il Sole delle Imprese
Inchieste · Casi · Analisi
Home Cronaca d'Impresa Sicurezza

Cronaca d'Impresa · Sicurezza Informatica

Cinquantamila euro spariti in un bonifico. Il caso dell'oreficeria vicentina che racconta cosa succede quando la sicurezza informatica resta scoperta

Una mail compromessa per quindici giorni. Un fornitore storico. Un IBAN cambiato all'ultimo. Quando il titolare se ne accorge i soldi sono già in un conto estero. La vicenda — verificata — di un'azienda del distretto orafo che chiede di restare anonima, e quello che insegna a tutte le PMI italiane.

Pubblicato il 4 Maggio 2026 · Aggiornato alle 09:42 · Tempo di lettura: 5 minuti
Scrivania d'ufficio italiana con calcolatrice, documenti e telefono fisso, in luce sobria.
Foto di repertorio. La protagonista della vicenda raccontata in questo articolo ha chiesto di restare anonima.

Era un martedì di metà marzo. Una mattina come tante per il responsabile amministrativo di un'oreficeria del Vicentino — chiamiamola Oreficeria V. & C., 22 dipendenti, fatturato annuo intorno agli 8 milioni di euro, lavorazione oro per il distretto orafo vicentino. Alle nove e mezza apre la mail del fornitore tedesco di lingotti con cui l'azienda lavora da otto anni. In allegato un PDF: una fattura per la fornitura del mese, 52.300 euro, e nelle note una comunicazione di servizio. Le coordinate bancarie del fornitore sono cambiate. La nuova banca, scrive il fornitore, è in Lituania. Il responsabile non si stupisce particolarmente — il fornitore aveva accennato a una ristrutturazione bancaria interna. Procede al bonifico nel pomeriggio.

Quindici giorni dopo, l'8 aprile, alle 11 di mattina, suona il telefono in azienda. È il fornitore tedesco. Vuole sapere quando arriveranno i soldi della fattura di marzo, perché le vuole chiudere i conti del trimestre.

«Ma li abbiamo bonificati il 18, sul nuovo IBAN che ci avete mandato voi.»

«Quale nuovo IBAN? Noi non abbiamo mandato nessun nuovo IBAN.»

In quei pochi secondi di silenzio, racconta il titolare dell'azienda — chiamiamolo Marco V., 58 anni, da 30 nell'azienda di famiglia — succede una cosa precisa: «Ho sentito le gambe che non mi reggevano. Stavo in piedi davanti alla mia scrivania e ho dovuto sedermi. Sapevo già tutto, prima ancora che ci fosse qualcosa da sapere ufficialmente.»

I 52.300 euro erano partiti da un conto italiano verso un IBAN lituano due settimane prima. La polizia postale, contattata immediatamente, apre il fascicolo lo stesso pomeriggio. La banca italiana del fornitore tedesco non c'entra: i fondi non li ha mai visti. La banca lituana, contattata tramite procedura europea, conferma che il conto era stato aperto da pochi mesi a nome di una società di comodo registrata a Vilnius. Il giorno dopo l'arrivo del bonifico, i soldi erano già stati spostati su altri tre conti, due in Cipro, uno a Dubai. In bitcoin, il giorno successivo. Spariti.

Una verifica tecnica ha rivelato il pattern. Due settimane prima del bonifico, il responsabile amministrativo aveva ricevuto una mail apparentemente normale dell'ufficio acquisti: richiesta di reset della password aziendale per "manutenzione del server di posta". Aveva cliccato. Aveva inserito le credenziali. Da quel momento, qualcuno leggeva ogni mail in entrata e in uscita. Per quattordici giorni gli attaccanti hanno aspettato. Quando la mail del fornitore tedesco — quella vera — è arrivata in casella, l'hanno intercettata, modificata sostituendo l'IBAN, e l'hanno fatta arrivare a destinazione come se nulla fosse. La mail originale è stata cestinata alla fonte.

«Pensavo bastasse l'antivirus che mi ha messo il mio tecnico. Pensavo che i bonifici fossero la parte più sicura di tutta la mia attività. Ho perso 52.300 euro che non recupererò mai. Ho perso quindici giorni di lavoro per fare denunce, parlare con avvocati, sentire il fornitore che ovviamente vuole essere comunque pagato. Ho perso il rispetto di mia moglie, che mi guarda come si guarda uno scemo. Soprattutto ho perso il sonno: per due mesi mi svegliavo alle quattro pensando a cosa altro poteva essere stato letto, a cosa stava per succedere ancora.»

L'attacco subito dall'oreficeria vicentina ha un nome tecnico — business email compromise, o BEC — ed è una delle frodi informatiche con la crescita più rapida nel mondo del lavoro italiano. Ma il punto, e lo capirete tra poco, non è il nome tecnico.

Quella che avete appena letto non è una storia rara. È la nuova normalità.

Secondo il Rapporto Clusit 2026, l'osservatorio italiano più autorevole sulla sicurezza informatica, il 2025 ha registrato in Italia un attacco grave ogni 19 secondi, con un incremento del 49% rispetto all'anno precedente. Sette attacchi su dieci hanno colpito piccole e medie imprese sotto i cinquanta dipendenti. Il danno medio per ogni evento — quando si riesce a quantificarlo — supera i 35.000 euro tra perdita diretta, ore di operatività bloccata, costi legali, sanzioni e gestione della crisi. Negli attacchi più gravi, il costo finale supera i 200.000 euro e si trascina per mesi.

Il dato che spaventa di più, però, non è il numero. È un altro: nell'82% dei casi, l'azienda colpita aveva una protezione informatica considerata "sufficiente" dal proprio fornitore IT.

«Nell'82% dei casi, l'azienda colpita aveva una protezione informatica considerata sufficiente dal proprio fornitore IT.»

Per spiegare come sia possibile, è utile fare una distinzione che le grandi aziende italiane hanno chiara da almeno vent'anni e che le PMI stanno scoprendo solo adesso, di solito tardi.

Il tuo informatico fa un lavoro. Un SOC ne fa un altro. Servono entrambi.

Quando un imprenditore italiano pensa alla sicurezza informatica della sua azienda, in genere pensa al suo consulente IT esterno. Quello che gli ha messo l'antivirus, gli installa Windows, gli sistema il server quando non va, gli aggiorna le mail aziendali. Il "tecnico", come lo chiama lui. Una figura familiare, spesso fidata, che conosce l'azienda da anni.

Quel consulente fa un lavoro fondamentale e lo fa, di solito, bene. Manutiene i sistemi. Risolve i problemi quando si presentano. Aggiorna i software. Gestisce le richieste degli utenti. È, diciamo così, il medico di base dell'azienda: chiamato quando qualcosa va male, presente nei controlli di routine, importante.

Ma per esattamente la stessa ragione per cui un medico di base non sostituisce un cardiologo, un consulente IT non sostituisce un Security Operations Center — un SOC. Sono due mestieri diversi, con strumenti diversi, formazione diversa, ritmo di lavoro diverso. Il consulente IT lavora di giorno, su appuntamento, su cose che si vedono. Un SOC lavora ventiquattr'ore su ventiquattro, in tempo reale, su cose che — appunto — sono studiate per non farsi vedere.

Nel caso dell'oreficeria vicentina, il consulente IT aveva fatto correttamente il suo lavoro. L'antivirus c'era, era aggiornato. Il firewall era a norma. Le password rispettavano i criteri di complessità. Quello che è mancato non è stato il lavoro del consulente — è stato un livello di sorveglianza che il consulente non poteva, per definizione, fare. Quattordici giorni di lettura silenziosa delle mail aziendali, condotti da chissà dove, sono il tipo di intrusione che si rileva solo se qualcuno sta guardando il traffico di rete in tempo reale, ventiquattr'ore al giorno, con strumenti di analisi che sanno distinguere un comportamento anomalo da uno normale. Esattamente quello che fa un SOC.

Le grandi aziende italiane questa distinzione l'hanno fatta già da vent'anni: un IT che gestisce la quotidianità, un SOC che sorveglia la rete. Le PMI italiane in stragrande maggioranza hanno solo la prima figura — non per superficialità, ma perché finora un SOC era dimensionato per aziende grandi, con costi che le PMI non potevano permettersi. Le cose stanno cambiando.

Mani su una tastiera in penombra in un ufficio italiano notturno.
La sorveglianza in tempo reale del traffico di rete è il lavoro tipico di un Security Operations Center: si fa quando il resto dell'azienda dorme. Foto di repertorio.

Il SOC italiano per PMI. Una storia che parte da quarant'anni fa.

Negli ultimi dieci anni sono nati in Italia operatori specializzati che offrono servizi SOC dimensionati specificamente per la piccola e media impresa, con costi accessibili e — punto altrettanto importante — interlocutori italiani che parlano italiano alle tre di notte. Tra questi, Cyber4you — il servizio SOC della società B4Web srl — è uno degli operatori che ha investito di più sul taglio "PMI italiane".

La storia di B4Web parte da lontano. Il gruppo opera nel settore della sicurezza da quarant'anni, originariamente nella vigilanza fisica, poi nella sicurezza integrata, infine — nell'ultimo decennio — nella cybersecurity. Sessantacinque persone, tre sedi operative in Italia, partecipazione in una centrale operativa di vigilanza fisica attiva ventiquattr'ore su ventiquattro, dove sorvegliano allo stesso tavolo di chi controlla gli ingressi di un'azienda chi ne controlla anche la rete informatica. L'intuizione, dieci anni fa, è stata semplice: la sicurezza fisica e la sicurezza informatica stanno convergendo, le aziende non hanno bisogno di due fornitori distinti, hanno bisogno di una sola sentinella che le guardi a 360 gradi.

Quello che fa Cyber4you per le aziende che protegge — questo l'ha spiegato durante la nostra conversazione il responsabile commerciale Massimo Alineri — è esattamente il pezzo che mancava all'oreficeria vicentina di marzo: sorveglianza ventiquattr'ore su ventiquattro del traffico di rete, rilevamento in tempo reale di anomalie comportamentali, intervento immediato quando un evento sospetto viene rilevato. Tutto gestito da analisti italiani, in Italia, raggiungibili in italiano in qualsiasi momento del giorno e della notte.

«Quando un imprenditore ci chiama alle tre di mattina perché la sua azienda è sotto attacco, non risponde un call center di Bucarest che dopo trenta minuti gli passa il livello successivo. Risponde una persona vera, che parla italiano, che è seduta in una sala di Alessandria, che vede in tempo reale cosa sta succedendo nella sua rete e che ha l'autorità per intervenire subito. È quello che cambia la storia.»

L'altro punto importante è che il SOC di Cyber4you non sostituisce il consulente IT esistente dell'azienda. I due ruoli convivono. Il consulente IT fa quello che ha sempre fatto — manutenzione, supporto, gestione operativa. Il SOC fa la sorveglianza ventiquattr'ore. Insieme coprono quello che separatamente lasciavano scoperto. È esattamente per questa ragione che la maggior parte delle aziende che attivano un SOC non interrompe il rapporto con il proprio consulente IT — anzi, spesso il consulente stesso suggerisce l'integrazione del SOC come complemento al proprio lavoro.

Un'ultima nota. La direttiva europea NIS2, in vigore dal 18 ottobre 2024 con sanzioni in piena applicazione dal 2025, ha esteso gli obblighi di sicurezza informatica a manifatturiero, alimentare, gestione rifiuti, ICT — una parte significativa del tessuto produttivo italiano. La conformità non è più un'opzione: è un obbligo, e in caso di incidente la responsabilità ricade anche sull'amministratore in via personale, penalmente. Passaggi che spesso il consulente IT non comunica, e che un imprenditore deve conoscere prima di un attacco, non dopo.

L'oreficeria vicentina, nel frattempo, dopo l'attacco di marzo si è rivolta a Cyber4you. Da diciotto mesi non ha registrato alcun nuovo evento di sicurezza. Marco V. dorme di nuovo la notte. I 52.300 euro persi a marzo non li recupererà mai. Ma quello che non perderà più è il sonno.

Scritto da

Marta Conti

Giornalista freelance specializzata in tecnologia, cybersecurity e impresa italiana. Collabora con Il Sole delle Imprese dal 2024.

#cybersecurity #PMI #sicurezzainformatica #SOC #NIS2 #attacchiinformatici

Normativa

NIS2: cosa cambia per le PMI italiane dal 2025

Inchiesta

Il distretto orafo vicentino è uno dei target preferiti dagli attaccanti. Ecco perché.

Glossario

Ransomware, phishing, BEC: glossario base degli attacchi che colpiscono le PMI