Gli attacchi di Business Email Compromise (BEC) sono diventati una delle minacce informatiche finanziariamente più devastanti per le organizzazioni di oggi. Solo nel 2024, gli attacchi BEC hanno portato a quasi 2,8 miliardi di dollari di perdite segnalate, con i criminali che ricorrono sempre più spesso a tattiche sofisticate per realizzare comunicazioni fraudolente più convincenti e personalizzate [1].

Poiché i malintenzionati continuano a evolvere i loro metodi, le misure di sicurezza tradizionali si stanno rivelando insufficienti. La chiave per fermare i tentativi di BEC sta nell’implementazione di robusti protocolli di autenticazione delle email che impediscano ai criminali di impersonare la tua organizzazione fin dal principio.

A differenza degli attacchi tradizionali basati su malware, le truffe BEC sfruttano la psicologia umana piuttosto che le vulnerabilità tecniche. I criminali studiano meticolosamente la gerarchia organizzativa, i modelli di comunicazione e i processi aziendali per realizzare tentativi di impersonificazione che aggirano i controlli di sicurezza convenzionali.

• Non contengono allegati o link dannosi: le email BEC sembrano legittime e non attivano i filtri di sicurezza tradizionali
• Sfruttano i rapporti di fiducia impersonando dirigenti, fornitori o partner affidabili
• Prendono di mira transazioni di alto valore come bonifici, pagamenti di fatture e richieste di dati sensibili
• Usano l’ingegneria sociale piuttosto che indicatori tecnici di compromissione, rendendosi difficili da rilevare

Le statistiche dipingono un quadro inquietante dell’impatto crescente del BEC:

• Un attacco BEC costa in media 4,89 milioni di dollari a incidente, rendendolo il secondo tipo di violazione più costoso, e ha rappresentato il 73% di tutti gli incidenti informatici segnalati nel 2024. [2]
• La richiesta media di bonifico in un attacco BEC era di 24.586 dollari all'inizio del 2025
• Negli ultimi tre anni, le perdite segnalate per BEC hanno raggiunto quasi 8,5 miliardi di dollari solo negli Stati Uniti [3]

• Gli attacchi BEC sono cresciuti del 30% su base annua a marzo 2025 [2]
• Oltre il 50% di tutti gli incidenti di ingegneria sociale sono legati a BEC
• Anche le piccole organizzazioni (meno di 1.000 dipendenti) hanno il 70% di probabilità settimanale di subire almeno un tentativo BEC

• Gli attacchi BEC basati su bonifici sono aumentati del 24% rispetto al trimestre precedente [4]
• I criminali usano sempre più strumenti di IA per realizzare comunicazioni fraudolente sofisticate e convincenti [1]
• Gli attacchi Vendor Email Compromise (VEC) sono cresciuti del 66% nella prima metà del 2024 [5]

Comprendere come funzionano gli attacchi BEC è fondamentale per costruire difese efficaci. L’FBI individua cinque principali tipologie di truffe BEC:

I cybercriminali impersonano dirigenti per richiedere bonifici urgenti o informazioni sensibili. Sfruttano la tendenza psicologica dei dipendenti a conformarsi alle richieste di figure autorevoli, spesso usando un tono urgente e inducendo pressione sui tempi per aggirare le procedure di verifica.

I criminali informatici ottengono l’accesso agli account email di dipendenti reali e li usano per richiedere pagamenti a fornitori o dirottare fondi su conti fraudolenti. Questo metodo è particolarmente pericoloso perché le email provengono da account genuini, rendendole più difficili da identificare.

I truffatori si spacciano per fornitori e inviano fatture false o richiedono modifiche ai dati di pagamento. Questi attacchi spesso prendono di mira i reparti contabilità fornitori e sfruttano la routine nei pagamenti.

Gli attaccanti fingono di essere avvocati o rappresentanti legali, di solito prendendo di mira dipendenti di livello basso che non metterebbero in dubbio la richiesta ricevuta. Spesso questi attacchi coincidono con eventi aziendali importanti come fusioni o acquisizioni.

Questi attacchi prendono di mira l’HR per ottenere informazioni personali su dirigenti e dipendenti, che possono poi essere sfruttate in futuri attacchi o vendute sul dark web.

Sebbene gli attacchi BEC sfruttino le vulnerabilità umane, la strategia di prevenzione più efficace parte da controlli tecnici che impediscono ai criminali di impersonare la tua azienda. Qui entra in gioco Red Sift OnDMARC [6].

Red Sift OnDMARC è un’applicazione DMARC automatizzata e premiata [7] che aiuta le organizzazioni a bloccare l’impersonificazione dei domini e gli attacchi di Business Email Compromise attraverso:

• Percorso facile verso l’enforcement DMARC: Domain-based Message Authentication, Reporting, and Conformance (DMARC) è un metodo fondamentale di autenticazione email che blocca le email malevole inviate a nome della tua organizzazione se impostato al livello massimo di p-reject (enforcement). Red Sift OnDMARC permette ai clienti di raggiungere l’enforcement in 6-8 settimane.
• Prevenzione dell’uso non autorizzato del dominio: OnDMARC impedisce ai criminali di inviare email che sembrano provenire dai tuoi domini, eliminando la base della maggior parte degli attacchi BEC.
• Autenticazione email automatizzata: La piattaforma semplifica distribuzione e gestione di DMARC, DomainKeys Identified Mail (DKIM) e Sender Policy Framework (SPF), assicurando che solo le email legittime della tua organizzazione arrivino ai destinatari.
• Rilevamento delle minacce in tempo reale: OnDMARC monitora continuamente l’attività email e offre visibilità sui tentativi di spoofing, consentendo una risposta rapida alle minacce emergenti grazie al supporto LLM avanzato tramite Red Sift Radar.
• Gestione dei servizi dinamica: Diversamente dagli approcci tradizionali basati su DNS, i Servizi Dinamici di OnDMARC permettono di gestire tutti i record di autenticazione email da un’unica interfaccia, riducendo errori di configurazione e accelerando l’implementazione.

• Investigate checker: L’esclusiva funzione Investigate di OnDMARC permette di testare gli aggiornamenti di configurazione in tempo reale, senza attendere fino a 24 ore per i dati DMARC, riducendo drasticamente i tempi di implementazione.
• DNS Guardian: Monitora costantemente la configurazione DNS per prevenire SubdoMailing, DNS pendenti e appropriamenti CNAME che i criminali potrebbero sfruttare per aggirare DMARC.
• Insight potenziati da AI: Red Sift Radar fornisce analisi guidate dall’intelligenza artificiale per individuare configurazioni errate e lacune di sicurezza prima che siano sfruttate.
• Reportistica completa: Analisi dettagliate per comprendere meglio il tuo ecosistema email e identificare vulnerabilità o attività sospette.

L’autenticazione email è la base della prevenzione BEC, ma una strategia completa richiede più livelli di difesa:

1. Distribuisci DMARC con p=reject. Anche una policy p=quarantine permette ai criminali di provocare danni.
2. Usa Red Sift OnDMARC per raggiungere il pieno enforcement in 6-8 settimane
3. Monitora i report DMARC per identificare mittenti legittimi e potenziali minacce

1. Implementa MFA su tutti gli account email e sistemi critici
2. Usa, dove possibile, metodi MFA resistenti al phishing
3. Verifica e aggiorna regolarmente le configurazioni MFA

1. Utilizza filtri email guidati da AI che analizzano i modelli comportamentali
2. Implementa le analytics user and entity behavior (UEBA) per rilevare attività anomale
3. Abilita risposte automatiche alle minacce

1. Richiedi sempre una verifica out-of-band per ogni modifica ai pagamenti o bonifici
2. Applica processi di doppia approvazione per le transazioni sopra certe soglie
3. Crea percorsi chiari di escalation per richieste sospette

1. Crea procedure specifiche per gestire sospetti attacchi BEC
2. Stabilisci protocolli di comunicazione con banche e forze dell’ordine
3. Esegui esercitazioni regolari sugli scenari di risposta agli incidenti

1. Rivedi periodicamente le configurazioni di sicurezza email
2. Testa le procedure di verifica con simulazioni di tentativi BEC
3. Controlla regolarmente gli accessi e i permessi degli utenti

1. Eroga formazione specifica per i dipartimenti ad alto rischio (Finanza, HR, Assistenti di direzione)
2. Usa esempi reali e simulazioni di attacchi BEC
3. Fornisci aggiornamenti regolari su nuove minacce e formazione di aggiornamento

1. Incoraggia i dipendenti a segnalare email sospette senza timore di conseguenze
2. Premia i comportamenti di buona sicurezza
3. Crea canali di comunicazione chiari per le segnalazioni di sicurezza

1. Assicura che la leadership comprenda e supporti gli sforzi di prevenzione BEC
2. Stabilisci politiche e procedure chiare per le transazioni finanziarie
3. Dai il buon esempio promuovendo comportamenti sicuri a ogni livello dell'organizzazione

I diversi settori affrontano livelli di rischio BEC differenti e possono necessitare di approcci personalizzati:

• Bersagli privilegiati per l’accesso a sistemi finanziari e dati sensibili
• Richiedono procedure di verifica avanzate per tutte le transazioni finanziarie
• Devono rispettare rigorosi requisiti normativi in materia di prevenzione delle frodi

• Bersagliati sia per frodi finanziarie sia per furto di dati
• Devono proteggere i dati dei pazienti garantendo l’efficienza operativa
• Affrontano sfide uniche legate a reti di strutture e fornitori esterni diversificate

• Spesso presi di mira per via delle reti di fornitori complesse e transazioni di grande valore
• Necessitano di mettere in sicurezza la comunicazione lungo tutta la supply chain
• Devono bilanciare sicurezza ed efficienza operativa

• Bersagli di alto valore per la riservatezza clienti e le transazioni finanziarie
• Richiedono maggiore protezione per le comunicazioni con i clienti
• Devono mantenere il privilegio avvocato-cliente anche implementando misure di sicurezza

Per garantire l’efficacia della strategia di prevenzione BEC, monitora queste metriche chiave:

• Tasso di enforcement della policy DMARC (obiettivo: 100% su p=reject)
• Tasso di autenticazione delle email dei mittenti legittimi
• Tempo di rilevamento e risposta ai tentativi di spoofing
• Riduzione della consegna di email non autenticate

• Numero di tentativi BEC rilevati e bloccati
• Tasso di segnalazione dei dipendenti per email sospette
• Tempo di verifica e lavorazione delle richieste finanziarie legittime
• Tempo di risposta agli incidenti per sospetti attacchi BEC

• Riduzione delle perdite finanziarie dovute a frodi via email
• Miglioramento nel tasso di recapito delle email
• Risparmi grazie all’automazione dei processi di sicurezza
• Metrica di fiducia del cliente e reputazione del brand

Poiché gli attacchi BEC continuano a evolversi, le organizzazioni devono anticipare nuove minacce:

• Prevedi contenuti generati dall’IA ancora più sofisticati e difficili da rilevare
• Preparati a chiamate vocali e video deepfake come parte degli attacchi BEC
• Investi in sistemi di difesa basati su intelligenza artificiale per individuare anomalie sottili

• Gli attacchi BEC si stanno espandendo oltre l’email includendo SMS, chiamate vocali e piattaforme di collaborazione, usando diversi metodi di ingegneria sociale
• Applica le misure di sicurezza su tutti i canali di comunicazione
• Forma i dipendenti per riconoscere le minacce su più piattaforme

• I criminali puntano sempre più alle relazioni con venditori e partner
• Estendi le misure di sicurezza anche alle comunicazioni con terze parti
• Implementa programmi di gestione del rischio fornitori

Proteggere la tua organizzazione dagli attacchi BEC richiede azioni immediate e vigilanza costante. Ecco da dove iniziare:

• Esegui un controllo DMARC gratuito con lo strumento Investigate di Red Sift
• Identifica le lacune nell’attuale configurazione di autenticazione email, individuando dove intervenire
• Documenta tutte le fonti email autorizzate della tua organizzazione

• Stabilisci la verifica out-of-band per tutti i bonifici
• Crea una procedura di richiamata per richieste finanziarie anomale
• Forma il personale chiave sui metodi degli attacchi BEC (usa questa guida se utile)

• Inizia con una prova gratuita di 14 giorni per valutare il tuo ambiente
• Ricevi indicazioni dai tecnici Red Sift su come mantenersi sicuri
• Inizia il percorso verso l’enforcement DMARC

• Realizza formazione specifica sul BEC per i reparti più esposti
• Implementa simulazioni regolari di phishing per rafforzare la resistenza alle tattiche di social engineering tra azienda e dipendenti
• Stabilisci procedure chiare per segnalare email sospette

• Imposta la policy p=reject su tutti i domini
• Implementa BIMI per migliorare la deliverability delle email e la riconoscibilità del brand
• Estendi la protezione a tutti i sottodomini e alle comunicazioni con i partner

• Distribuisci soluzioni avanzate di sicurezza email
• Implementa l’analytics comportamentale e il rilevamento minacce guidato da AI
• Stabilisci monitoraggio continuo della sicurezza e capacità di risposta agli incidenti

Gli attacchi Business Email Compromise rappresentano una delle minacce informatiche più gravi per le organizzazioni di oggi. Con perdite che hanno raggiunto i 2,8 miliardi di dollari solo nel 2024 e un livello di sofisticazione sempre crescente, le misure di sicurezza tradizionali non bastano più.

La chiave per una prevenzione efficace del BEC sta nell’applicare una strategia completa che combini solidi controlli tecnici, processi ben definiti e formazione continua. Alla base di questa strategia vi è l’autenticazione delle email tramite DMARC, che impedisce ai criminali di impersonare la tua organizzazione all’origine.

Red Sift OnDMARC fornisce una piattaforma automatizzata e intelligente che consente alle aziende di ottenere enforcement DMARC in modo rapido e affidabile. Con funzioni come servizi dinamici, rilevamento minacce in tempo reale e insight guidati da AI, OnDMARC aiuta le organizzazioni a bloccare i tentativi BEC prima che causino danni.

Non aspettare di subire un attacco. Agisci oggi stesso per proteggere la tua organizzazione, i tuoi dipendenti e i tuoi clienti dalla minaccia crescente del Business Email Compromise.

Inizia la tua prova gratuita di 14 giorni di Red Sift OnDMARC o esegui un controllo DMARC gratuito per valutare il livello attuale della tua sicurezza.

[1] VIPRE Security. "Business Email Compromise 2025: What, Who and Why." https://vipre.com/blog/business-email-compromise-2025-what-who-and-why/

[2] Hoxhunt. "Business Email Compromise Statistics 2025 (+Prevention Guide)." https://hoxhunt.com/blog/business-email-compromise-statistics

[3] NACHA. "FBI's IC3 Finds Almost $8.5 Billion Lost to Business Email Compromise in Last Three Years." https://www.nacha.org/news/fbis-ic3-finds-almost-85-billion-lost-business-email-compromise-last-three-years

[4] Trans Union. "Rising Incidents of BEC and Wire Fraud: Tales from the Front Lines." https://www.transunion.com/blog/bec-wire-fraud-incidents 

[5] Business Email Compromise Statistics https://hoxhunt.com/blog/business-email-compromise-statistics 

[6] Red Sift. "Protect against phishing and BEC attacks with Red Sift OnDMARC." https://redsift.com/pulse-platform/ondmarc

[7] Red Sift. "From Europe to Asia Pacific: OnDMARC earns global recognition in G2’s Fall Report." https://blog.redsift.com/awards/from-europe-to-asia-pacific-ondmarc-earns-global-recognition-in-g2s-fall-report/