arzo, una mattina come tante. Nell'ufficio della titolare, l'oreficeria del distretto vicentino è già al lavoro. Si apre la mail del fornitore tedesco con cui l'azienda lavora da otto anni. Oggetto: aggiornamento dati bancari. «Abbiamo cambiato banca, nuovo IBAN in Lituania. Per la fattura di questo mese.» La titolare procede al bonifico: 52.300 euro. Quindici giorni dopo, una telefonata del fornitore — quello vero. «Quale nuovo IBAN? Noi non abbiamo cambiato nulla.» I soldi sono già a Vilnius. Poi a Cipro. Poi convertiti in bitcoin attraverso un exchange estero. Caso reale, oreficeria del distretto vicentino che chiede di restare anonima.

Quella che state per leggere non è la storia di un imprenditore distratto. È la storia di un'azienda solida, con un consulente IT attivo e un antivirus aggiornato, colpita da uno schema che le statistiche italiane definiscono come BEC — Business Email Compromise.

Quindici giorni nel silenzio

La cronologia, ricostruita dalla Polizia Postale, copre un arco di quindici giorni. Tanto è durato l'accesso non rilevato alla casella mail della titolare. Quindici giorni durante i quali nessun software di sicurezza ha lanciato un alert, nessuna anomalia è apparsa sul gestionale, nessun fornitore ha visto qualcosa di diverso dal solito.

Gli attaccanti, nel frattempo, hanno studiato. Hanno letto il thread di conversazione con il fornitore tedesco — un rapporto di otto anni, ordini ricorrenti, fatture mensili. Hanno imparato il tono, il vocabolario, la cadenza degli scambi. Hanno atteso la fattura giusta.

A quel punto è bastata un'intercettazione chirurgica. La fattura mensile, in arrivo dal fornitore vero, è stata bloccata. Una versione modificata — identica in tutto, tranne che nel campo IBAN — è partita dalla mail compromessa verso l'amministrazione dell'oreficeria. Stessa intestazione, stesso logo, stesso importo. Solo il numero di conto era nuovo.

Il bonifico è stato processato dalla banca italiana senza alcun rilievo. Sportello virtuale, controlli formali, codice IBAN valido. La scoperta è arrivata quindici giorni più tardi, durante la chiamata di sollecito del fornitore tedesco — quello vero — che attendeva il pagamento. Denuncia immediata alla Polizia Postale, ricostruzione tecnica della catena, recupero zero. I fondi, ormai liquidati in cripto, erano fuori portata.

«In quel momento ho capito che il problema non era la banca. Il problema era che qualcuno aveva avuto tempo per studiarci.» — la titolare