Ti Arriva un'Email dal Fornitore: «È Cambiato l'IBAN». Come Riconoscere (con l'AI) la Truffa

La frode del finto cambio IBAN colpisce sempre più PMI: un truffatore si infila nello scambio email e dirotta il pagamento. Come difendersi e il ruolo dell'AI.

Immagina la scena. Stai chiudendo una fornitura importante. Sono settimane che ti scrivi con il tuo referente: preventivi, revisioni, un paio di telefonate, la stretta di mano virtuale. Poi, dentro lo stesso thread di email, arriva l'ultimo messaggio. Stesso oggetto, stesso logo in firma, stesso tono cordiale di sempre. Solo una riga in più: "Ti informiamo che abbiamo cambiato banca. Trovi il nuovo IBAN nel PDF allegato, ti chiediamo di usare quello per il saldo." Nulla stona. Fai il bonifico. E i soldi, semplicemente, spariscono. Non arrivano mai al tuo fornitore, che dopo qualche giorno ti chiama spazientito chiedendo perché non hai ancora pagato.

Non è fantascienza e non è una tua distrazione. È una delle truffe più redditizie in circolazione, e in Italia sta dilagando proprio tra le piccole e medie imprese. Ti spiego come funziona davvero, perché è così difficile accorgersene a occhio nudo, e cosa puoi fare oggi per chiudere il buco. Con l'aiuto dell'AI, ma non solo.

Come funziona davvero

Il nome tecnico è Business Email Compromise, tradotto malamente "frode dell'uomo nel mezzo delle email". Dimentica l'immagine del ragazzino incappucciato che indovina la password. Qui il meccanismo è più sottile e molto più paziente.

Il truffatore entra in una casella di posta — la tua, quella del tuo fornitore, o quella di uno studio che sta in mezzo — spesso con credenziali rubate o riciclate da qualche fuga di dati. Una volta dentro, non fa nulla. Legge. Sta zitto e osserva lo scambio in corso per giorni, a volte settimane. Impara come vi scrivete, quali importi girano, chi decide, quando è previsto il pagamento. Aspetta il momento buono: la fattura finale.

A quel punto si inserisce. Ma non dalla casella vera: crea un dominio quasi identico a quello autentico. Al posto di @fornitore.it registra @fornitor0.it — con lo zero al posto della "o" — oppure @fornitore-srl.it, o cambia un'estensione da .it a .com. Replica la firma, il logo, perfino gli errori di battitura tipici del tuo interlocutore. E oggi, con l'AI generativa, ricostruire tono, grafica e stile di un'azienda richiede pochi minuti. Il messaggio che ricevi non "sembra" vero: è indistinguibile dal vero, perché è cucito addosso alla conversazione reale che il truffatore ha letto per intero.

Perché la PMI è il bersaglio perfetto

Ti sei mai chiesto perché non prendono di mira le grandi corporate? Perché sono più difficili. Le multinazionali hanno reparti di sicurezza, doppie firme, procedure di controllo su ogni pagamento sopra una certa soglia. La PMI italiana, invece, è il sogno del truffatore, e per motivi molto concreti.

Prima di tutto, i pagamenti ricorrenti a fornitori noti: un bonifico a un partner con cui lavori da anni non fa scattare nessun campanello. Poi la fiducia, che nelle nostre imprese è un valore ma anche una vulnerabilità: ci si conosce, ci si dà del tu, non si mette in discussione una email che arriva "da uno di famiglia". Manca quasi sempre un processo di verifica strutturato per il cambio di coordinate bancarie. E spesso c'è una sola persona che gestisce i pagamenti — magari in amministrazione, magari l'imprenditore stesso di sera — senza nessuno che faccia da secondo paio d'occhi.

I dati dell'Osservatorio del Politecnico di Milano lo fotografano bene: oltre il 60% delle PMI italiane è ancora a uno stadio iniziale di maturità digitale, e circa il 59% non ha figure specializzate interne. Tradotto: la maggior parte delle nostre aziende affronta minacce del 2026 con difese, processi e consapevolezze ferme a diversi anni fa. Il truffatore lo sa benissimo.

Un caso reale (che potrebbe essere il tuo)

Ti racconto una storia. È inventata nei dettagli, ma ne ho viste troppe versioni quasi identiche per considerarla improbabile.

Una piccola azienda manifatturiera del Nord, una trentina di dipendenti, ordina componenti da un fornitore estero con cui lavora da anni. Trattativa normale, fattura da circa 40.000 euro. Due giorni prima della scadenza arriva l'email: "Per problemi con la nostra banca abituale, ti chiediamo di saldare su questo nuovo conto." L'IBAN è di un altro Paese, ma con un fornitore estero sembra plausibile. L'addetta all'amministrazione, diligente, paga nei tempi.

Il fornitore vero si fa vivo tre settimane dopo per sollecitare l'insoluto. Solo lì crolla tutto. I 40.000 euro erano finiti su un conto "mulo", già svuotato e chiuso nel giro di poche ore dall'accredito. La banca prova il richiamo del bonifico: troppo tardi. La denuncia parte, ma i soldi hanno attraversato tre Paesi in un pomeriggio. Il recupero, in questi casi, è quasi impossibile. Quella cifra, per un'azienda di quelle dimensioni, non è una riga a bilancio: è il margine di un trimestre, sono le tredicesime, è il nuovo macchinario rimandato.

I segnali che l'occhio umano perde

La domanda che tutti mi fanno è: "Ma possibile che nessuno se ne accorga?". La verità è che i segnali ci sono quasi sempre. Solo che sono minuscoli, e nessuno li cerca mentre corre tra mille cose. Ecco i più frequenti:

  • Dominio look-alike: una lettera cambiata, uno zero al posto di una "o", un trattino in più, un .com dove hai sempre visto un .it. A colpo d'occhio, invisibile.
  • Reply-to diverso dal mittente: l'email sembra arrivare dall'indirizzo giusto, ma se rispondi la risposta parte verso un altro indirizzo. Un dettaglio che nessuno controlla mai.
  • Urgenza indotta: "serve entro oggi", "il fornitore blocca la spedizione", "scade la promozione". La fretta è l'arma preferita: serve a spegnere il cervello e accendere l'automatismo.
  • Cambio di coordinate proprio via email: la richiesta di modificare un IBAN che arriva, guarda caso, esattamente nel momento del pagamento. Il tempismo perfetto è quasi sempre sospetto.
  • Micro-differenze nella firma: un numero di telefono leggermente diverso, un logo con qualche pixel fuori posto, una formula di chiusura insolita per quella persona.

Il punto è che ognuno di questi segnali, preso da solo, è facile da liquidare. E soprattutto: chi lavora si fida della conversazione, non ispeziona l'header di ogni email. È umano. Ed è esattamente su questo che il truffatore conta.

Cosa può fare l'AI

Qui arriva la parte interessante, perché la stessa tecnologia che rende le truffe più credibili ci offre anche gli strumenti per smascherarle. Oggi esistono sistemi di sicurezza basati su intelligenza artificiale che fanno, in un millesimo di secondo, il lavoro che l'occhio umano non farebbe mai su ogni singola email.

Analizzano gli header tecnici e la reputazione dei domini, individuando indirizzi registrati da poche settimane o costruiti apposta per somigliare a uno vero. Rilevano lo spoofing, cioè il travestimento del mittente. Imparano il "normale" di una conversazione — con chi parli di solito, quali importi, con che ritmo — e alzano la mano quando qualcosa esce dal tracciato: un IBAN mai visto, un cambio di tono, una richiesta anomala. Alcuni intercettano automaticamente le email che contengono le parole chiave del rischio, come "cambio IBAN" o "nuove coordinate bancarie", e le mettono in quarantena prima ancora che tu le legga.

Sono strumenti potenti e, per fortuna, sempre più accessibili anche a chi non ha un reparto IT. Ma attenzione a un punto, perché è quello dove si sbaglia di più: da soli non bastano. Un filtro può segnalare, ma è una persona a decidere se pagare. E se quella persona non ha una regola chiara da seguire, il segnale dell'AI diventa l'ennesima notifica ignorata di corsa. La tecnologia sposta l'asticella. Non chiude il buco.

La regola che chiude il buco

Vuoi la buona notizia? La difesa più efficace contro questa truffa non costa nulla, non richiede software e la puoi introdurre stasera. È una regola sola, e va scritta nero su bianco per tutti quelli che toccano i pagamenti:

Nessun pagamento su un IBAN nuovo o modificato viene eseguito senza una verifica telefonica, fatta a un numero già noto — mai quello scritto nell'email.

Rileggi l'ultima parte, perché è tutta lì. Il truffatore, nell'email, ti lascia anche un recapito da chiamare "per conferma". Se telefoni a quel numero, ti risponde lui, con voce rassicurante, e ti conferma il nuovo IBAN. Ecco perché devi chiamare il numero che avevi prima: quello sul contratto firmato mesi fa, sul biglietto da visita, sulla rubrica aziendale. Trenta secondi di telefonata a una persona che conosci mandano all'aria settimane di lavoro del truffatore. È il classico costo ridicolo per un rischio enorme.

Strumenti e processo, insieme. L'AI ti dice dove guardare; la regola ti dice cosa fare. Uno senza l'altro lascia la porta socchiusa.

Il ruolo di un Fractional Digital Executive

A questo punto la domanda giusta non è "quale software compro", ma "chi mi aiuta a mettere in piedi tutto questo senza esagerare né sottovalutare". Ed è qui che, per esperienza, casca l'asino nella PMI.

Perché il rischio è duplice, e opposto. Da un lato c'è chi non fa nulla, convinto che "a noi non capita", finché non capita. Dall'altro c'è chi, spaventato dall'ultima notizia, si fa vendere una piattaforma di sicurezza enterprise da migliaia di euro l'anno che nessuno in azienda saprà configurare né usare — soldi buttati in una corazza che sta larga tre taglie. Servono entrambe le cose, il processo e gli strumenti AI, ma dimensionati alla tua realtà. Né il terrore, né il sovradimensionamento.

È esattamente il lavoro di un Fractional Digital Executive: una figura senior che entra in azienda per una frazione del tempo — e del costo — di un manager a tempo pieno, guarda i tuoi processi reali, sceglie gli strumenti giusti per la tua taglia, scrive le regole in modo che le persone le seguano davvero, e forma chi tocca i pagamenti. Una regìa che porta l'esperienza di chi queste cose le ha già viste succedere, senza che tu debba costruire un reparto IT che non ti serve. In trent'anni, dalla velocità di un box di Formula 1 alla direzione digitale di oltre sessanta aziende, ho imparato una cosa semplice: la differenza non la fa la tecnologia più costosa, la fa avere qualcuno che sa dove metterla e dove no.

Cosa puoi fare già oggi

Se di questo articolo ti resta una cosa sola, che sia questa: introduci oggi la regola della verifica telefonica. Convoca chi gestisce i pagamenti, spiega la truffa in due minuti, e stabilisci che da domani nessun IBAN nuovo si paga senza una chiamata a un numero già conosciuto. È gratis, è immediata, e da sola ti mette al riparo dalla stragrande maggioranza di questi attacchi.

Poi, quando vorrai passare dalla toppa alla vera regìa — processo, strumenti AI su misura, persone formate — parliamone. Offro una call di 30 minuti, senza impegno e senza brochure: mi racconti come gestite oggi fatture e pagamenti, e ti dico in modo schietto dove sei esposto e cosa sistemerei per primo. A volte bastano due o tre accorgimenti per dormire molto più tranquillo. E vale la pena scoprirlo prima, non il giorno dopo il bonifico sbagliato.

← Torna alle Risorse

Vuoi capire se posso aiutare
la tua azienda?

Prenotiamo 30 minuti per parlarne — senza impegno.

Prenota una call gratuita →

Oppure scrivimi: stefano@stefanoborali.com · +39 389 071 4540