Hackers rubano 700mila sterline a società energetica UK
Un’altra vittima eccellente cade nella trappola dei cybercriminali: una importante società energetica britannica ha subito il furto di 700mila sterline (circa 840mila euro) attraverso un sofisticato schema di reindirizzamento dei pagamenti. La vicenda rappresenta un campanello d’allarme preoccupante per tutte le aziende che operano nel settore critico dell’energia, dove la sicurezza delle transazioni finanziarie dovrebbe essere blindata.
Quello che colpisce di questa storia non è tanto l’importo – che per la sicurezza informatica contemporanea non è più considerato eccezionale – ma il modus operandi utilizzato dai criminali. In un’epoca dove le aziende investono milioni in infrastrutture di cybersecurity, gli hacker hanno scelto la strada più tradizionale e, paradossalmente, ancora efficacissima: l’ingegneria sociale e la manipolazione dei processi di pagamento. Una lezione umiliante per chi pensava che la tecnologia potesse risolvere tutto.
Come è stato perpetrato il crimine
Secondo quanto emerso, i cybercriminali hanno completato un’operazione in due fasi. Nella prima, hanno intercettato o compromesso le comunicazioni relative a un pagamento destinato a un contractor – probabilmente attraverso email spoofing, accesso non autorizzato a un account di posta o compromise di una piattaforma di comunicazione interna. Non sappiamo ancora tutti i dettagli tecnici, ma la metodologia è ormai ben conosciuta dai team di sicurezza: gli attaccanti modificano le coordinate bancarie fornendo un IBAN controllato da loro stessi.
Nella seconda fase, il pagamento di 700mila sterline è stato elaborato regolarmente, ma invece di finire nel conto del contractor legittimo, è atterrato direttamente nei server bancari controllati dai criminali. La società energetica non si è accorta di nulla fino a quando il contractor non ha iniziato a chiedere dove fosse il denaro. A quel punto, era ormai troppo tardi: il denaro era già stato prelevato o trasferito verso conti offshore, seguendo le ormai tipiche tracce digitali che i criminali internazionali utilizzano per riciclare i proventi di crimini cyber.
Il fallimento della comunicazione interna
Quello che desta particolare preoccupazione è che un’azienda del calibro di una società energetica britannica – stiamo parlando di infrastrutture critiche, sottoposte a rigide normative sul cybersecurity come le direttive europee sulla resilienza – non abbia implementato procedure di verifica doppia per transazioni di questo importo. La maggior parte delle best practice internazionali in ambito cybersecurity prevedono che pagamenti superiori a determinate soglie richiedano conferma verbale o multi-firma.
La vulnerabilità, evidentemente, era umana. Un email credibile, una comunicazione apparentemente interna, e la catena di verifica è crollata. Questo accade perché, per quanto sofisticata sia la tecnologia di un’azienda, essa resta solo un corollario della gestione del rischio. Se i processi di verifica non sono sufficientemente robusti – e soprattutto se non vengono realmente applicati dai dipendenti, spesso affrettati e sotto pressione – allora tutto il resto conta poco.
Implicazioni per le aziende italiane
In Italia, questo episodio dovrebbe far riflettere particolarmente le aziende che operano in settori critici: energia, finanza, infrastrutture. Secondo i dati dell’Agenzia per la Cybersicurezza Nazionale, il numero di attacchi contro infrastrutture critiche italiane è aumentato del 40% negli ultimi anni. E il fenomeno del reindirizzamento dei pagamenti – noto in inglese come payment diversion fraud – è diventato una delle tattiche preferite dai gruppi di ransomware organizzati.
La maggior parte delle aziende italiane, soprattutto le PMI, non ha ancora implementato protocolli di verifica sofisticati come l’autenticazione a più fattori per le transazioni finanziarie critiche. Molte si affidano ancora a procedure principalmente manuali, dove un’email può ancora fare la differenza. Il caso britannico dovrebbe essere uno spunto per rivedere internamente i processi: quanta fiducia riponiamo effettivamente nella comunicazione via email? E quanta di questa fiducia è davvero giustificata?
Cosa possiamo imparare da questo incidente
Il primo insegnamento è banale ma cruciale: la segregazione dei doveri. Quando si parla di pagamenti significativi, non dovrebbe mai una sola persona avere il potere di approvare e processare una transazione. Il secondo insegnamento riguarda la verifica fuori dal canale digitale: una breve telefonata al contractor, utilizzando un numero verificato direttamente dalla rubrica aziendale (non uno fornito via email), avrebbe fermato tutto immediatamente.
Il terzo punto è quello della consapevolezza dei dipendenti. La sicurezza informatica contemporanea dipende molto dalla human awareness. I training periodici sulla phishing e sugli attacchi di social engineering non sono lussi – sono necessità concrete. E non dovrebbero essere esercizi annoiosi e teorici, ma simulazioni realistiche che addestrano il personale a riconoscere anomalie e a dubitare di ciò che arriva via email, per quanto credibile possa sembrare.
Il contesto più ampio degli attacchi finanziari
Questa vicenda si inserisce in un panorama più ampio di criminalità cyber organizzata. Le organizzazioni internazionali hanno documentato come gruppi criminali sofisticati non cerchino più solo di penetrare le reti aziendali attraverso vulnerabilità tecniche. Piuttosto, hanno scoperto che il target più vulnerabile rimane sempre il dipendente. E il vettore più efficace rimane la comunicazione digitale apparentemente legittima.
Quello che rende ancora più allarmante il crimine è la possibilità che i 700mila sterline rubati possono essere già stati riciclati prima che l’azienda se ne accorgesse. Le reti di riciclaggio finanziario crypto-based e le giurisdizioni offshore rendono il recupero praticamente impossibile. Per questo motivo, la prevenzione non è solo una buona pratica – è l’unico strumento realmente efficace.
Prospettive per il futuro
Nel 2026, le tecnologie di verifica stanno evolvendo: biometria, blockchain per le transazioni critiche, intelligenza artificiale per rilevare anomalie nelle comunicazioni. Eppure, molte aziende restano indietro. La speranza è che incidenti come questo spingano le organizzazioni a investire non solo in software di sicurezza, ma soprattutto in processi e persone.
Perché alla fine, il vero cybersecurity non è una questione di quanti firewall installiamo o quanti sistemi di crittografia adottiamo. È una questione di consapevolezza, di processi robusti, e di quella giusta dose di paranoia che spinge a verificare due volte prima di muovere centinaia di migliaia di euro in giro per il mondo. La tecnologia è importante, ma solo se supportata da una cultura di sicurezza che parte dalla base: il buon senso umano.
Fonte: TechCrunch
