Hai ricevuto una telefonata dal "team di sicurezza"? Non siamo stati noi.
Leggi l'articolo per scoprire i dettagli su come viene attuato questo crimine, quali sono i campanelli d'allarme per individuare un attacco e una lista in sei punti per tenere al sicuro il tuo conto.
Una sola telefonata... e il conto si svuota
Una singola telefonata basta per azzerare il conto di un'impresa. I truffatori si spacciano per operatori dell'assistenza della banca, ti chiamano per nome, ti mettono fretta. Ti inviano un SMS per chiederti il codice di accesso e "annullare un pagamento sospetto". Due minuti, e puoi dare l'addio ai tuoi soldi.
Analizziamo casi reali di furti di conti aziendali dall'inizio del 2026 e la conclusione è chiara: 6 attacchi su 10 iniziano con una normale telefonata o un link ordinario, non con un tentativo di hackeraggio. E nel 58% dei casi, la prima mossa degli hacker è la variazione del tuo numero di telefono, così potranno intercettare tutti i codici.
La prima regola da ricordare è questa: Finom non chiama mai i suoi clienti per chiedere codici, password o invitarli a cliccare su un link. Se qualcuno ti chiama "da Finom" facendoti queste richieste, è una frode.
Scopri il nostro conto businessPerché te lo diciamo ora?
Account Takeover (ATO) suona come un tecnicismo esotico e raro. In realtà è uno dei crimini perpetrati più spesso e con estrema rapidità, un attacco mirato ad acquisire l'accesso al conto delle imprese. Ma ecco un concetto base che è essenziale chiarire: nella maggior parte dei casi, gli hacker non hanno bisogno di hackerare un bel nulla. Fanno in modo che sia tu a lasciarli entrare.
Le nostre analisi, condotte su incidenti reali a partire dal 2026, hanno mostrato che il 60% degli attacchi si affida al social engineering, in pratica a una conversazione, e circa la metà comporta anche un tentativo di phishing (e-mail e link falsi). Violazioni tecniche, malware e SIM swapping rappresentano una percentuale di gran lunga inferiore. In breve, il rischio più alto non è rappresentato da una "password debole", ma da una voce persuasiva all'altro capo della linea.
C'è un lato positivo: poiché questi attacchi si basano sulla manipolazione psicologica, per neutralizzarli basta qualche semplice accortezza e una tecnologia a buon mercato.
La regola n. 1 da ricordare sempre
Prima di addentrarci nei dettagli, c'è una regola che vale su tutte:
Finom non contatta mai i suoi clienti, né per telefono né con altri mezzi, per chiedere password, messaggi di testo o notifiche push o per invitarli a cliccare su un link per "confermare" o "annullare" un'operazione.
Il nostro team di assistenza non ha mai bisogno di conoscere i tuoi codici, che esistono proprio per proteggerti da persone non autorizzate. Quindi qualsiasi chiamata o messaggio dal "team di sicurezza Finom" per farti queste richieste è un tentativo di frode, senza eccezioni. Se hai dubbi, chiudi la conversazione e contatta tu la banca, usando l'app.
Scopri il servizio di fatturazione gratuitoCome è strutturata la truffa
Lo scenario tipico, quello attuato per oltre il 40% dei casi e che ha la più alta percentuale di successo, si basa su una combinazione di due fasi:
- Phishing. Ricevi una mail o un messaggio di testo "dalla tua banca", come "Conferma l'accesso", "Il tuo conto è bloccato", "Abbiamo rilevato un nuovo dispositivo". Il link ti porta su una falsa pagina di accesso che, nell'aspetto, sembra identica a quella ufficiale. Tu inserisci nome utente e password che, all'istante, vengono rubati dall'hacker.
- Vishing (una telefonata). Per superare il secondo livello di protezione, ricevi immediatamente una telefonata dal "team di sicurezza". Una voce tranquilla e sicura ti chiama per nome, ti parla di una "transazione sospetta" e ti chiede di leggere il codice che hai ricevuto via SMS per "annullare il pagamento". Quel codice è la tua ultima protezione.
Dall'istante in cui lo riveli, la truffa avviene molto velocemente. Avuto accesso al conto, quasi sempre l'hacker per prima cosa cambia il numero di telefono associato (è proprio questa la prima operazione registrata nel 58% dei casi documentati). È allora che si gioca tutto, perché il telefono è la "chiave di accesso principale" del tuo conto. Una volta che ha sotto controllo il tuo numero, l'hacker riceve tutti i codici inviati per messaggio di testo, i link di reset delle password e le conferme. Può cambiare e-mail e password e bloccare del tutto l'accesso al conto al legittimo titolare.
I soldi sfumano pressoché all'istante. Nei casi analizzati, il trasferimento dei fondi è avvenuto entro 2 minuti dal cambio delle credenziali, con pagamenti istantanei e irreversibili. E non finisce qui. In un terzo di questi attacchi, le operazioni sono automatizzate e lo step successivo avviene entro 10 minuti, perché i conti beneficiari sono già pronti e predisposti.
Perché ci cascano anche utenti esperti?
Non è questione di ingenuità. Questi criminali sono esperti e sanno esattamente su quali punti fare leva per manipolare psicologicamente le vittime:
- Urgenza. "Se non confermi, il pagamento sarà completato in 5 minuti". Non lasciano il tempo di pensare.
- Fiducia nel brand. Chi ti chiama conosce il tuo nome, la tua azienda, e a volte anche le tue transazioni più recenti. Sembra in tutto e per tutto una telefonata dell'assistenza.
- Timore di perdere l'accesso o perdere soldi. Il paradosso: una persona legge il proprio codice per "proteggere" il suo conto, ed è proprio così che, invece, lo perde.
- Autorità. "Team di sicurezza", "funzionario della banca", "rappresentante Google": sono tutti ruoli di cui riconosciamo l'autorità.
Un dettaglio importante da considerare è che spesso la radice del problema è all'esterno della banca, e si annida nell'e-mail compromessa della vittima. Nel 41% dei casi, l'hacker aveva già avuto accesso alla mail della vittima prima ancora di toccarne il conto. L'e-mail è la chiave che apre ogni porta, perciò è essenziale proteggerla proprio quanto l'app della banca.
Scopri di più su FinomQuando un attacco sembra provenire dall'interno: un caso reale
Il titolare di una piccola impresa riceve un messaggio di testo: "Finom: è stato rilevato l'accesso da un nuovo dispositivo. Se non eri tu, tocca qui". Clicca, vede il logo che gli è familiare e inserisce le credenziali. In apparenza non succede nulla, per cui chiude la pagina e non ci pensa più.
Dopo un minuto arriva una telefonata: "Salve, La chiamo dal team di sicurezza Finom. C'è stato un tentativo di prelevare 3.900 € dal conto. Per annullarlo, legga il codice contenuto nel messaggio di testo". Lo legge. "Grazie, abbiamo bloccato il pagamento, è tutto in ordine".
In realtà, in quel esatto momento il numero di telefono del conto viene cambiato, poi viene cambiato l'indirizzo e-mail e quindi la password. Dopo qualche minuto, i soldi vanno via con un bonifico. Il titolare non si accorge di niente: l'app ha smesso di inviargli le notifiche e i dati hanno cambiato titolare. In media, l'ammanco viene notato solo dopo tre settimane, quando non c'è più nulla da recuperare.
E, di nuovo, ecco il punto chiave: in questa circostanza, Finom non chiama e non chiede nessun codice. La telefonata stessa è già il segnale di un attacco.
Campanelli di allarme
Mettiti in allarme se:
- Ti contatta all'improvviso una persona chiedendoti un codice, una password o di cliccare su un link.
- La persona ti mette fretta e non ti lascia "chiudere e richiamare"
- Ricevi una notifica di un'avvenuta variazione del numero di telefono, dell'indirizzo e-mail o della password che tu non hai richiesto.
- All'improvviso non ricevi più gli SMS e i messaggi push che ti arrivavano dalla banca
- Un link in un messaggio e-mail punta a un indirizzo simile ma non identico (ad esempio finom-secure.com invece del dominio esatto).
- Ti viene richiesto di trasferire del denaro in un conto "sicuro" o di "riserva".
Come proteggerti
Misure concrete, in ordine di impatto:
- Non leggere mai a nessuno i codici ricevuti via SMS o push. Nessun dipendente di una banca, o di Finom, ti chiederà mai un codice. Solo gli hacker lo fanno. Questa è la regola n. 1.
- Non cliccare sui link che ricevi via e-mail o messaggi di testo. Accedi alla banca solo usando l'app ufficiale o l'indirizzo di un sito web che hai digitato tu a mano.
- Passa dai codici SMS alla conferma in-app (push/passkey) se la tua banca lo consente. In questo modo anche se varia il numero di telefono l'hacker non potrà avere nessun controllo sul conto.
- Proteggi l'e-mail Questa è la seconda via d'accesso a tutto. Attiva l'autenticazione a due fattori e usa una password esclusiva.
- Usa password sicure e diverse e anche un gestore delle password. Se usi la stessa password sia per l'e-mail che per la banca, una sola violazione mette a rischio entrambe.
- Attiva tutte le notifiche per accessi, variazione dei dati e transazioni, così potrai identificare un attacco in minuti, invece che settimane.
- In caso di dubbi, chiudi la telefonata e accedi usando l'app ufficiale.
Cosa fare se sospetti una violazione
Se hai comunicato un codice, cliccato su un link sospetto o visto variazioni che non hai fatto tu, agisci all'istante: ogni minuto conta.
- Apri l'app e controlla se puoi ancora accedere.
- Cambia la password sia per la banca che per l'e-mail.
- Contatta Finom tramite l'app ufficiale e segnala la violazione. Chiedi il blocco del conto e delle transazioni.
- Ricontrolla le ultime transazioni e annota qualsiasi dettaglio sospetto.
- Controlla il numero di telefono e l'indirizzo e-mail nelle impostazioni, per assicurarti che non siano stati cambiati.
- Segnala la frode alle forze dell'ordine, se ti è stato rubato del denaro.
La velocità è tutto: i bonifici istantanei sono quasi impossibili da revocare, ma spesso un blocco tempestivo protegge i fondi rimasti.
In sintesi
L'Account Takeover non è una truffa perpetrata da menti brillanti. Bastano una voce tranquilla, un link fittizio e un minuto di fretta. Gli hacker puntano a carpire la tua attenzione e fiducia, non vanno in cerca di "falle" nel sistema bancario. La difesa migliore: poche abitudini, semplici ma costanti. E la prima è semplicissima: se ti chiama "Finom" per chiederti un codice, non siamo noi. Riattacca.
Lista di controllo: 6 cose che puoi fare oggi
- Non divulgare mai i codici push/SMS, neanche al "team di sicurezza". Finom non te li chiede mai.
- Attiva l'accesso basato su app o passkey al posto dei codici via SMS.
- Attiva l'autenticazione a due fattori per la mail e imposta una password unica.
- Usa un gestore per le password e usa password diverse per la banca, l'e-mail e gli altri servizi.
- Attiva tutte le notifiche per accessi, variazioni dei dati e pagamenti.
- Ricorda la regola: se hai dubbi, chiudi la conversazione e accedi tu alla banca usando l'app.
Ultimi articoli

Conto Wise Business: costi, servizi e alternative

Conto aziendale Intesa Sanpaolo: costi, servizi e alternative

Conto aziendale Revolut: come funziona in Italia

Conto business N26: costi, servizi e alternative

Conto business BPM: quale scegliere e quanto costa

Conto business Credem: costi, servizi e alternative

Conto aziendale Hero: costi e funzionalità a confronto

