Cos'è la Business Email Compromise e come puoi prevenirla?

Pubblicato il:30 settembre 2025
Ultima modifica:25 giugno 2026
12 min di lettura
Indice dei contenuti

Come prevenire la Business Email Compromise (BEC) nel 2026

La risposta breve

Per prevenire la Business Email Compromise, applica DMARC a p=reject in modo che i server destinatari rifiutino ogni email che non supera l'autenticazione; poi aggiungi monitoraggio DNS, rilevamento dell'impersonificazione del brand, procedure di verifica dei pagamenti e formazione del personale. DMARC in enforcement impedisce agli aggressori di inviare email che sembrano provenire esattamente dal tuo dominio, che è la base della maggior parte dei BEC. Gli altri livelli servono a colmare le lacune che restano quando lo spoofing del dominio esatto non è più possibile.

Guida rapida alla protezione

Cosa stai bloccando

Il controllo che lo blocca

Prodotto Red Sift adatto

Spoofing del dominio esatto

DMARC a p=reject (con SPF e DKIM)

Red Sift OnDMARC

Impersonificazione con domini simili

Rilevamento e rimozione dei domini simili

Red Sift Brand Trust

Takeover di sottodomini, DNS scadenti, abuso di domini parcheggiati

Monitoraggio DNS continuo

DNS Guardian (tramite OnDMARC)

Errore di configurazione prima che lo trovino gli aggressori

Correzione automatica di sicurezza ottimizzata dall'AI

Red Sift Radar (tramite OnDMARC)

Espandi la tabella per vederla interamente.

Cos'è la Business Email Compromise?

La Business Email Compromise (BEC) è un attacco informatico in cui dei criminali impersonano un dirigente, un fornitore o un partner fidato tramite email per indurre un dipendente a trasferire fondi, cambiare dati di pagamento o fornire dati sensibili. A differenza degli attacchi basati su malware, le email BEC non contengono allegati o link dannosi, quindi non attivano i tradizionali filtri di sicurezza. Funzionano sfruttando la psicologia umana, la fiducia e l'urgenza, non una vulnerabilità tecnica.

Nel 2025, la BEC ha rappresentato 3,05 miliardi di dollari di perdite segnalate, rendendola una delle categorie di crimine informatico più costose [1]. Il motivo per cui continua a fruttare è semplice: una singola richiesta di bonifico andata a buon fine frutta soldi reali agli aggressori al costo di un'email scritta bene, e le persone colpite fanno esattamente ciò che il loro ruolo richiede loro di fare.

Perché le BEC sono così pericolose?

A differenza degli attacchi malware tradizionali, gli schemi BEC sfruttano la psicologia umana invece delle vulnerabilità tecniche. Gli aggressori studiano meticolosamente gerarchie, pattern comunicativi e processi aziendali per creare tentativi di impersonificazione credibili che passano inosservati ai controlli classici.

Le BEC sono particolarmente pericolose perché aggirano i controlli su cui la maggior parte delle aziende fa affidamento.

Questi attacchi:

  • Non contengono allegati o link dannosi, quindi appaiono legittimi e passano i filtri convenzionali
  • Sfruttano la fiducia impersonando dirigenti, fornitori o partner già conosciuti
  • Prendono di mira momenti di alto valore come bonifici, pagamenti fatture e richieste dati
  • Usano ingegneria sociale, non indicatori tecnici, il che rende difficile individuarli a posteriori

BEC, email spoofing e impersonificazione: come sono collegati

Email spoofing e email impersonification sono le tecniche. La Business Email Compromise è l'obiettivo per cui vengono usate. Capire i termini è importante, perché la difesa per ciascuna è diversa.

Email spoofing significa falsificare l'indirizzo "Da" così che un messaggio sembri provenire da un dominio non di proprietà dell'attaccante. Se ti spoofano il dominio esatto (tuodominio.com), l'email è indistinguibile da una reale a meno che tu non abbia pubblicato una policy DMARC che dice ai destinatari di rifiutarla.

Email impersonification è la categoria più ampia. Include lo spoofing esatto, ma anche domini simili (tu0dominio.com), trucchi sul display name e account compromessi. Servono più controlli per bloccarla.

Ecco la suddivisione pratica. DMARC a p=reject elimina lo spoofing esatto, perché i server rifiutano tutto ciò che non è autenticato. Per le impersonificazioni con domini simili serve invece il monitoraggio del brand, che individua e blocca i domini progettati per ricordare il tuo. Gli attacchi tramite account compromessi vanno contrastati con autenticazione a più fattori e filtri in ingresso. Una difesa BEC completa copre tutti e tre i casi; la maggior parte delle aziende ne copre solo uno.

Il panorama attuale delle minacce BEC

Le statistiche mostrano chiaramente il peso crescente delle BEC:

Impatto finanziario

  • Gli attacchi BEC costano in media 4,89 milioni di dollari per incidente, sono la seconda tipologia di violazione più cara, e costituiscono il 73% di tutti gli incidenti informatici segnalati nel 2024. [2]
  • La richiesta media di bonifico con un attacco BEC era 24.586 dollari all'inizio del 2025
  • Negli ultimi tre anni, le perdite segnalate da BEC hanno raggiunto quasi 8,5 miliardi di dollari solo negli Stati Uniti [3]

Frequenza degli attacchi

  • Gli attacchi BEC sono aumentati del 30% anno su anno a marzo 2025 [2]
  • Rappresentano oltre il 50% di tutti gli incidenti di social engineering
  • Anche le piccole aziende (meno di 1.000 dipendenti) hanno il 70% di probabilità settimanale di almeno un tentativo BEC

Tattiche in evoluzione

  • Gli attacchi BEC con bonifico sono aumentati del 24% rispetto al trimestre precedente [4]
  • Gli aggressori usano sempre più strumenti AI per comunicazioni fraudolente sofisticate e convincenti [1]
  • Gli attacchi Vendor Email Compromise (VEC) sono cresciuti del 66% nella prima metà del 2024 [5]

I cinque tipi di attacco BEC

L'FBI individua cinque forme comuni di BEC. Sapere quali colpiscono i tuoi team indica dove concentrare verifiche e formazione.

1. Frode del CEO

Gli aggressori impersonano un dirigente per richiedere un bonifico urgente o informazioni sensibili. Questi attacchi sfruttano l'autorità e la pressione temporale per spingere i dipendenti oltre i controlli di routine.

2. Compromissione dell'account

I criminali ottengono accesso a una vera casella email aziendale e la usano per chiedere pagamenti a fornitori o cambiare dati bancari. Poiché l'email proviene da un account reale, è difficile da rilevare e spesso passa i controlli di autenticazione.

3. Schemi di falsa fatturazione

Truffatori si spacciano per fornitori e inviano false fatture o chiedono di modificare dati di pagamento. I reparti di contabilità sono tra le vittime principali e la routine dei pagamenti gioca a favore dell'attacco.

4. Impersonificazione del legale

Gli aggressori fingono di essere avvocati o rappresentanti legali, spesso puntando su dipendenti junior che tendono meno a mettere in discussione la richiesta. Questi casi si verificano di frequente durante fusioni, acquisizioni o in situazioni delicate.

5. Furto di dati

Questi attacchi prendono di mira HR e finanza per ottenere informazioni personali su dirigenti e dipendenti, che saranno poi usate in futuri attacchi o vendute.

Come difendersi dalla Business Email Compromise

Contro la BEC servono livelli di difesa che partano dalla sorgente e si estendano. Nessun controllo singolo basta: la vera difesa combina autenticazione email, igiene DNS, monitoraggio del brand, procedure sui pagamenti e formazione.

Livello 1: ferma lo spoofing del dominio esatto con DMARC in enforcement

DMARC (Domain-based Message Authentication, Reporting, and Conformance) è il controllo che elimina la base di quasi tutte le BEC. Con policy p=reject, obbliga i server destinatari a rifiutare tutte le email non autenticate, così gli aggressori non possono inviare messaggi che sembrano venire dal tuo dominio.

Si arriva in tre passi: pubblicare SPF e DKIM e confermare che passano e sono allineati; iniziare DMARC a p=none per vedere chi manda per tuo conto; stringere a p=quarantine, infine p=reject quando tutti i tuoi mittenti legittimi sono autenticati correttamente. Una policy p=quarantine non basta, perché la mail fraudolenta finisce comunque tra lo spam dove può essere trovata e aperta.

Red Sift OnDMARC automatizza le parti che bloccano più spesso i progetti, portando le organizzazioni in enforcement in 6-8 settimane. I progetti DMARC manuali spesso durano sei mesi o più, molti non arrivano mai all'enforcement.

Livello 2: ferma i domini simili con il monitoraggio del brand

Quando il tuo dominio principale è protetto da DMARC, gli attaccanti puntano su domini simili. DMARC qui non serve, perché il dominio simile è controllato dagli aggressori. Red Sift Brand Trust trova i nuovi domini simili, ne valuta il rischio tramite segnali come l’uso del logo e dei contenuti delle pagine e interviene prima che possano essere usati contro i tuoi clienti.

Livello 3: chiudi le falle DNS

Gli attaccanti sfruttano anche parti del tuo DNS che hai dimenticato. Tre rischi principali:

  • Domini parcheggiati. I domini che possiedi ma non usi per l’email spesso non hanno record DMARC, quindi possono essere facilmente falsificati. Pubblica DMARC a p=reject per ogni dominio, anche se inattivo.
  • DNS scadenti. Un record DNS (spesso un CNAME) che punta a un servizio che non controlli più può essere reclamato da un attaccante che invierà email autenticate o ospiterà contenuti sul tuo sottodominio.
  • Takeover di sottodomini. La campagna SubdoMailing 2024 ha colpito migliaia di marchi grazie a queste lacune, inviando phishing che superava SPF, DKIM e DMARC perché proveniva da infrastrutture legittime.

DNS Guardian, integrato in OnDMARC, monitora il tuo DNS in modo continuo per individuare sottodomini dormienti, CNAME scaduti e rischi takeover. Per una spiegazione passo-passo della difesa multilivello consulta la nostra guida alla difesa contro l'impersonificazione del dominio.

Livello 4: verifica i soldi

L'autenticazione blocca l'impersonificazione. La procedura interna evita la perdita quando un attacco si verifica per altre vie (per esempio un account compromesso). Pretendi sempre una verifica fuori banda (una telefonata a un numero noto) per ogni variazione nei pagamenti e bonifici. Usa il controllo a doppia approvazione sopra una certa soglia. Crea una procedura chiara di escalation, così una richiesta sospetta viene controllata senza rallentare il business.

Livello 5: forma chi è in prima linea

I ruoli più presi di mira sono finanza, HR e assistenti di direzione; quindi la formazione deve riguardarli nello specifico con scenari reali, non semplici slide generiche. Simula phishing. Rendi semplice segnalare email sospette e assicurati che chi le segnala non venga mai sanzionato se l'email era autentica.

Come verificare se il tuo dominio viene falsificato

Per controllare se il tuo dominio viene falsificato, esegui un controllo DMARC gratuito con Red Sift Investigate e rivedi i report aggregati DMARC per fonti di invio che non riconosci. Il controllo dura circa 30 secondi e mostra se SPF, DKIM e DMARC sono configurati e se la policy blocca realmente la posta non autenticata.

I report aggregati DMARC sono la vera cartina di tornasole: raccolgono ogni sorgente che spedisce a tuo nome. Se trovi sorgenti che non conosci, sono shadow IT fuori controllo o qualcuno che ti sta spoofando. Uno strumento di monitoraggio trasforma questi report XML in un elenco leggibile di mittenti, così puoi intervenire. Per una guida dettagliata consulta la nostra guida per identificare e prevenire lo spoofing email.

Come Red Sift OnDMARC blocca la BEC alla radice

Red Sift OnDMARC è un'applicazione DMARC automatizzata che aiuta le organizzazioni ad arrivare rapidamente all'enforcement e a restarci. Previene la BEC eliminando la via più semplice degli aggressori: inviare email dal tuo vero dominio.

  • Percorso rapido all'enforcement. OnDMARC porta i clienti a p=reject in 6-8 settimane traducendo i report aggregati in una dashboard chiara dei mittenti.
  • Dynamic Services. Gestisci SPF, DKIM, DMARC e MTA-STS da un'unica interfaccia evitando errori e superando il limite SPF delle 10 lookup senza modifiche manuali ai record.
  • DNS Guardian. Monitoraggio continuo DNS che individua takeover di sottodomini, DNS scadenti e abusi in stile SubdoMailing prima che gli attaccanti possano sfruttarli.
  • Radar. Analisi AI che rileva lacune e errori di configurazione prima che causino un incidente.

DMARC o secure email gateway: cosa ferma la BEC?

Confonde molti team, quindi è meglio essere precisi. DMARC e i secure email gateway risolvono due metà diverse del problema.

DMARC (autenticazione email)

Secure email gateway (SEG)

Cosa protegge

L'identità in uscita del tuo dominio

La casella di posta in entrata

Dove agisce

Sui server destinatari in tutto il mondo

Al perimetro della tua infrastruttura email

Ferma lo spoofing esatto del tuo dominio

Sì, a p=reject

No

Ferma i domini simili

No (servono strumenti per il monitoraggio del brand)

Parzialmente (spesso non sufficiente)

Ferma malwares e link entranti

No

Ruolo nella BEC

Rimuove l'impersonificazione alla fonte (protegge brand e clienti)

Filtra ciò che arriva nella casella email del team

Espandi la tabella per i dettagli completi

Un gateway filtra le email dannose nella tua casella di posta. DMARC invece impedisce agli aggressori di usare il tuo dominio per colpire tutti gli altri, inclusi clienti e partner che non passano dal tuo gateway. Per la BEC che impersona il tuo brand, DMARC a p=reject è la misura che elimina l'attacco all'origine. I due strumenti sono complementari e non si sostituiscono.

Prevenzione BEC per settore

Ogni settore subisce pressioni diverse da BEC, quindi l'enfasi cambia.

  • Servizi finanziari: i bersagli di maggior valore, obblighi antifrode stringenti; serve massima verifica su ogni transazione.
  • Sanità: colpita per frode e furto dati su reti molto articolate, anche di terze parti.
  • Manifatturiero: obiettivo attraverso reti complesse di fornitori e alti valori in fattura; punto debole è la comunicazione nella supply chain.
  • Servizi legali: trattano dati riservati e fondi dei clienti; proteggere la comunicazione è critico quanto tutelare i soldi.

Come misurare il successo: metriche per la prevenzione BEC

Monitora queste metriche per sapere se la difesa funziona davvero, non se è solo installata.

Metriche tecniche

  • Tasso di enforcement policy DMARC (obiettivo: 100% domini a p=reject)
  • Tasso di autenticazione superata dai mittenti legittimi
  • Riduzione della ricezione di posta non autenticata

Metriche operative

  • Tentativi BEC rilevati e bloccati
  • Tasso di segnalazione dei dipendenti per email sospette
  • Tempo per verificare e processare richieste di pagamento legittime

Metriche di business

  • Riduzione delle perdite per frode
  • Miglioramento della deliverability email (effetto collaterale di autenticazione pulita)
  • Tempo risparmiato grazie all’automazione nella gestione delle autenticazioni

Come sta evolvendo la BEC

La BEC è in continua evoluzione e anche la difesa va aggiornata.

  • Attacchi potenziati dall'AI. I criminali usano generatori di testi per creare impersonificazioni perfette e cloni vocali per le chiamate. In truffe ad alto profitto iniziano a comparire video deepfake.
  • Attacchi multicanale. La BEC si sposta oltre l'email (SMS, voce, tool di collaborazione), quindi la difesa va estesa a tutti i canali.
  • Bersagli nella supply chain. Gli attacchi Vendor Email Compromise continuano a salire, sfruttando i fornitori per aggirare le tue difese dirette. Porta anche i tuoi fornitori verso DMARC.

La tua roadmap contro la BEC

Ecco una sequenza per metterti davvero al sicuro senza complicarti la vita.

Settimana 1: verifica lo stato attuale

  • Esegui un DMARC check gratuito con Investigate e documenta tutte le fonti che inviano a tuo nome
  • Applica la verifica fuori banda per bonifici già da subito, prima di qualunque tecnica
  • Forma finanza, HR e assistenti di direzione sui cinque tipi di BEC

Mese 1-2: chiudi il dominio

  • Distribuisci OnDMARC e inizia il percorso verso l'enforcement
  • Raggiungi p=reject sul dominio principale e pubblica DMARC sui domini parcheggiati
  • Attiva simulazioni phishing e un canale chiaro di segnalazione

Mese 3-6: completa la protezione

  • Estendi la protezione a tutti i sottodomini e attiva il monitoraggio DNS
  • Aggiungi la rilevazione dei domini simili con Brand Trust
  • Aggiungi BIMI solo dopo enforcement, migliorando deliverability e riconoscimento del brand

Fonti

[1] Rapporto FBI IC3. "FBI Internet Crime Report 2025." https://www.ic3.gov/AnnualReport/Reports/2025_IC3Report.pdf

[2] Hoxhunt. "Business Email Compromise Statistics 2025 (+Prevention Guide)." https://hoxhunt.com/blog/business-email-compromise-statistics

[3] NACHA. "FBI's IC3 Finds Almost $8.5 Billion Lost to Business Email Compromise in Last Three Years." https://www.nacha.org/news/fbis-ic3-finds-almost-85-billion-lost-business-email-compromise-last-three-years

[4] Trans Union. "Rising Incidents of BEC and Wire Fraud: Tales from the Front Lines." https://www.transunion.com/blog/bec-wire-fraud-incidents 

[5] Business Email Compromise Statistics https://hoxhunt.com/blog/business-email-compromise-statistics 

La tua organizzazione è protetta contro la Business Email Compromise?

Verifica gratis con Red Sift Investigate

FAQ

Cos'è la Business Email Compromise (BEC)?

La BEC è un attacco informatico in cui dei criminali impersonano un dirigente, fornitore o partner fidato tramite email per convincere un dipendente a trasferire denaro, cambiare dettagli di pagamento o condividere dati sensibili. A differenza degli attacchi malware, le email BEC non hanno allegati o link dannosi, quindi non scatenano i filtri di sicurezza classici. Sfruttano fiducia, autorità e urgenza invece di una falla tecnica. Nel 2025 le perdite segnalate da BEC sono state di 3,05 miliardi di dollari [1].

Come ci si difende dalla Business Email Compromise?

Per difendersi dalla Business Email Compromise applica DMARC a p=reject così che i server destinatari rifiutino le email non autenticate, quindi aggiungi a strati monitoraggio DNS, rilevamento di impersonificazione brand, verifica pagamenti e formazione del personale. DMARC in enforcement elimina lo spoofing del dominio esatto, la base di quasi tutte le BEC. Gli altri livelli chiudono i restanti gap, come domini simili, account compromessi e sottodomini dimenticati. Red Sift OnDMARC aiuta le organizzazioni a raggiungere il pieno enforcement in 6-8 settimane.

Quali sono i principali tipi di attacco BEC?

L'FBI ne identifica cinque:

Frode CEO: impersonare dirigenti per richiedere bonifici urgenti.

Compromissione account: prendere il controllo di una casella aziendale per chiedere pagamenti o cambiare dettagli bancari.

Schema di fatture false: fingersi fornitori per spedire fatture fraudolente o cambiare dati di pagamento.

Impersonificazione avvocato: puntare su dipendenti junior spacciandosi per legali, spesso durante fusioni o eventi rilevanti.

Furto dei dati: colpire le HR per ottenere dati personali di dirigenti e dipendenti, riutilizzabili in attacchi successivi.

Quanto è grande la minaccia BEC oggi?

Secondo il rapporto annuale 2025 dell'Internet Crime Complaint Center (IC3) dell'FBI, le perdite da BEC hanno raggiunto i 3,05 miliardi di dollari nel 2025, rendendola il secondo tipo di crimine informatico più costoso dopo le frodi d'investimento. IC3 ha ricevuto 24.768 segnalazioni di BEC nel 2025, il 15,5% in più rispetto alle 21.442 del 2024.

Negli ultimi tre anni (2023-2025), le perdite BEC segnalate negli USA sono arrivate a circa 8,76 miliardi di dollari. I bonifici e pagamenti ACH rappresentano l'86% delle transazioni BEC, quindi sono fondamentali procedure di verifica pagamenti. Gli attacchi BEC colpiscono in modo sproporzionato anche gli over 60: nel 2025 questa fascia ha riportato 568 milioni di dollari di perdite solo per BEC. L’AI accelera la minaccia: le aziende hanno denunciato più di 30 milioni di dollari di perdite per BEC abilitati da AI nel 2025, con criminali che usano generatori di testo e clonazione vocale per tentativi di impersonificazione più convincenti.

Perché DMARC a p=reject è essenziale contro la BEC?

DMARC a p=reject impedisce agli aggressori di inviare email che risultano provenire dai tuoi domini, eliminando la base della maggior parte degli attacchi BEC. Anche p=quarantine permette comunque agli aggressori di causare danni perché le email fraudolente possono ancora finire nelle cartelle spam dove possono essere trovate e aperte. Red Sift OnDMARC aiuta le organizzazioni a raggiungere subito l'enforcement in 6-8 settimane tramite autenticazione email automatica, Dynamic Services per la gestione unificata di SPF, DKIM, DMARC e MTA-STS, DNS Guardian per prevenire takeover di sottodomini e DNS scadenti, e insight AI di Red Sift Radar per trovare errori di configurazione prima che vengano sfruttati.

Com'è una strategia completa di prevenzione BEC?

Servono tre livelli di difesa.

Controlli tecnici: implementare DMARC a p=reject, abilitare l’autenticazione a più fattori (usando metodi resistenti al phishing dove possibile) e filtri email basati su AI con analitiche comportamentali.

Controlli di processo: richiedere verifica fuori banda su tutte le modifiche di pagamento e bonifici, doppia approvazione sopra soglia definita, piani di risposta con procedure di comunicazione per banche e polizia, assessment di sicurezza ricorrenti.

Difese per le persone: formazione specifica per i reparti a rischio (finanza, HR, assistenti direzionali), simulazione regolare di phishing, creare una cultura dove segnalare sospetti non è mai punito, e promuovere buone abitudini tramite la leadership.

Come verifico se il mio dominio rischia spoofing?

Per controllare se il tuo dominio rischia spoofing esegui un DMARC check gratuito con Red Sift Investigate e rivedi i report aggregati DMARC alla ricerca di fonti di invio sospette. Il test mostra se SPF, DKIM e DMARC sono configurati e se le policy bloccano la posta non autenticata. I report elencano tutte le fonti che inviano come il tuo dominio: quelle che non riconosci sono shadow IT o aggressori.

Come stanno evolvendo gli attacchi BEC?

Attacchi potenziati dall’AI: i criminali sfruttano strumenti AI per comunicazioni fraudolente e compaiono chiamate vocali o video deepfake nei casi più gravi.

Attacchi multicanale: la BEC si espande oltre l’email e ora include SMS, chiamate e piattaforme di collaborazione, richiedendo misure di sicurezza su tutti i canali.

Bersagli nella supply chain: i Vendor Email Compromise sono saliti del 66% nella prima metà del 2024 e sfruttano le relazioni di fornitura per aggirare le difese dirette.