L’Opera di Santa Maria del Fiore non è la prima organizzazione a subire truffe man-in-the-middle e non sarà l’ultima, almeno fino a quando non verranno adottate procedure utili a scongiurare il peggio.
Nella loro forma embrionale, gli attacchi man-in-the-middle risalgono a un’epoca che precede l’avvento dei personal computer e l’idea stessa di intercettare e alterare una comunicazione senza che le parti coinvolte ne siano a conoscenza non dovrebbe più fare notizia, e questo nonostante i protocolli di sicurezza odierni.
Occorre prima di tutto partire dal presupposto che sicurezza e protezione non sono la stessa cosa: infatti, nel caso specifico, la onlus stava dialogando con i criminali in modo protetto.
L’onlus Opera di Santa Maria del Fiore si è vista sottrarre la somma di 1.785.366 euro solo in minima parte recuperata.
Per capire come evitare simili episodi è utile ripercorrere i fatti in breve.
Indice degli argomenti
Opera di Santa Maria del Fiore, cosa è successo
Nel corso del 2024, la onlus Opera di Santa Maria del Fiore – ente che gestisce il Duomo di Firenze, il Campanile di Giotto e il Battistero di San Giovanni – è stata oggetto di una truffa.
I criminali si sono inseriti nello scambio di email con un fornitore ufficialmente incaricato di svolgere lavori di restauro, riuscendo a sostituire i dettagli bancari e a dirottare così i bonifici su un conto a loro accessibile.
L’Opera ha denunciato il fatto a marzo del 2025 e la successiva inchiesta ha portato a nove fermi eseguiti l’11 dicembre dalla Polizia di Stato che ha scoperto un giro d’affari criminale molto più ampio, per il momento stimato attorno ai 30 milioni di euro.
Esauriti gli aspetti legati alla cronaca, è utile fare i conti con la debolezza delle procedure che rendono queste frodi possibili.
Come evitare il peggio
Per scongiurare simili scenari è utile e doveroso fare ricorso a procedure interne e alla formazione del personale il quale, storicamente, nella peggiore delle ipotesi non ha alcuna contezza dei rischi a cui ogni organizzazione è potenzialmente esposta oppure, nel migliore dei casi, tende a sottostimarli.
Per approfondire l’argomento ci siamo avvalsi della voce dell’ingegner Pierluigi Paganini, Ceo Cybhorus e direttore dell’Osservatorio sulla cybersecurity Unipegaso.
Le organizzazioni devono assolutamente avere metodi di verifica analogici interni, procedure prudenziali da attuare in condizioni prestabilite. Nel caso specifico, la onlus avrebbe dovuto chiedere a voce conferma al fornitore delle coordinate bancarie alle quali destinare il bonifico.
Così facendo, una telefonata di pochi secondi avrebbe evitato una truffa milionaria.
A tale proposito – seppure in un contesto diverso – serva da lezione la reazione di un dirigente della Ferrari che, durante l’estate del 2024, è riuscito a evitare una trappola con una semplice domanda rivolta al truffatore.
Un’altra misura utile è il filtering avanzato delle email (anti-phishing, DMARK, DKIM, SPF) a cui abbiamo dedicato un approfondimento qui.
In sintesi, il protocollo SPD protegge contro lo spoofing, DKIM impedisce manipolazioni dei messaggi e DMARC usa entrambi questi standard per mettere in quarantena le email considerate non autentiche.
Va sottolineato che, nel caso specifico della truffa ai danni dell’Opera Santa Maria del Fiore, questa strategia avrebbe dato risultati solo se tutte le email coinvolte nel carteggio fossero state autenticate correttamente con DKIM e SPF e se le policy DMARC fossero state pubblicate nel modo opportuno.
Inoltre, le tipologie di attacco Business Email Compromise (Bec) non ricorrono sempre allo spoofing del dominio del mittente. In alcuni casi sfruttano account reali compromessi vanificando così la protezione offerta da DMARC.
Anche se non sempre efficaci, questi tre standard dovrebbero essere implementati da ogni organizzazione, a prescindere dal tenore e dalla riservatezza delle email scambiate, dalle attività che svolge e dal mercato in cui opera.
La sicurezza percepita e quella reale
Sopra abbiamo sfiorato le differenze tra sicurezza e protezione. Con il supporto dell’ingegner Pierluigi Paganini approfondiamo questa dicotomia con un esempio.
Se anche le email dell’Opera fossero state crittografate con tecnologie quali PGP, la truffa sarebbe andata a buon fine: “La sola cifratura PGP non avrebbe risolto il problema, e rischia anzi di dare una falsa sensazione di sicurezza. Nel caso Opera Santa Maria del Fiore ci troviamo dinanzi ad un attacco di business e-mail compromise.
Gli attaccanti si inseriscono nel flusso di comunicazione tra committente e impresa, leggono le conversazioni, poi inviano messaggi (o rispondono nella stessa discussione) modificando l’IBAN utilizzato dalla vittima per ricevere i trasferimenti di danaro. Gli attaccanti sfruttano e-mail apparentemente legittime, spesso dopo aver compromesso o imitato un account aziendale, e fano leva su urgenza, riservatezza e fiducia nei processi interni.
I processi di cifratura proteggono il contenuto in transito da occhi esterni, ma non risolvono un aspetto chiave del BEC, se la casella di una delle parti è già compromessa, l’attaccante può leggere e inviare e-mail cifrate ‘a tutti gli effetti legittime’.
In questi casi, l’attacco è possibile per l’assenza di una procedura robusta di verifica del cambio coordinate”, spiega Pierluigi Paganini.
La soluzione migliore, ancora una volta, si trova nel punto in cui le tecnologie si intersecano alle procedure.
La soluzione parte dal basso
Qualsiasi strumento e qualsiasi infrastruttura usati per la cyber difesa dà il meglio di ciò che può offrire solo se dipendenti e collaboratori sono opportunamente e ciclicamente formati, aspetto cruciale più volte evocato.
Per questo motivo, l’esperto propone una riflessione che è nel contempo un consiglio: “Oggi il ciclo di vita delle minacce si è accorciato in maniera drammatica, per questo motivo è essenziale predisporre di piani formativi costantemente aggiornati e che siano concepiti per specifiche figure aziendali (executive, manager di primo livello, impiegati, appartenenti a specifici dipartimenti come HR, eccetera).
Per una media impresa, uno schema ragionevole prevede l’erogazione di training specifici almeno una volta l’anno, cui affiancherei micro‑pillole di 10–15 minuti su temi specifici e che siano rilasciate ogni trimestre;
È fondamentale prevedere più simulazioni di phishing nell’anno, variando template e scenari”, conclude l’ingegner Paganini.
