di Fabio Giordano, comitato tecnico AssoSoftware
Nelle ultime settimane sono stati pubblicati – anche sulla stampa specializzata di settore – numerosi articoli in cui sono stati segnalati i rischi di frodi connessi all’introduzione della fattura elettronica. Si è trattato chiaramente di informative difficilmente classificabili – in alcuni casi quasi al limite della fake news – che si sono propagate in rete dopo che il sindacato dei commercialisti Anc (Associazione nazionale commercialisti) ha segnalato, in una sua nota del 21 febbraio 2019, l’esistenza di «casi di istituti di credito che stanno ricevendo segnalazioni di frodi conseguenti al fatto che ignoti riescono ad accedere alle fatture elettroniche emesse da soggetti fornitori di servizi, società e professionisti, modificandone le coordinate bancarie. In questi casi, gli istituti stanno consigliando ai propri clienti, prima di autorizzare operazioni di pagamento, di verificare direttamente con il beneficiario la correttezza dell’Iban».
Con questo approfondimento vogliamo, quindi, fornire alcune indicazioni di tipo operativo e tecnico, circa i reali e concreti rischi che possono essere connessi a un utilizzo non attento degli strumenti informatici, e dare alcune indicazioni circa le precauzioni da prendere per raggiungere un corretto e consapevole livello sicurezza del proprio processo gestionale.
La truffa dell’Iban ha origini lontane
Provate a fare una ricerca su internet digitando le parole «Man in the mail». Scoprirete che questo è il nome della tipologia di truffa informatica che riguarda la sostituzione dell’Iban nelle fatture e scoprirete anche come l’anno più prolifico per questo tipo di truffa informatica sia stato il 2016! Quindi ben prima dell’avvento della fatturazione elettronica B2B.
In altre parole si parla di «Man in the mail» quando l’identità di un soggetto viene utilizzata fraudolentemente attraverso la casella di posta elettronica. Il caso più frequente è quello dell’intercettazione delle fatture (anche Pdf) che un’azienda invia ai propri clienti, in cui l’obiettivo è quello di inserirsi prontamente nella corrispondenza, per effettuare la variazione delle coordinate di pagamento.
Dal punto di vista della logica operativa le possibilità sono due:
•il truffatore attacca il sistema informativo del fornitore e quindi agisce sulla sua posta inviata. Nell’istante in cui il fornitore spedisce una fattura Pdf o Xml, questa viene modificata con l’indicazione del nuovo conto corrente;
•il truffatore attacca il sistema informativo del cliente e quindi agisce sulla sua posta in arrivo. Nell’istante in il cliente riceve una fattura Pdf o Xml, questa viene modificata, anche in questo caso con l’indicazione del nuovo conto corrente.
Le due modalità, apparentemente simili, hanno però ripercussioni completamente diverse dal punto di vista civilistico nei rapporti tra il fornitore e il cliente:
•nel primo caso, infatti, poiché il cliente effettua il pagamento sulle coordinate (ancorché manomesse) trasmesse dal fornitore, l’obbligazione è considerata adempiuta in quanto la manomissione dell’Iban è avvenuta a bordo del sistema informativo del fornitore e quindi sotto la sua piena responsabilità;
•nel secondo caso, non avendo il cliente effettuato il pagamento sulle coordinate indicate e trasmesse dal fornitore, bensì su coordinate che sono state manomesse all’interno del sistema informativo del cliente stesso e quindi sotto la sua piena responsabilità, il cliente sarà tenuto ad effettuare nuovamente il pagamento.
In altre parole nel primo caso l’unico soggetto danneggiato sarà il fornitore, che non riceverà il pagamento, mentre nel secondo caso il soggetto danneggiato sarà il cliente, che dovrà effettuare due volte il pagamento.
Come può avvenire un attacco informatico
Le possibilità che possa verificarsi un attacco informatico legato all’invio delle fatture (Pdf o Xml che sia) tramite posta elettronica, si possono ricondurre a due tipologie di evento:
•infezione (virus) dei sistemi di trasmissione del fornitore o di ricezione del cliente;
•violazione e utilizzo fraudolento delle credenziali (furto di identità) dell’uno o dell’altro soggetto da parte del truffatore.
Partiamo dal virus. Il contagio da virus avviene di solito nel momento in cui si aprono allegati o si clicca su link di messaggi di posta elettronica infettati oppure nel corso della navigazione internet su siti infetti. Ad esempio siti che forniscono servizi gratuiti quali l’eliminazione delle protezioni o della password dai file, quelli che forniscono servizi di scontistica, buoni regalo, trasmissioni televisive a pagamento disponibili gratuitamente, e altro ancora. O anche quando si installano, da fonti non certe, programmi non controllati.
Il virus è a tutti gli effetti un programma, in esecuzione permanente, che effettua le operazioni previste da colui che lo ha realizzato, al verificarsi di determinate condizioni.
Ad esempio qualora il virus rilevi un Iban nel corpo di una e-mail o all’interno di un documento Pdf o Xml allegato, il virus può sostituirlo con un Iban diverso senza che nessuno se ne accorga.
Il funzionamento dei virus appartenenti alla categoria «Man in the mail», fino allo scorso anno, ha interessato le comunicazioni che avvenivano per posta elettronica, andando ad agire e a variare le informazioni all’interno del corpo della e-mail e in qualche caso anche all’interno del Pdf allegato.
La seconda tipologia di evento, ovvero la violazione della casella di posta elettronica, con l’utilizzo fraudolento delle credenziali (furto di identità), espone ai medesimi rischi di cui sopra. Il furto di identità può avvenire in vari modi:
•quando vi è un contato diretto e fisico tra il truffatore e il truffato acquisendo, l’informazione delle credenziali da appunti (post-it eccetera) o leggendo (filmando) la tastiera;
•utilizzando tecniche informatiche specifiche realizzate proprio allo scopo di rubare questo tipo di informazioni.
Tra le tipologie di strumenti informatici atti a rubare le credenziali e le identità dei malcapitati vanno annoverate le seguenti.
•Keylogger e form grabbing:si tratta di virus in grado di leggere le credenziali digitate da tastiera nelle maschere di login delle pagine web di qualsiasi sito e di comunicarle al truffatore.
•Brute force: vengono effettuati ripetuti tentativi automatici in modo intelligente, grazie alla raccolta di informazioni sui social (nome dei familiari, data di nascita, eccetera). Questa tecnica funziona quando le password sono deboli e semplici e l’Id utente (login) è facilmente individuabile in quanto corrispondente all’indirizzo e-mail.
•Phishing: viene richiesta al malcapitato via mail la conferma delle credenziali, facendo leva su qualche motivazione contrattuale, ad esempio la richiesta di rinnovo o la minaccia di blocco del servizio.
La truffa dell’Iban applicata alla fatturazione elettronica
Dal 2019, con l’avvento della fatturazione elettronica obbligatoria, le fatture non dovrebbero essere più recapitate per posta elettronica. Ma è così? In gran parte sì, ma vi sono diverse eccezioni. Ad esempio la copia di cortesia viene ancora oggi trasmessa tramite posta elettronica, così come anche – in alcuni casi – le fatture ai privati o ancora quelle emesse dai soggetti esonerati.
Quindi gli attacchi di tipo «Man in the mail» sono ancora possibili e lo sarebbero ancora di più qualora si seguisse il consiglio di coloro che suggeriscono di non indicare l’Iban all’interno della fattura elettronica, ma di comunicarlo al cliente con altri strumenti (ad esempio la posta elettronica). A dispetto di quanto suggerito negli articoli di cui sopra, l’utilizzo dell’Xml per veicolare le informazioni rimane quindi, per molti aspetti, la soluzione migliore, tuttavia anche in questo caso occorre prendere le dovute precauzioni. Proviamo – a seguire – ad analizzare alcuni dei rischi noti che attualmente si possono già valutare e le soluzioni correlate che si possono adottare.
L’utilizzo di sistemi non automatizzati, in cui vi sia un’attività manuale di gestione dei file Xml, espone le parti a potenziali attacchi da parte delle nuove versioni dei virus, che nel frattempo sono state adattate in modo da essere in grado di modificare in tempo reale i file Xml subito prima della spedizione via posta elettronica da parte del fornitore (qualora il suo sistema informativo sia infetto) oppure al momento della ricezione da parte del cliente (qualora sia infetto il sistema informativo di quest’ultimo).
La soluzione preferibile è quella di utilizzare dei sistemi di gestione automatizzata delle fatture Xml, che di solito utilizzano gli hub (che sfruttano canali sicuri Https o Sftp) e non la posta elettronica come sistema di veicolazione dei dati, oppure, se utilizzano la posta elettronica, lo fanno in modo automatizzato e quindi più sicuro.
C’è da aggiungere inoltre che l’uso di sistemi software aziendali integrati ai portali di invio e ricezione delle fatture permette di avere un doppio controllo sui dati che si ricevono perché se è vero che non si può del tutto escludere la manomissione di una fattura elettronica, l’eliminazione di passaggi intermedi nell’invio e nella ricezione del documento, fino alla sua contabilizzazione limita fortemente la possibilità di interventi fraudolenti e contemporaneamente va ricordato che il sistema gestionale dell’azienda ha una sua banca dati fornitori dove gli estremi bancari sono custoditi in modo indipendente dalle fatture ricevute.
L’attuale architettura dello Sdi non copre dal rischio che possa essere recapitata a un “cliente” una fattura prodotta in modo fraudolento da un truffatore. La verifica dell’origine e dell’autenticità dalle fatture passive da parte dell’azienda, prima di effettuarne il pagamento e la consegna al commercialista, risulta quindi un’attività necessaria.
La soluzione migliore per garantirne l’origine e l’autenticità, è quella di richiedere al fornitore di apporre la firma elettronica propria o del soggetto terzo emittente alla fattura. La firma elettronica garantisce che la fattura non sia stata modificata lungo la tratta, successivamente all’apposizione della firma stessa.
Va detto che in questo caso, la semplificazione che ha interessato la fatturazione elettronica B2B rispetto a quella B2G (nei confronti della pubblica amministrazione), con l’eliminazione dell’obbligo di apposizione della firma elettronica, si è rivelata un piccolo boomerang, in quanto non è più garantita l’origine e l’autenticità del documento.
Un’adeguata prevenzione
Siamo quindi di fronte a un nuovo rischio di frodi connesso all’adozione della fatturazione elettronica? Sicuramente no! I problemi segnalati sono sempre esistititi, semmai con la fattura elettronica si potrà addivenire -magari non subito, ma in breve tempo – alla loro definitiva risoluzione.
Il problema dei virus e delle attività indesiderate che questi vengono svolte sui sistemi infettati, va molto al di là della sostituzione dell’Iban, per cui è assolutamente necessario proteggere i propri sistemi informatici con adeguati strumenti di difesa atti a contrastare efficacemente ogni tipologia di infezione informatica. Peraltro lo stesso Gdpr fornisce prescrizioni importanti cui ci si dovrebbe sempre attenere.
Per garantire ogni comunicazione si dovrebbero spedire i documenti ufficiali solamente tramite Pec e comunicare questa procedura ai propri clienti. In questo caso l’identità delle parti sarebbe certificata, l’appesantimento amministrativo sarebbe bilanciato dai minori rischi, anche nei rapporti tra le parti.
L’utilizzo di sistemi di crittografia del documento è anche una soluzione possibile. Attenzione però che questa non ci ritorca contro, quando – per qualsiasi problema – non fossimo più in grado di decriptare ciò che abbiamo voluto a tutti i costi crittografare.
Infine andrebbero implementate forme di autenticazione sicura di chi vuole accedere ai sistemi dell’azienda, per evitare violazioni e utilizzi fraudolento delle credenziali (furto di identità), attività impegnativa e non alla portata di tutti i soggetti, soprattutto di quelli di piccole dimensioni.
Tra gli altri consigli, che si possono fornire:
•quello di non custodire le credenziali in luoghi accessibili.
•quello di configurate le caselle di posta elettronica utilizzando esclusivamente i protocolli Ssl/Tls/Https.
•quello di installare un antivirus professionale ed efficace su tutta la rete, accompagnato da un firewall perimetrale e da un ottimo filtro antispam.
Tutti consigli ovvi, che purtroppo troppo spesso vediamo messi in opera solo dopo aver subito un’importante perdita di dati.