Email Aziendale Hackerata: Cosa Fare Subito

"Michele, i clienti ci scrivono che hanno ricevuto fatture strane dalla nostra email." Questa telefonata l'ho ricevuta troppe volte. Un account email aziendale compromesso è una delle situazioni più pericolose per una PMI: l'attaccante legge la tua posta, studia le tue trattative e, al momento giusto, invia una fattura falsa con coordinate bancarie diverse. Il cliente paga, i soldi spariscono.

Si chiama Business Email Compromise (BEC) ed è l'attacco più costoso per le PMI italiane. Non servono virus sofisticati, non servono exploit zero-day: basta una password rubata. In questa guida ti spiego come capire se la tua email è stata compromessa, cosa fare subito e come evitare che succeda di nuovo.

I Segnali che la Tua Email È Stata Hackerata

Il problema degli attacchi BEC è che spesso l'attaccante non vuole che tu te ne accorga. Opera in silenzio, leggendo le tue email per giorni o settimane prima di agire. Ecco i segnali a cui prestare attenzione:

Altri segnali meno evidenti: notifiche di cambio password che non hai richiesto, app di terze parti autorizzate nel tuo account Microsoft che non riconosci, impostazioni di risposta automatica modificate.

Le 6 Azioni Immediate da Fare Subito

Se sospetti che la tua email aziendale sia stata compromessa, agisci subito. Ogni minuto che passa l'attaccante ha accesso alla tua posta, alle tue trattative e ai dati dei tuoi clienti.

1. Cambia la password immediatamente

Usa una password nuova, forte, che non hai mai usato altrove. Almeno 16 caratteri con lettere maiuscole, minuscole, numeri e simboli. Ancora meglio: usa una passphrase lunga e facile da ricordare come "CavalloGialloCorre42Veloci!".

Se non riesci ad accedere perché l'attaccante ha cambiato la password, contatta immediatamente il tuo reparto IT o il tuo MSP per il reset dell'account dall'admin panel di Microsoft 365.

2. Attiva l'MFA (se non era già attiva)

L'autenticazione a due fattori è la misura singola più efficace per proteggere un account email. Con l'MFA attiva, anche se l'attaccante ha la password, non può accedere senza il secondo fattore (notifica push su Microsoft Authenticator o codice SMS).

Se l'MFA era già attiva e l'attaccante è comunque entrato, significa che ha compromesso anche il secondo fattore (token di sessione rubato, SIM swap) oppure ha sfruttato un'app OAuth malevola. In questo caso serve un intervento più profondo.

3. Controlla le regole di inoltro in Outlook/Exchange

Questa è la cosa che gli attaccanti fanno per prima. Creano una regola automatica che inoltra tutte le email (o quelle che contengono parole chiave come "fattura", "pagamento", "bonifico") a un indirizzo esterno sotto il loro controllo. Così continuano a leggere la tua posta anche dopo che cambi la password.

Dove controllare in Microsoft 365:

• Outlook Web: Impostazioni → Posta → Regole → Verifica TUTTE le regole attive
• Exchange Admin Center: Mail flow → Rules → Verifica regole a livello tenant
• PowerShell: Get-InboxRule -Mailbox utente@azienda.it per vedere tutte le regole incluse quelle nascoste

4. Verifica gli accessi in Azure AD

I log di accesso di Azure AD (ora Entra ID) ti dicono esattamente chi ha fatto login, da dove e con quale dispositivo. Cerca:

• Accessi da IP geolocalizzati in paesi dove non operi
• Accessi da browser o sistemi operativi che non usi (es. Linux se la tua azienda usa solo Windows)
• Accessi riusciti a orari insoliti (notte, weekend)
• Accessi con "MFA satisfied by claim in the token" che indicano token rubati

Dopo la verifica, revoca tutte le sessioni attive dell'utente compromesso. In Azure AD: Utente → Revoke sessions. Questo forza un nuovo login su tutti i dispositivi.

5. Avvisa colleghi e clienti se necessario

Se l'attaccante ha inviato email dal tuo account (soprattutto fatture o richieste di pagamento), devi avvisare immediatamente tutti i destinatari. Non per email (che potrebbe essere ancora compromessa) ma per telefono.

Il messaggio deve essere chiaro: "Il nostro account email è stato compromesso. Se avete ricevuto comunicazioni con coordinate bancarie diverse dalle solite, ignoratele e contattateci per telefono."

6. Controlla i danni: fatture false e dati rubati

L'analisi dei danni è la parte più delicata. Bisogna ricostruire cosa ha fatto l'attaccante con l'accesso al tuo account:

• Ha inviato fatture false con IBAN diversi ai tuoi clienti?
• Ha scaricato allegati con dati sensibili (contratti, fatture, dati personali)?
• Ha usato il tuo account per lanciare phishing verso altri?
• Ha acceduto a SharePoint, OneDrive, Teams tramite lo stesso account?
• Ha creato app OAuth autorizzate che mantengono l'accesso anche dopo il cambio password?

Caso Reale: La Fattura Falsa da 45.000 Euro

Come Prevenire la Compromissione delle Email

Dopo aver gestito decine di BEC, posso dire con certezza che la quasi totalità degli attacchi era prevenibile. Le misure necessarie non sono costose e non sono complicate. Serve solo la volontà di metterle in piedi.

SPF, DKIM e DMARC: Le Difese che Mancano a Troppe PMI

Tre sigle che sembrano complicate ma sono fondamentali per la protezione email. Insieme, impediscono che qualcuno invii email spacciandosi per il tuo dominio aziendale.

• SPF (Sender Policy Framework): dichiara quali server sono autorizzati a inviare email per il tuo dominio. Se un server non autorizzato invia email da @tuaazienda.it, il destinatario le rifiuta.
• DKIM (DomainKeys Identified Mail): firma digitale che certifica che l'email non è stata modificata durante il transito.
• DMARC (Domain-based Message Authentication): dice ai server destinatari cosa fare con le email che falliscono SPF e DKIM (quarantena, rifiuto). Con DMARC in modalità "reject", nessuno può inviare email false dal tuo dominio.

Il dato preoccupante: meno del 30% delle PMI italiane ha DMARC configurato correttamente. Significa che chiunque può inviare email che sembrano provenire dal tuo dominio.

Come BullTech Protegge le Email dei Clienti

La protezione email è uno dei servizi che i nostri clienti apprezzano di più, perché il risultato è tangibile: zero BEC andati a segno sui clienti che seguiamo. Ecco cosa facciamo:

• Email Security con Libraesva: filtraggio avanzato con sandboxing, anti-phishing e protezione URL per tutte le caselle aziendali
• Gestione Microsoft 365: MFA, Conditional Access, configurazione SPF/DKIM/DMARC, audit log monitoring
• Monitoraggio accessi H24: alert automatici per login anomali, impossible travel e modifiche sospette alle regole email
• Formazione dipendenti: sessioni dedicate al reparto amministrativo su BEC e phishing, con simulazioni periodiche
• Incident response: in caso di compromissione, interveniamo immediatamente per contenere il danno, bonificare l'account e comunicare con i soggetti coinvolti

Domande Frequenti

Come capire se la mia email aziendale è stata hackerata?

I segnali principali sono: email inviate che non hai scritto, regole di inoltro sospette nella casella, accessi da IP o paesi sconosciuti nei log di Azure AD, contatti che ti segnalano messaggi strani, e password che non funziona più.

Cosa fare subito se l'email aziendale è compromessa?

Cambiare la password immediatamente, attivare l'MFA, controllare e rimuovere regole di inoltro sospette, verificare gli accessi in Azure AD e revocare tutte le sessioni attive.

Cos'è un attacco BEC (Business Email Compromise)?

Il BEC è un attacco in cui un criminale accede all'email di un dipendente e la usa per inviare fatture false, richieste di bonifico o cambi di coordinate bancarie. Le perdite medie per incidente superano i 45.000 euro.

Come prevenire la compromissione delle email aziendali?

MFA su tutti gli account, email security con Libraesva, Conditional Access Policies in Azure AD, formazione anti-phishing e verifica telefonica per cambio IBAN.

Devo avvisare il Garante Privacy se l'email è stata hackerata?

Se l'attaccante ha avuto accesso a dati personali e il rischio per gli interessati è significativo, la notifica al Garante entro 72 ore è obbligatoria (GDPR art. 33). In caso di dubbio, meglio notificare.