Truffa del CEO – come possono proteggersi i comuni
L’Ufficio federale della cibersicurezza (UFCS) nota regolarmente tentativi di truffa del CEO nei quali dei criminali si spacciano per esempio per dirigenti delle amministrazioni comunali con l’obiettivo di indurre i collaboratori a effettuare pagamenti. Nel 2024 sono giunte all’UFCS 719 segnalazioni a riguardo, mentre nel 2025 erano addirittura 971. L’UFCS esamina l’attuale modus operandi dei criminali, illustra il motivo per cui sono presi di mira anche i comuni, e fornisce suggerimenti sul modo in cui i comuni – ma anche tutti gli altri – possono proteggersi contro simili atti.
Trattandosi di enti pubblici e in considerazione dell’elevata disponibilità di informazioni di vario tipo sui loro siti web, i comuni rappresentano un target attrattivo per tentativi di truffa del CEO. In questi tipi di truffa, i criminali si spacciano per dirigenti, per esempio capi, capidivisione o sindaci, e lo fanno tipicamente via e-mail. Le truffe del CEO non vengono tuttavia perpetrate soltanto via e-mail. Nel frattempo, infatti, si registrano anche tentativi di truffa tramite WhatsApp o per telefono. L’obiettivo è di manipolare e mettere sotto pressione in modo mirato i collaboratori del settore delle finanze così da indurli a effettuare transazioni finanziarie o ad acquistare carte regalo. Il denaro trasferito non va tuttavia a finire dove dovrebbe, bensì nelle mani dei truffatori.
Per proteggersi contro le truffe del CEO l’UFCS suggerisce di definire, in caso di richieste di pagamento, una regolamentazione chiara delle competenze e processi sistematici, sia per i collaboratori attivi nel settore delle finanze, sia per i dirigenti. In caso di dubbi o incertezze sarebbe opportuno verificare la richiesta attraverso un canale di comunicazione separato e noto alle potenziali vittime. Anche l'autorizzazione dei pagamenti secondo il principio del doppio controllo e momenti formativi regolari sulle truffe e il social engineering sono ulteriori misure di protezione efficaci, come lo sono anche l’utilizzo sistematico delle firme per le e-mail e un potente filtro antispam. Vi invitiamo inoltre a non pubblicare, nel limite del possibile, informazioni interne sul sito del comune.
Qualora doveste aver effettuato un pagamento nonostante le misure preventive, contattate immediatamente la banca tramite la quale avete effettuato il pagamento. Questa potrebbe, infatti, ancora riuscire a bloccarlo. L’UFCS consiglia inoltre di sporgere denuncia presso la polizia cantonale responsabile.
I tentativi di truffa del CEO identificati e quelli avvenuti possono essere segnalati all’UFCS su base volontaria all’indirizzo: https://www.report.ncsc.admin.ch/it/
Nel sito web dell’UFCS trovate ulteriori precisazioni, e anche informazioni su altre forme di minaccia.
Guida per comuni digitali
Avete una domanda sulla digitalizzazione o sull’e-government nel vostro comune? Scriveteci e sottoporremo la vostra domanda agli esperti della nostra sezione «Guida per comuni digitali».
Contatto: Modulo o info@chgemeinden.ch
