Frode della fattura: cos’è, come riconoscerla e cosa fare subito

Immagina di ricevere una fattura dal tuo fornitore di sempre. Tutto sembra normale: logo, importo, tono della mail. L’unica cosa diversa è l’IBAN. E quella differenza, se non la cogli, può costarti migliaia di euro.

Si chiama frode della fattura e, secondo i dati dell’FBI Internet Crime Report, il Business Email Compromise (BEC) di cui fa parte ha causato perdite globali superiori a 2,9 miliardi di dollari solo nel 2023. In Italia i casi sono in crescita, con un impatto sempre più frequente anche su PMI e professionisti.

In questa guida ti spieghiamo cos’è, come funziona e, soprattutto, come evitare di cadere nella trappola.

La frode della fattura (in inglese Invoice Fraud o Business Email Compromise) è una truffa in cui qualcuno ti invia una richiesta di pagamento che sembra provenire da un tuo fornitore o partner commerciale reale. L’obiettivo è uno solo: farti bonificate dei soldi sul conto sbagliato, quello dei truffatori.

Non serve che il criminale sia un hacker sofisticato. Spesso basta intercettare una comunicazione email, modificare un IBAN in un PDF e rispedire tutto come se nulla fosse.

Esistono due varianti principali:

• IBAN alterato. I truffatori intercettano una fattura autentica, cambiano solo le coordinate bancarie e la rimandano al destinatario. Il documento è identico all’originale.
• Fattura contraffatta. Viene creato un documento ex novo, con logo e stile grafici copiati, per un servizio mai erogato o un ordine mai effettuato.

Perché punta su meccanismi che conosciamo tutti: la routine, la fiducia e la fretta.

Nelle aziende, i pagamenti sono spesso un processo automatico. Nessuno mette in dubbio una fattura del fornitore con cui lavori da tre anni. E quando arriva con la dicitura “variazione IBAN urgente per motivi amministrativi”, la pressione psicologica fa il resto.

I tre leve su cui lavorano i truffatori sono sempre le stesse:

• Familiarità: il mittente sembra qualcuno che conosci
• Urgenza: “scadenza imminente”, “sollecito”, “entro oggi”
• Plausibilità: la motivazione fornita (cambio banca, revisione contabile) è realistica

La buona notizia è che quasi tutti i tentativi di frode lasciano tracce. Basta sapere dove guardare.

IBAN diverso dal solito

È il segnale più frequente. Se un fornitore ti chiede di pagare su un conto diverso da quello che usi da sempre, fermati. Soprattutto se il nuovo IBAN è presso una banca diversa o in un Paese estero, spiegato con motivazioni vaghe.

Indirizzo email quasi identico

Guarda bene l’indirizzo del mittente. I truffatori usano una tecnica chiamata typosquatting: creano indirizzi email con piccole variazioni quasi invisibili (ad esempio nome@aziendavve.it invece di nome@aziendave.it). Una lettera in più, una in meno.

Linguaggio e grafica che “stonano”

Loghi leggermente sgranati, formattazione diversa dal solito, testo che suona troppo formale o con qualche errore grammaticale. Sono tutti segnali che il documento non è stato prodotto dall’azienda originale.

Fattura fuori contesto

Ricevi una fattura per qualcosa che non hai ordinato, o per un servizio non ancora completato? Non procedere al pagamento finché non hai chiarito.

La regola è una sola: non pagare finché non hai verificato.

Ecco il protocollo che ti consigliamo:

1. Verifica fuori canale. Non rispondere alla mail sospetta. Chiama il fornitore usando il numero che hai nei tuoi archivi o sul suo sito ufficiale. Non usare mai i contatti presenti nella mail che stai esaminando.
2. Confronta i documenti. Metti a confronto la nuova fattura con quelle precedenti dello stesso fornitore: IBAN, numerazione, intestazione, layout.
3. Segnala internamente. Se sei in azienda, avvisa subito il responsabile amministrativo o l’ufficio IT. Non gestire il dubbio da solo.
4. Contatta la tua banca. Se hai dubbi su una transazione, i nostri consulenti in Banco BPM sono a tua disposizione per una verifica preventiva, prima che il bonifico venga eseguito.

La sicurezza, in questo caso, è soprattutto una questione di processi. Alcuni accorgimenti pratici che fanno davvero la differenza:

• Doppia verifica per ogni cambio IBAN. Prima di aggiornare le coordinate bancarie di un fornitore nel tuo gestionale, conferma sempre la variazione con una telefonata a un contatto verificato dell’azienda.
• Separazione dei ruoli. Chi inserisce i dati del pagamento non dovrebbe essere la stessa persona che lo autorizza. Un secondo controllo riduce drasticamente il rischio di errori.
• Formazione periodica del personale. Chi si occupa di amministrazione e pagamenti dovrebbe aggiornarsi regolarmente sulle tecniche di social engineering. La consapevolezza è lo strumento più efficace.
• Checklist standard per le fatture in arrivo. Mittente verificato, importo congruo, IBAN coerente con i precedenti. Tre passaggi, pochi secondi, molto meno rischio.

Se ti rendi conto di aver inviato un bonifico a un conto fraudolento, ogni minuto conta.

Contatta immediatamente Banco BPM. Chiedi se è possibile bloccare o richiamare il bonifico: in alcuni casi, se si agisce in tempo, il recupero è possibile.

Sporgi denuncia alla Polizia Postale. È un passaggio fondamentale, anche per avviare eventuali procedure di recupero tramite i canali interbancari internazionali.

Avvisa il fornitore reale. La sua identità o i suoi canali di comunicazione potrebbero essere stati compromessi. Informarlo gli permette di mettere in sicurezza i propri sistemi e avvisare altri clienti.

La frode della fattura è una minaccia concreta, ma prevenibile. Un processo di verifica solido e un po’ di attenzione in più prima di ogni pagamento sono spesso sufficienti a bloccarla.

Per restare aggiornato sulle nuove tipologie di truffe, continua a seguire la rubrica Tutela la tua sicurezza.

L’articolo è di carattere divulgativo aggiornato alla data di pubblicazione. Per conoscere l’offerta della Banca consulta l’area Prodotti.

“Messaggio pubblicitario con finalità promozionale. Per le condizioni contrattuali si rinvia ai fogli informativi e/o alla documentazione contrattuale disponibili sul sito www.bancobpm.it e presso le filiali della Banca. Per l’emissione della carta di debito e della carta di credito la Banca si riserva la valutazione dei requisiti necessari alla concessione e dei massimali di spesa da assegnare alla stessa.”