Intelligenza Artificiale al servizio delle truffe: L’inganno del falso Amministratore Delegato

Di Monica Mandico

## 1. Introduzione

L’avvento della digitalizzazione e dell’intelligenza artificiale ha rivoluzionato il mondo economico e finanziario, rendendo le operazioni aziendali più rapide ed efficienti. Tuttavia, queste innovazioni hanno anche aumentato esponenzialmente il rischio di frodi informatiche. Tra le minacce più sofisticate e insidiose, la truffa del falso CEO (Business Email Compromise – BEC) è una delle più pericolose per le imprese, causando perdite economiche significative e minando la fiducia interna nei processi aziendali.

Questa frode si basa sull’ingegneria sociale e sull’uso di strumenti avanzati, come l’intelligenza artificiale generativa e il deepfake, per ingannare i dipendenti e indurli a effettuare trasferimenti di denaro o divulgare informazioni sensibili. La pericolosità della truffa risiede nella sua capacità di colpire anche aziende di grandi dimensioni, nonostante l’adozione di sofisticati sistemi di sicurezza informatica.

In questo saggio verranno analizzati il funzionamento della truffa, i casi più rilevanti, il quadro giuridico di riferimento, la giurisprudenza favorevole alle vittime e le strategie di difesa per le imprese.

—

## 2. La Truffa del Falso CEO: Meccanismo e Tecniche

Questa tipologia di frode rientra nella categoria degli attacchi di ingegneria sociale, in cui i truffatori manipolano le persone all’interno di un’organizzazione per ottenere vantaggi finanziari.

Il metodo di attacco si sviluppa attraverso le seguenti fasi:

– Raccolta di informazioni: I criminali analizzano l’organigramma aziendale, monitorano i social network e accedono a registri pubblici per identificare i soggetti chiave coinvolti nelle decisioni finanziarie.

– Creazione di email o comunicazioni fraudolente: Utilizzando tecniche di spoofing (falsificazione dell’indirizzo e-mail del mittente) o accedendo direttamente agli account compromessi, i truffatori inviano richieste apparentemente legittime.

– Manipolazione psicologica: I criminali inviano messaggi urgenti, simulando situazioni di emergenza, spesso con richieste di riservatezza per impedire controlli interni.

– Esecuzione del trasferimento: Il dipendente, convinto della legittimità della richiesta, effettua il bonifico su conti bancari controllati dai truffatori.

– Spostamento rapido dei fondi: Una volta ricevuto il denaro, i criminali lo trasferiscono rapidamente su più conti offshore, rendendo il recupero estremamente difficile.

Con l’evoluzione dell’intelligenza artificiale, la truffa si è ulteriormente sofisticata grazie ai deepfake audio e video, che permettono di clonare la voce o addirittura il volto di un CEO, aumentando il grado di persuasione della frode.

—

## 3. Casi Emblematici di Truffe del Falso CEO

Negli ultimi anni, diversi casi di truffa del falso CEO hanno messo in evidenza la vulnerabilità delle aziende, anche quelle con strutture di sicurezza avanzate.

– Caso Pathé: Nel 2018, la sede olandese della storica casa cinematografica Pathé è stata truffata per oltre 19 milioni di euro. I truffatori, fingendosi dirigenti della casa madre francese, hanno convinto i responsabili finanziari a eseguire bonifici verso conti esteri.

– Caso FACC: Nel 2016, l’azienda austriaca FACC, attiva nel settore aerospaziale, ha subito una perdita di 50 milioni di euro dopo aver ricevuto false email apparentemente inviate dal CEO, con la richiesta di finanziare un’operazione segreta.

– Caso Fremantle: Nel 2024, Jaime Ondarza, ex CEO per l’Europa Meridionale di Fremantle, è stato vittima di una sofisticata truffa che ha causato una perdita milionaria per la società.

—

## 4. Profili Giuridici e Strumenti di Tutela

In Italia, il reato di truffa informatica è disciplinato dall’articolo 640-ter del Codice Penale**, che punisce chiunque alteri il funzionamento di un sistema informatico o telematico per ottenere un ingiusto profitto. Le pene possono arrivare fino a cinque anni di reclusione se la frode è aggravata.

Un aspetto cruciale riguarda la responsabilità delle banche nelle operazioni fraudolente. In alcuni casi, gli istituti di credito sono stati condannati al risarcimento delle vittime per mancata diligenza nel controllo delle operazioni.

– Sentenza Cassazione n. 3780/2024: La Suprema Corte ha stabilito che le banche possono essere ritenute responsabili per operazioni fraudolente se non adottano misure di sicurezza adeguate per prevenire transazioni anomale.

– Sentenza Tribunale di Milano n. 3330/2023: La banca è stata ritenuta responsabile per non aver rilevato una transazione sospetta nonostante elementi evidenti di anomalia.

– Decisione ABF 2023: L’Arbitro Bancario Finanziario ha riconosciuto il diritto al risarcimento di un cliente truffato, stabilendo che l’intermediario finanziario è tenuto ad adottare misure di sicurezza adeguate per prevenire frodi.

—

## 5. Strategie di Prevenzione e Difesa

### Misure Tecnologiche

– Autenticazione a due fattori (2FA) per l’approvazione di tutte le operazioni finanziarie.
– Verifica indipendente per ogni richiesta di bonifico.
– Utilizzo di intelligenza artificiale per rilevare anomalie nei pagamenti.
– Crittografia delle comunicazioni e monitoraggio avanzato della posta elettronica.

### Formazione del Personale

– Simulazioni periodiche di attacchi informatici** per riconoscere tecniche di ingegneria sociale.
– Procedure di escalation interna per segnalare richieste sospette.
– Politiche aziendali chiare sulle richieste di pagamento urgenti.

### Risposta in Caso di Frode

– Blocco immediato del pagamento e notifica alla banca.
– Denuncia alla Polizia Postale e avvio di un’indagine interna.
– Azioni legali per ottenere il risarcimento** in caso di responsabilità dell’istituto bancario.

—

6. Conclusioni

La truffa del falso CEO è una minaccia crescente, favorita dall’avanzamento dell’intelligenza artificiale e dall’aumento della digitalizzazione dei processi aziendali. Per le imprese, la protezione non può più basarsi esclusivamente su strumenti tecnologici, ma deve includere una strategia multidisciplinare che combini formazione, protocolli di sicurezza e una stretta collaborazione con le autorità competenti.

La giurisprudenza italiana sta gradualmente consolidando principi favorevoli alle vittime, imponendo agli istituti finanziari un obbligo di diligenza più rigoroso. Tuttavia, per evitare danni economici e reputazionali irreversibili, è essenziale un approccio preventivo e una risposta tempestiva a ogni tentativo di frode.

Solo un’evoluzione costante delle misure di sicurezza e un’adeguata consapevolezza delle minacce digitali potranno arginare questo fenomeno e garantire un ambiente finanziario più sicuro.