Account Email Compromesso / Business Email Compromise (BEC)

In caso di soggetto truffato tramite violazione dell’account email, con conseguente trasferimento fraudolento di denaro, è fondamentale agire rapidamente, sia dal punto di vista tecnico che giuridico, anche in un’ottica di protezione dei dati personali ai sensi del GDPR.

Ecco cosa può essere successo:

• L’account email è stato violato (es. tramite phishing, credenziali rubate, assenza di 2FA).
• L’attaccante accede realmente alla casella di posta.
• Invia email che appaiono legittime dall’account della vittima.
• L’attaccante riesce a truffare contatti fidati (es. convincere a fare un bonifico).

QUI i consigli principali , in ordine di priorità, da dare al soggetto coinvolto:

1. Segnalare immediatamente la truffa alle autorità

• Denuncia presso la Polizia Postale (o altra autorità competente).
• Indicare chiaramente: l’indirizzo email compromesso, la cronologia degli scambi con l’hacker, il dettaglio del pagamento effettuato, eventuali documenti ricevuti o inviati.
• La denuncia è necessaria per avviare eventuali indagini internazionali (soprattutto in caso di bonifico verso banche estere).

2. Contattare l’istituto bancario

• Se possibile bloccare immediatamente la transazione eventuali ulteriori transazioni.
• Richiedere l’intervento urgente per tentare di revocare il bonifico o segnalarlo come transazione fraudolenta.
• Richiedere alla banca un report dell’operazione, utile anche per la denuncia.

3. Verificare la violazione dell’account email

• Cambiare subito tutte le password dell’account compromesso (e di altri servizi collegati).
• Attivare l’autenticazione a due fattori (2FA).
• Se possibile, accedere ai log di accesso per capire da dove è avvenuta la compromissione (IP, località, dispositivo).
• Se l’email è aziendale o gestita da un provider esterno, informare anche il reparto IT o l’amministratore di sistema.

4. Valutare la comunicazione del Data Breach (se azienda)

Se il soggetto truffato è un’azienda, e l’email compromessa conteneva dati personali di clienti, dipendenti o partner:

• Potrebbe configurarsi un data breach ai sensi dell’art. 33 del GDPR.
• Va quindi notificato entro 72 ore al Garante Privacy (autorità di controllo).
• Se il rischio è elevato per i diritti e le libertà delle persone coinvolte, va informato anche l’interessato.

5. Documentare tutto

• Conservare ogni comunicazione ricevuta dall’hacker (anche se fasulla).
• Annotare ogni azione intrapresa: cambi password, notifiche, rapporti con banca, forze dell’ordine.
• Questa documentazione può essere utile sia in fase legale sia per una futura valutazione d’impatto sulla sicurezza.

In sintesi:

Si tratta di una violazione della sicurezza, che può avere impatti sia economici che sulla protezione dei dati personali. Una reazione tempestiva e strutturata può ridurre i danni e – in ambito GDPR – limitare responsabilità e sanzioni.