Come prevenire la Business Email Compromise (BEC) nel 2026
La risposta breve
Per prevenire la Business Email Compromise, applica DMARC a p=reject in modo che i server destinatari rifiutino ogni email che non supera l'autenticazione; poi aggiungi monitoraggio DNS, rilevamento dell'impersonificazione del brand, procedure di verifica dei pagamenti e formazione del personale. DMARC in enforcement impedisce agli aggressori di inviare email che sembrano provenire esattamente dal tuo dominio, che è la base della maggior parte dei BEC. Gli altri livelli servono a colmare le lacune che restano quando lo spoofing del dominio esatto non è più possibile.
Guida rapida alla protezione
Cosa stai bloccando | Il controllo che lo blocca | Prodotto Red Sift adatto |
Spoofing del dominio esatto | DMARC a p=reject (con SPF e DKIM) | Red Sift OnDMARC |
Impersonificazione con domini simili | Rilevamento e rimozione dei domini simili | Red Sift Brand Trust |
Takeover di sottodomini, DNS scadenti, abuso di domini parcheggiati | Monitoraggio DNS continuo | DNS Guardian (tramite OnDMARC) |
Errore di configurazione prima che lo trovino gli aggressori | Correzione automatica di sicurezza ottimizzata dall'AI | Red Sift Radar (tramite OnDMARC) |
Cos'è la Business Email Compromise?
La Business Email Compromise (BEC) è un attacco informatico in cui dei criminali impersonano un dirigente, un fornitore o un partner fidato tramite email per indurre un dipendente a trasferire fondi, cambiare dati di pagamento o fornire dati sensibili. A differenza degli attacchi basati su malware, le email BEC non contengono allegati o link dannosi, quindi non attivano i tradizionali filtri di sicurezza. Funzionano sfruttando la psicologia umana, la fiducia e l'urgenza, non una vulnerabilità tecnica.
Nel 2025, la BEC ha rappresentato 3,05 miliardi di dollari di perdite segnalate, rendendola una delle categorie di crimine informatico più costose [1]. Il motivo per cui continua a fruttare è semplice: una singola richiesta di bonifico andata a buon fine frutta soldi reali agli aggressori al costo di un'email scritta bene, e le persone colpite fanno esattamente ciò che il loro ruolo richiede loro di fare.
Perché le BEC sono così pericolose?
A differenza degli attacchi malware tradizionali, gli schemi BEC sfruttano la psicologia umana invece delle vulnerabilità tecniche. Gli aggressori studiano meticolosamente gerarchie, pattern comunicativi e processi aziendali per creare tentativi di impersonificazione credibili che passano inosservati ai controlli classici.
Le BEC sono particolarmente pericolose perché aggirano i controlli su cui la maggior parte delle aziende fa affidamento.
Questi attacchi:
- Non contengono allegati o link dannosi, quindi appaiono legittimi e passano i filtri convenzionali
- Sfruttano la fiducia impersonando dirigenti, fornitori o partner già conosciuti
- Prendono di mira momenti di alto valore come bonifici, pagamenti fatture e richieste dati
- Usano ingegneria sociale, non indicatori tecnici, il che rende difficile individuarli a posteriori
BEC, email spoofing e impersonificazione: come sono collegati
Email spoofing e email impersonification sono le tecniche. La Business Email Compromise è l'obiettivo per cui vengono usate. Capire i termini è importante, perché la difesa per ciascuna è diversa.
Email spoofing significa falsificare l'indirizzo "Da" così che un messaggio sembri provenire da un dominio non di proprietà dell'attaccante. Se ti spoofano il dominio esatto (tuodominio.com), l'email è indistinguibile da una reale a meno che tu non abbia pubblicato una policy DMARC che dice ai destinatari di rifiutarla.
Email impersonification è la categoria più ampia. Include lo spoofing esatto, ma anche domini simili (tu0dominio.com), trucchi sul display name e account compromessi. Servono più controlli per bloccarla.
Ecco la suddivisione pratica. DMARC a p=reject elimina lo spoofing esatto, perché i server rifiutano tutto ciò che non è autenticato. Per le impersonificazioni con domini simili serve invece il monitoraggio del brand, che individua e blocca i domini progettati per ricordare il tuo. Gli attacchi tramite account compromessi vanno contrastati con autenticazione a più fattori e filtri in ingresso. Una difesa BEC completa copre tutti e tre i casi; la maggior parte delle aziende ne copre solo uno.
Il panorama attuale delle minacce BEC
Le statistiche mostrano chiaramente il peso crescente delle BEC:
Impatto finanziario
- Gli attacchi BEC costano in media 4,89 milioni di dollari per incidente, sono la seconda tipologia di violazione più cara, e costituiscono il 73% di tutti gli incidenti informatici segnalati nel 2024. [2]
- La richiesta media di bonifico con un attacco BEC era 24.586 dollari all'inizio del 2025
- Negli ultimi tre anni, le perdite segnalate da BEC hanno raggiunto quasi 8,5 miliardi di dollari solo negli Stati Uniti [3]
Frequenza degli attacchi
- Gli attacchi BEC sono aumentati del 30% anno su anno a marzo 2025 [2]
- Rappresentano oltre il 50% di tutti gli incidenti di social engineering
- Anche le piccole aziende (meno di 1.000 dipendenti) hanno il 70% di probabilità settimanale di almeno un tentativo BEC
Tattiche in evoluzione
- Gli attacchi BEC con bonifico sono aumentati del 24% rispetto al trimestre precedente [4]
- Gli aggressori usano sempre più strumenti AI per comunicazioni fraudolente sofisticate e convincenti [1]
- Gli attacchi Vendor Email Compromise (VEC) sono cresciuti del 66% nella prima metà del 2024 [5]
I cinque tipi di attacco BEC
L'FBI individua cinque forme comuni di BEC. Sapere quali colpiscono i tuoi team indica dove concentrare verifiche e formazione.
1. Frode del CEO
Gli aggressori impersonano un dirigente per richiedere un bonifico urgente o informazioni sensibili. Questi attacchi sfruttano l'autorità e la pressione temporale per spingere i dipendenti oltre i controlli di routine.
2. Compromissione dell'account
I criminali ottengono accesso a una vera casella email aziendale e la usano per chiedere pagamenti a fornitori o cambiare dati bancari. Poiché l'email proviene da un account reale, è difficile da rilevare e spesso passa i controlli di autenticazione.
3. Schemi di falsa fatturazione
Truffatori si spacciano per fornitori e inviano false fatture o chiedono di modificare dati di pagamento. I reparti di contabilità sono tra le vittime principali e la routine dei pagamenti gioca a favore dell'attacco.
4. Impersonificazione del legale
Gli aggressori fingono di essere avvocati o rappresentanti legali, spesso puntando su dipendenti junior che tendono meno a mettere in discussione la richiesta. Questi casi si verificano di frequente durante fusioni, acquisizioni o in situazioni delicate.
5. Furto di dati
Questi attacchi prendono di mira HR e finanza per ottenere informazioni personali su dirigenti e dipendenti, che saranno poi usate in futuri attacchi o vendute.
Come difendersi dalla Business Email Compromise
Contro la BEC servono livelli di difesa che partano dalla sorgente e si estendano. Nessun controllo singolo basta: la vera difesa combina autenticazione email, igiene DNS, monitoraggio del brand, procedure sui pagamenti e formazione.
Livello 1: ferma lo spoofing del dominio esatto con DMARC in enforcement
DMARC (Domain-based Message Authentication, Reporting, and Conformance) è il controllo che elimina la base di quasi tutte le BEC. Con policy p=reject, obbliga i server destinatari a rifiutare tutte le email non autenticate, così gli aggressori non possono inviare messaggi che sembrano venire dal tuo dominio.
Si arriva in tre passi: pubblicare SPF e DKIM e confermare che passano e sono allineati; iniziare DMARC a p=none per vedere chi manda per tuo conto; stringere a p=quarantine, infine p=reject quando tutti i tuoi mittenti legittimi sono autenticati correttamente. Una policy p=quarantine non basta, perché la mail fraudolenta finisce comunque tra lo spam dove può essere trovata e aperta.
Red Sift OnDMARC automatizza le parti che bloccano più spesso i progetti, portando le organizzazioni in enforcement in 6-8 settimane. I progetti DMARC manuali spesso durano sei mesi o più, molti non arrivano mai all'enforcement.
Livello 2: ferma i domini simili con il monitoraggio del brand
Quando il tuo dominio principale è protetto da DMARC, gli attaccanti puntano su domini simili. DMARC qui non serve, perché il dominio simile è controllato dagli aggressori. Red Sift Brand Trust trova i nuovi domini simili, ne valuta il rischio tramite segnali come l’uso del logo e dei contenuti delle pagine e interviene prima che possano essere usati contro i tuoi clienti.
Livello 3: chiudi le falle DNS
Gli attaccanti sfruttano anche parti del tuo DNS che hai dimenticato. Tre rischi principali:
- Domini parcheggiati. I domini che possiedi ma non usi per l’email spesso non hanno record DMARC, quindi possono essere facilmente falsificati. Pubblica DMARC a p=reject per ogni dominio, anche se inattivo.
- DNS scadenti. Un record DNS (spesso un CNAME) che punta a un servizio che non controlli più può essere reclamato da un attaccante che invierà email autenticate o ospiterà contenuti sul tuo sottodominio.
- Takeover di sottodomini. La campagna SubdoMailing 2024 ha colpito migliaia di marchi grazie a queste lacune, inviando phishing che superava SPF, DKIM e DMARC perché proveniva da infrastrutture legittime.
DNS Guardian, integrato in OnDMARC, monitora il tuo DNS in modo continuo per individuare sottodomini dormienti, CNAME scaduti e rischi takeover. Per una spiegazione passo-passo della difesa multilivello consulta la nostra guida alla difesa contro l'impersonificazione del dominio.
Livello 4: verifica i soldi
L'autenticazione blocca l'impersonificazione. La procedura interna evita la perdita quando un attacco si verifica per altre vie (per esempio un account compromesso). Pretendi sempre una verifica fuori banda (una telefonata a un numero noto) per ogni variazione nei pagamenti e bonifici. Usa il controllo a doppia approvazione sopra una certa soglia. Crea una procedura chiara di escalation, così una richiesta sospetta viene controllata senza rallentare il business.
Livello 5: forma chi è in prima linea
I ruoli più presi di mira sono finanza, HR e assistenti di direzione; quindi la formazione deve riguardarli nello specifico con scenari reali, non semplici slide generiche. Simula phishing. Rendi semplice segnalare email sospette e assicurati che chi le segnala non venga mai sanzionato se l'email era autentica.
Come verificare se il tuo dominio viene falsificato
Per controllare se il tuo dominio viene falsificato, esegui un controllo DMARC gratuito con Red Sift Investigate e rivedi i report aggregati DMARC per fonti di invio che non riconosci. Il controllo dura circa 30 secondi e mostra se SPF, DKIM e DMARC sono configurati e se la policy blocca realmente la posta non autenticata.
I report aggregati DMARC sono la vera cartina di tornasole: raccolgono ogni sorgente che spedisce a tuo nome. Se trovi sorgenti che non conosci, sono shadow IT fuori controllo o qualcuno che ti sta spoofando. Uno strumento di monitoraggio trasforma questi report XML in un elenco leggibile di mittenti, così puoi intervenire. Per una guida dettagliata consulta la nostra guida per identificare e prevenire lo spoofing email.
Come Red Sift OnDMARC blocca la BEC alla radice
Red Sift OnDMARC è un'applicazione DMARC automatizzata che aiuta le organizzazioni ad arrivare rapidamente all'enforcement e a restarci. Previene la BEC eliminando la via più semplice degli aggressori: inviare email dal tuo vero dominio.
- Percorso rapido all'enforcement. OnDMARC porta i clienti a p=reject in 6-8 settimane traducendo i report aggregati in una dashboard chiara dei mittenti.
- Dynamic Services. Gestisci SPF, DKIM, DMARC e MTA-STS da un'unica interfaccia evitando errori e superando il limite SPF delle 10 lookup senza modifiche manuali ai record.
- DNS Guardian. Monitoraggio continuo DNS che individua takeover di sottodomini, DNS scadenti e abusi in stile SubdoMailing prima che gli attaccanti possano sfruttarli.
- Radar. Analisi AI che rileva lacune e errori di configurazione prima che causino un incidente.
DMARC o secure email gateway: cosa ferma la BEC?
Confonde molti team, quindi è meglio essere precisi. DMARC e i secure email gateway risolvono due metà diverse del problema.
DMARC (autenticazione email) | Secure email gateway (SEG) | |
Cosa protegge | L'identità in uscita del tuo dominio | La casella di posta in entrata |
Dove agisce | Sui server destinatari in tutto il mondo | Al perimetro della tua infrastruttura email |
Ferma lo spoofing esatto del tuo dominio | Sì, a p=reject | No |
Ferma i domini simili | No (servono strumenti per il monitoraggio del brand) | Parzialmente (spesso non sufficiente) |
Ferma malwares e link entranti | No | Sì |
Ruolo nella BEC | Rimuove l'impersonificazione alla fonte (protegge brand e clienti) | Filtra ciò che arriva nella casella email del team |
Un gateway filtra le email dannose nella tua casella di posta. DMARC invece impedisce agli aggressori di usare il tuo dominio per colpire tutti gli altri, inclusi clienti e partner che non passano dal tuo gateway. Per la BEC che impersona il tuo brand, DMARC a p=reject è la misura che elimina l'attacco all'origine. I due strumenti sono complementari e non si sostituiscono.
Prevenzione BEC per settore
Ogni settore subisce pressioni diverse da BEC, quindi l'enfasi cambia.
- Servizi finanziari: i bersagli di maggior valore, obblighi antifrode stringenti; serve massima verifica su ogni transazione.
- Sanità: colpita per frode e furto dati su reti molto articolate, anche di terze parti.
- Manifatturiero: obiettivo attraverso reti complesse di fornitori e alti valori in fattura; punto debole è la comunicazione nella supply chain.
- Servizi legali: trattano dati riservati e fondi dei clienti; proteggere la comunicazione è critico quanto tutelare i soldi.
Come misurare il successo: metriche per la prevenzione BEC
Monitora queste metriche per sapere se la difesa funziona davvero, non se è solo installata.
Metriche tecniche
- Tasso di enforcement policy DMARC (obiettivo: 100% domini a p=reject)
- Tasso di autenticazione superata dai mittenti legittimi
- Riduzione della ricezione di posta non autenticata
Metriche operative
- Tentativi BEC rilevati e bloccati
- Tasso di segnalazione dei dipendenti per email sospette
- Tempo per verificare e processare richieste di pagamento legittime
Metriche di business
- Riduzione delle perdite per frode
- Miglioramento della deliverability email (effetto collaterale di autenticazione pulita)
- Tempo risparmiato grazie all’automazione nella gestione delle autenticazioni
Come sta evolvendo la BEC
La BEC è in continua evoluzione e anche la difesa va aggiornata.
- Attacchi potenziati dall'AI. I criminali usano generatori di testi per creare impersonificazioni perfette e cloni vocali per le chiamate. In truffe ad alto profitto iniziano a comparire video deepfake.
- Attacchi multicanale. La BEC si sposta oltre l'email (SMS, voce, tool di collaborazione), quindi la difesa va estesa a tutti i canali.
- Bersagli nella supply chain. Gli attacchi Vendor Email Compromise continuano a salire, sfruttando i fornitori per aggirare le tue difese dirette. Porta anche i tuoi fornitori verso DMARC.
La tua roadmap contro la BEC
Ecco una sequenza per metterti davvero al sicuro senza complicarti la vita.
Settimana 1: verifica lo stato attuale
- Esegui un DMARC check gratuito con Investigate e documenta tutte le fonti che inviano a tuo nome
- Applica la verifica fuori banda per bonifici già da subito, prima di qualunque tecnica
- Forma finanza, HR e assistenti di direzione sui cinque tipi di BEC
Mese 1-2: chiudi il dominio
- Distribuisci OnDMARC e inizia il percorso verso l'enforcement
- Raggiungi p=reject sul dominio principale e pubblica DMARC sui domini parcheggiati
- Attiva simulazioni phishing e un canale chiaro di segnalazione
Mese 3-6: completa la protezione
- Estendi la protezione a tutti i sottodomini e attiva il monitoraggio DNS
- Aggiungi la rilevazione dei domini simili con Brand Trust
- Aggiungi BIMI solo dopo enforcement, migliorando deliverability e riconoscimento del brand
Fonti
[1] Rapporto FBI IC3. "FBI Internet Crime Report 2025." https://www.ic3.gov/AnnualReport/Reports/2025_IC3Report.pdf
[2] Hoxhunt. "Business Email Compromise Statistics 2025 (+Prevention Guide)." https://hoxhunt.com/blog/business-email-compromise-statistics
[3] NACHA. "FBI's IC3 Finds Almost $8.5 Billion Lost to Business Email Compromise in Last Three Years." https://www.nacha.org/news/fbis-ic3-finds-almost-85-billion-lost-business-email-compromise-last-three-years
[4] Trans Union. "Rising Incidents of BEC and Wire Fraud: Tales from the Front Lines." https://www.transunion.com/blog/bec-wire-fraud-incidents
[5] Business Email Compromise Statistics https://hoxhunt.com/blog/business-email-compromise-statistics
La tua organizzazione è protetta contro la Business Email Compromise?




