti. In rubrica e in anagrafica vanno inseriti almeno: il numero di partita IVA (con verifica), una visura camerale aggiornata, il contratto o l’ordine firmato, le coordinate bancarie su documento ufficiale e recapiti validati. È buona prassi, inoltre, definire che le comunicazioni operative e amministrative arrivino solo da indirizzi previamente autorizzati, così da ridurre il rischio di richieste “anomale” provenienti da caselle di posta simili o contraffatte.
In conclusione, la sicurezza nei pagamenti digitali non è solo una questione di strumenti informatici, ma soprattutto di metodo. La MFA va attivata ovunque perché riduce in modo significativo il rischio di accessi non autorizzati, ma le frodi più dannose spesso aggirano la tecnologia puntando sul fattore umano. Proprio per questo, le aziende dovrebbero trattare i pagamenti come un processo controllato, non come un’operazione “a fiducia”.
Le procedure anti-truffa più efficaci sono anche le più semplici: separare chi prepara il pagamento da chi lo autorizza, imporre verifiche su canale indipendente quando cambiano le coordinate bancarie, validare preventivamente contatti e indirizzi email dei fornitori, documentare i controlli svolti e mantenere aggiornate anagrafiche e scadenziari.
Queste regole non rallentano l’operatività, ma la rendono più ordinata, più tracciabile e meno esposta a errori costosi. In definitiva, l’obiettivo non è “azzerare” il rischio (impossibile), ma ridurlo drasticamente e rendere l’azienda pronta a riconoscere subito segnali anomali, intervenendo prima che un pagamento sbagliato diventi una perdita irreversibile.
Antonino Salvaggio – Centro Studi CGN
