Fattura elettronica, la prevenzione gioca d’anticipo sul rischio di attacchi informatici
Nelle ultime settimane sono stati pubblicati - anche sulla stampa specializzata di settore - numerosi articoli in cui sono stati segnalati i rischi di frodi connessi all’introduzione della fattura elettronica. Si è trattato chiaramente di informative difficilmente classificabili - in alcuni casi quasi al limite della fake news - che si sono propagate in rete dopo che il sindacato dei commercialisti Anc (Associazione nazionale commercialisti) ha segnalato, in una sua nota del 21 febbraio 2019, l’esistenza di «casi di istituti di credito che stanno ricevendo segnalazioni di frodi conseguenti al fatto che ignoti riescono ad accedere alle fatture elettroniche emesse da soggetti fornitori di servizi, società e professionisti, modificandone le coordinate bancarie. In questi casi, gli istituti stanno consigliando ai propri clienti, prima di autorizzare operazioni di pagamento, di verificare direttamente con il beneficiario la correttezza dell’Iban».
Con questo approfondimento vogliamo, quindi, fornire alcune indicazioni di tipo operativo e tecnico, circa i reali e concreti rischi che possono essere connessi a un utilizzo non attento degli strumenti informatici, e dare alcune indicazioni circa le precauzioni da prendere per raggiungere un corretto e consapevole livello sicurezza del proprio processo gestionale.
La truffa dell’Iban ha origini lontane
Provate a fare una ricerca su internet digitando le parole «Man in the mail». Scoprirete che questo è il nome della tipologia di truffa informatica che riguarda la sostituzione dell’Iban nelle fatture e scoprirete anche come l’anno più prolifico per questo tipo di truffa informatica sia stato il 2016! Quindi ben prima dell’avvento della fatturazione elettronica B2B.
In altre parole si parla di «Man in the mail» quando l’identità di un soggetto viene utilizzata fraudolentemente attraverso la casella di posta elettronica. Il caso più frequente è quello dell’intercettazione delle fatture (anche Pdf) che un’azienda invia ai propri clienti, in cui l’obiettivo è quello di inserirsi prontamente nella corrispondenza, per effettuare la variazione delle coordinate di pagamento.
Dal punto di vista della logica operativa le possibilità sono due:
•il truffatore attacca il sistema informativo del fornitore e quindi agisce sulla sua posta inviata. Nell’istante in cui il fornitore spedisce una fattura Pdf o Xml, questa viene modificata con l’indicazione del nuovo conto corrente;
•il truffatore attacca il sistema informativo del cliente e quindi agisce sulla sua posta in arrivo. Nell’istante in il cliente riceve una fattura Pdf o Xml, questa viene modificata, anche in questo caso con l’indicazione del nuovo conto corrente.
Le due modalità, apparentemente simili, hanno però ripercussioni completamente diverse dal punto di vista civilistico nei rapporti tra il fornitore e il cliente:
•nel primo caso, infatti, poiché il cliente effettua il pagamento sulle coordinate (ancorché manomesse) trasmesse dal fornitore, l’obbligazione è considerata adempiuta in quanto la manomissione dell’Iban è avvenuta a bordo del sistema informativo del fornitore e quindi sotto la sua piena responsabilità;
•nel secondo caso, non avendo il cliente effettuato il pagamento sulle coordinate indicate e trasmesse dal fornitore, bensì su coordinate che sono state manomesse all’interno del sistema informativo del cliente stesso e quindi sotto la sua piena responsabilità, il cliente sarà tenuto ad effettuare nuovamente il pagamento.
In altre parole nel primo caso l’unico soggetto danneggiato sarà il fornitore, che non riceverà il pagamento, mentre nel secondo caso il soggetto danneggiato sarà il cliente, che dovrà effettuare due volte il pagamento.
Come può avvenire un attacco informatico
Le possibilità che possa verificarsi un attacco informatico legato all’invio delle fatture (Pdf o Xml che sia) tramite posta elettronica, si possono ricondurre a due tipologie di evento:
•infezione (virus) dei sistemi di trasmissione del fornitore o di ricezione del cliente;
•violazione e utilizzo fraudolento delle credenziali (furto di identità) dell’uno o dell’altro soggetto da parte del truffatore.
Partiamo dal virus. Il contagio da virus avviene di solito nel momento in cui si aprono allegati o si clicca su link di messaggi di posta elettronica infettati oppure nel corso della navigazione internet su siti infetti. Ad esempio siti che forniscono servizi gratuiti quali l’eliminazione delle protezioni o della password dai file, quelli che forniscono servizi di scontistica, buoni regalo, trasmissioni televisive a pagamento disponibili gratuitamente, e altro ancora. O anche quando si installano, da fonti non certe, programmi non controllati.
Il virus è a tutti gli effetti un programma, in esecuzione permanente, che effettua le operazioni previste da colui che lo ha realizzato, al verificarsi di determinate condizioni.
Ad esempio qualora il virus rilevi un Iban nel corpo di una e-mail o all’interno di un documento Pdf o Xml allegato, il virus può sostituirlo con un Iban diverso senza che nessuno se ne accorga.
Il funzionamento dei virus appartenenti alla categoria «Man in the mail», fino allo scorso anno, ha interessato le comunicazioni che avvenivano per posta elettronica, andando ad agire e a variare le informazioni all’interno del corpo della e-mail e in qualche caso anche all’interno del Pdf allegato.
La seconda tipologia di evento, ovvero la violazione della casella di posta elettronica, con l’utilizzo fraudolento delle credenziali (furto di identità), espone ai medesimi rischi di cui sopra. Il furto di identità può avvenire in vari modi:
•quando vi è un contato diretto e fisico tra il truffatore e il truffato acquisendo, l’informazione delle credenziali da appunti (post-it eccetera) o leggendo (filmando) la tastiera;
•utilizzando tecniche informatiche specifiche realizzate proprio allo scopo di rubare questo tipo di informazioni.
Tra le tipologie di strumenti informatici atti a rubare le credenziali e le identità dei malcapitati vanno annoverate le seguenti.
•Keylogger e form grabbing:si tratta di virus in grado di leggere le credenziali digitate da tastiera nelle maschere di login delle pagine web di qualsiasi sito e di comunicarle al truffatore.
•Brute force: vengono effettuati ripetuti tentativi automatici in modo intelligente, grazie alla raccolta di informazioni sui social (nome dei familiari, data di nascita, eccetera). Questa tecnica funziona quando le password sono deboli e semplici e l’Id utente (login) è facilmente individuabile in quanto corrispondente all’indirizzo e-mail.
•Phishing: viene richiesta al malcapitato via mail la conferma delle credenziali, facendo leva su qualche motivazione contrattuale, ad esempio la richiesta di rinnovo o la minaccia di blocco del servizio.
La truffa dell’Iban applicata alla fatturazione elettronica
Dal 2019, con l’avvento della fatturazione elettronica obbligatoria, le fatture non dovrebbero essere più recapitate per posta elettronica. Ma è così? In gran parte sì, ma vi sono diverse eccezioni. Ad esempio la copia di cortesia viene ancora oggi trasmessa tramite posta elettronica, così come anche - in alcuni casi - le fatture ai privati o ancora quelle emesse dai soggetti esonerati.
Quindi gli attacchi di tipo «Man in the mail» sono ancora possibili e lo sarebbero ancora di più qualora si seguisse il consiglio di coloro che suggeriscono di non indicare l’Iban all’interno della fattura elettronica, ma di comunicarlo al cliente con altri strumenti (ad esempio la posta elettronica). A dispetto di quanto suggerito negli articoli di cui sopra, l’utilizzo dell’Xml per veicolare le informazioni rimane quindi, per molti aspetti, la soluzione migliore, tuttavia anche in questo caso occorre prendere le dovute precauzioni. Proviamo - a seguire - ad analizzare alcuni dei rischi noti che attualmente si possono già valutare e le soluzioni correlate che si possono adottare.
L’utilizzo di sistemi non automatizzati, in cui vi sia un’attività manuale di gestione dei file Xml, espone le parti a potenziali attacchi da parte delle nuove versioni dei virus, che nel frattempo sono state adattate in modo da essere in grado di modificare in tempo reale i file Xml subito prima della spedizione via posta elettronica da parte del fornitore (qualora il suo sistema informativo sia infetto) oppure al momento della ricezione da parte del cliente (qualora sia infetto il sistema informativo di quest’ultimo).
La soluzione preferibile è quella di utilizzare dei sistemi di gestione automatizzata delle fatture Xml, che di solito utilizzano gli hub (che sfruttano canali sicuri Https o Sftp) e non la posta elettronica come sistema di veicolazione dei dati, oppure, se utilizzano la posta elettronica, lo fanno in modo automatizzato e quindi più sicuro.
C’è da aggiungere inoltre che l’uso di sistemi software aziendali integrati ai portali di invio e ricezione delle fatture permette di avere un doppio controllo sui dati che si ricevono perché se è vero che non si può del tutto escludere la manomissione di una fattura elettronica, l’eliminazione di passaggi intermedi nell’invio e nella ricezione del documento, fino alla sua contabilizzazione limita fortemente la possibilità di interventi fraudolenti e contemporaneamente va ricordato che il sistema gestionale dell’azienda ha una sua banca dati fornitori dove gli estremi bancari sono custoditi in modo indipendente dalle fatture ricevute.
L’attuale architettura dello Sdi non copre dal rischio che possa essere recapitata a un “cliente” una fattura prodotta in modo fraudolento da un truffatore. La verifica dell’origine e dell’autenticità dalle fatture passive da parte dell’azienda, prima di effettuarne il pagamento e la consegna al commercialista, risulta quindi un’attività necessaria.
La soluzione migliore per garantirne l’origine e l’autenticità, è quella di richiedere al fornitore di apporre la firma elettronica propria o del soggetto terzo emittente alla fattura. La firma elettronica garantisce che la fattura non sia stata modificata lungo la tratta, successivamente all’apposizione della firma stessa.
Va detto che in questo caso, la semplificazione che ha interessato la fatturazione elettronica B2B rispetto a quella B2G (nei confronti della pubblica amministrazione), con l’eliminazione dell’obbligo di apposizione della firma elettronica, si è rivelata un piccolo boomerang, in quanto non è più garantita l’origine e l’autenticità del documento.
Un’adeguata prevenzione
Siamo quindi di fronte a un nuovo rischio di frodi connesso all’adozione della fatturazione elettronica? Sicuramente no! I problemi segnalati sono sempre esistititi, semmai con la fattura elettronica si potrà addivenire -magari non subito, ma in breve tempo - alla loro definitiva risoluzione.
Il problema dei virus e delle attività indesiderate che questi vengono svolte sui sistemi infettati, va molto al di là della sostituzione dell’Iban, per cui è assolutamente necessario proteggere i propri sistemi informatici con adeguati strumenti di difesa atti a contrastare efficacemente ogni tipologia di infezione informatica. Peraltro lo stesso Gdpr fornisce prescrizioni importanti cui ci si dovrebbe sempre attenere.
Per garantire ogni comunicazione si dovrebbero spedire i documenti ufficiali solamente tramite Pec e comunicare questa procedura ai propri clienti. In questo caso l’identità delle parti sarebbe certificata, l’appesantimento amministrativo sarebbe bilanciato dai minori rischi, anche nei rapporti tra le parti.
L’utilizzo di sistemi di crittografia del documento è anche una soluzione possibile. Attenzione però che questa non ci ritorca contro, quando - per qualsiasi problema - non fossimo più in grado di decriptare ciò che abbiamo voluto a tutti i costi crittografare.
Infine andrebbero implementate forme di autenticazione sicura di chi vuole accedere ai sistemi dell’azienda, per evitare violazioni e utilizzi fraudolento delle credenziali (furto di identità), attività impegnativa e non alla portata di tutti i soggetti, soprattutto di quelli di piccole dimensioni.
Tra gli altri consigli, che si possono fornire:
•quello di non custodire le credenziali in luoghi accessibili.
•quello di configurate le caselle di posta elettronica utilizzando esclusivamente i protocolli Ssl/Tls/Https.
•quello di installare un antivirus professionale ed efficace su tutta la rete, accompagnato da un firewall perimetrale e da un ottimo filtro antispam.
Tutti consigli ovvi, che purtroppo troppo spesso vediamo messi in opera solo dopo aver subito un’importante perdita di dati.
Le precedenti uscite di «Fisco e software»
Fattura elettronica B2B, uno standard per ridurre i margini di errore
di Roberto Bellini, direttore generale AssoSoftware
Comunicazioni Iva, la gestione dei dati di fatture e liquidazioni
di Roberto Bellini, direttore generale AssoSoftware
Certificazioni uniche, conguaglio a ostacoli per la detassazione dei premi di produzione
di Roberto Bellini, direttore generale AssoSoftware
Regime di cassa: la road map dell’adeguamento dei software
di Fabio Giordano, comitato tecnico AssoSoftware
Regime di cassa: l’aggiornamento software prosegue senza soluzione di continuità
di Fabio Giordano, comitato tecnico AssoSoftware
Fatturazione elettronica B2B, tutti i vantaggi dell’opzione
di Roberto Bellini, direttore generale AssoSoftware
Fattura elettronica, una chance per semplificare
di Fabio Giordano, comitato tecnico AssoSoftware
Fattura elettronica, le proposte per il definitivo decollo
di Roberto Bellini, direttore generale AssoSoftware
Modello 770 unificato ma con la chance di invii separati per ritenute
di Fabio Giordano, comitato tecnico AssoSoftware
Uno standard unico da AssoSoftware per la fattura elettronica
di Roberto Bellini, direttore generale AssoSoftware
Liquidazioni Iva, così la preparazione e l’invio dei dati
di Fabio Giordano, comitato tecnico AssoSoftware
Conguaglio da assistenza fiscale diretta, ecco cosa cambia per i sostituti
di Fabio Giordano, comitato tecnico AssoSoftware
Studi di settore, tutte le variabili per la compilazione dei modelli 2017
di Fabio Giordano, comitato tecnico AssoSoftware
Il modello Redditi SC alla prova dei nuovi bilanci
di Fabio Giordano, comitato tecnico AssoSoftware
Redditi SC, slalom tra le novità dei quadri
di Fabio Giordano, comitato tecnico AssoSoftware
Modello Irap 2017 al test delle modifiche sui bilanci
di Fabio Giordano, comitato tecnico AssoSoftware
Compensazioni, il nuovo obbligo di passare da Entratel per i titolari di partita Iva
di Fabio Giordano, comitato tecnico AssoSoftware
Comunicazioni Iva, cambio di rotta sul filo di lana
di Fabio Giordano, comitato tecnico AssoSoftware
Fatture, invio dei dati in cerca di riduzioni
di Fabio Giordano, comitato tecnico AssoSoftware
Comunicazioni dati Iva al test della conservazione copia intermediario
di Fabio Giordano, comitato tecnico AssoSoftware
Certificazione unica 2017, tutte le regole (e le date) per la conservazione sostitutiva
di Fabio Giordano, comitato tecnico AssoSoftware
Iva, il vademecum per i versamenti entro il 30 giugno
di Fabio Giordano, comitato tecnico AssoSoftware
Compensazioni e scomputi, slalom tra le regole
di Fabio Giordano, comitato tecnico AssoSoftware
Bonus Irpef, obbligatoria l’esposizione delle compensazioni in F24
di Roberto Bellini, direttore generale AssoSoftware
Split payment, due vie per la registrazione degli acquisti
di Fabio Giordano, comitato tecnico AssoSoftware
Dati fatture emesse e ricevute, il vademecum antierrori
di Fabio Giordano, comitato tecnico AssoSoftware
Fatture emesse e ricevute, slalom per l’invio dei dati
di Fabio Giordano, comitato tecnico AssoSoftware
Proroga dei versamenti, verifica sugli effetti
di Roberto Bellini, direttore generale AssoSoftware
Spesometro al test dei dati da trasmettere
di Fabio Giordano, comitato tecnico AssoSoftware
E-fattura, uno standard unico di codifica
di Roberto Bellini, direttore generale AssoSoftware
Dichiarazioni, a pieno regime il monitoraggio sull’invio telematico
di Fabio Giordano , comitato tecnico AssoSoftware
Dati fatture, così il monitoraggio degli errori dell’invio telematico
di Fabio Giordano , comitato tecnico AssoSoftware
Spesometro, le proposte per correggere le disfunzioni
di Roberto Bellini, direttore generale AssoSoftware
Isa, le integrazioni con i software gestionali
di Fabio Giordano, comitato tecnico AssoSoftware
Isa, le risposte ai dubbi principali sull’operatività
di Fabio Giordano, comitato tecnico AssoSoftware
Intrastat 2018, limitati gli aggiornamenti per i software gestionali
di Fabio Giordano, comitato tecnico AssoSoftware
E-fattura obbligatoria, gli effetti dell’introduzione
di Fabio Giordano, comitato tecnico AssoSoftware
E-fattura obbligatoria, un primo quadro di adempimenti e opportunità
di Fabio Giordano, comitato tecnico AssoSoftware
Lo split payment complica la gestione dell’acconto Iva
di Fabio Giordano, comitato tecnico AssoSoftware
Regime per cassa, le insidie nel passaggio dalla competenza
di Fabio Giordano, comitato tecnico AssoSoftware
La stretta sulla detrazione Iva mette in stand by l’adeguamento informatico
di Fabio Giordano, comitato tecnico AssoSoftware
Dichiarazione Iva 2018, ecco le novità in arrivo
di Fabio Giordano, comitato tecnico AssoSoftware
Costi aggiuntivi con la scomparsa delle monete da 1 e 2 centesimi
di Roberto Bellini, direttore generale AssoSoftware
Modello 730/2018, ecco cosa cambia nei quadri di immobili e redditi
di Fabio Giordano, comitato tecnico AssoSoftware
Modello 730/2018, slalom tra i codici per i bonus casa
di Fabio Giordano, comitato tecnico AssoSoftware
Iper e superammortamento come cambiano le procedure informatiche
di Roberto Bellini, direttore generale AssoSoftware
Detrazione Iva, più tempo ma le complicazioni restano
di Roberto Bellini, direttore generale AssoSoftware
Conservazione digitale dei documenti con termine unico
di Fabio Giordano, comitato tecnico AssoSoftware
Spesometro, i software si adeguano alle nuove modalità di invio
di Fabio Giordano, comitato tecnico AssoSoftware
Modello 770, sull’invio separato si cambia di nuovo
di Fabio Giordano, comitato tecnico AssoSoftware
E-fattura obbligatoria tra «privati» in cerca di incentivi
di Roberto Bellini, direttore generale AssoSoftware
Versamenti Redditi 2018 con la doppia rata il 20 agosto
di Fabio Giordano, comitato tecnico AssoSoftware
Per l’e-fattura primo test sui carburanti da luglio
di Fabio Giordano, comitato tecnico AssoSoftware
E-fattura in cerca di certezze sulla «comunicazione» del reverse charge
di Fabio Giordano, comitato tecnico AssoSoftware
Gli studi di settore fanno ancora i conti con le rimanenze finali
di Fabio Giordano, comitato tecnico AssoSoftware
Lo spesometro «dribbla» i dati mancanti del fornitore estero
di Fabio Giordano, comitato tecnico AssoSoftware
Dati liquidazioni Iva, il modello si aggiorna a operazioni straordinarie e acconti
di Fabio Giordano, comitato tecnico AssoSoftware
Gli studi di settore fanno ancora i conti con le rimanenze finali
di Fabio Giordano, comitato tecnico AssoSoftware
E-fattura, un tool per l’immediata lettura del file in formato Xml
di Roberto Bellini, direttore generale AssoSoftware
Modello 730, due vie per comunicare alle Entrate la «sede telematica»
di Fabio Giordano, comitato tecnico AssoSoftware
Rimanenze finali rilevanti anche per le società di comodo
di Fabio Giordano, comitato tecnico AssoSoftware
I flussi del modello 730-4 alla prova delle ricevute
di Fabio Giordano, comitato tecnico AssoSoftware
Controlli preventivi sui rimborsi del 730 con «avviso» al contribuente
di Fabio Giordano, comitato tecnico AssoSoftware
La chance della fatturazione unificata per i gruppi Iva
di Fabio Giordano, comitato tecnico AssoSoftware
Gruppo Iva alla prova della convenienza
di Fabio Giordano, comitato tecnico AssoSoftware
E-fattura, la via dell’integrazione dei sistemi per aumentare i vantaggi
di Fabio Giordano, comitato tecnico AssoSoftware
E-fattura, da subito l’obbligo di conservazione sostitutiva
di Roberto Bellini, direttore generale AssoSoftware
E-fattura, codice convenzionale se il cliente non comunica l’indirizzo
di Roberto Bellini, direttore generale AssoSoftware
Termini sovrapposti per i versamenti dell’Iva e delle dichiarazioni dei redditi
di Fabio Giordano, comitato tecnico AssoSoftware
Il versamento carente dell’Iri in acconto non è sanzionabile
di Fabio Giordano, comitato tecnico AssoSoftware
Bilanci digitali, la road map parte da società quotate e soggetti Ias
di Fabio Giordano, comitato tecnico AssoSoftware
Privacy, software già allineati al Gdpr
di Fabio Giordano, comitato tecnico AssoSoftware
Nuovi Isa con un set di dati già «precompilati»
di Fabio Giordano, comitato tecnico AssoSoftware
La chance del regime premiale per gli studi di settore
di Fabio Giordano, comitato tecnico AssoSoftware
Le incognite del ricalcolo dopo lo stop (tardivo) alla doppia rata per le partite Iva
di Fabio Giordano, comitato tecnico AssoSoftware
Deduzione dei costi, la Cassazione detta la linea sulle fatture originali
di Fabio Giordano, comitato tecnico AssoSoftware
E-fattura, ecco perché si applica l’esonero dalla tenuta dei registri Iva
di Fabio Giordano, comitato tecnico AssoSoftware
Compensazioni, gli effetti dei controlli preventivi sui crediti a rischio
di Fabio Giordano, comitato tecnico AssoSoftware
Gruppo Iva, modello per l’opzione sottoscritto da tutti i partecipanti
di Fabio Giordano, comitato tecnico AssoSoftware
Deducibilità degli interessi passivi con nuovi criteri in arrivo
di Fabio Giordano, comitato tecnico AssoSoftware
Beni ammortizzabili, rimborso Iva anche per il leasing
di Fabio Giordano, comitato tecnico AssoSoftware
Registri Iva verso l’estensione della stampa solo su richiesta dei verificatori
di Fabio Giordano, comitato tecnico AssoSoftware
F24, in arrivo nuove regole di compilazione e di compensazione
di Fabio Giordano, comitato tecnico AssoSoftware
Fattura elettronica, così l’emissione dal committente per gli agenti
di Fabio Giordano, comitato tecnico AssoSoftware
«Fatture e corrispettivi», tutti i pro e i contro delle possibili modalità di accesso
di Fabio Giordano, comitato tecnico AssoSoftware
Fattura elettronica, costi e benefici delle tre soluzioni per la delega all’intermediario
di Fabio Giordano, comitato tecnico AssoSoftware
Acconto Iva con assist dal quadro VH della dichiarazione 2018
di Fabio Giordano, comitato tecnico AssoSoftware
Bilanci alla prova della nuova tassonomia Xbrl
di Fabio Giordano, comitato tecnico AssoSoftware
La dichiarazione 2019 fa spazio ai crediti del gruppo Iva
di Fabio Giordano, comitato tecnico AssoSoftware
Modello 770/2019, invio separato dal sostituto in base al tipo di ritenute
di Fabio Giordano, comitato tecnico AssoSoftware
Nuovi strumenti informatici per applicare gli Isa nel 2019
di Fabio Giordano, comitato tecnico AssoSoftware
Il riporto delle perdite «apre» anche al regime per cassa
di Fabio Giordano, comitato tecnico AssoSoftware
La fattura elettronica «aggiorna» i registri Iva
di Fabio Giordano, comitato tecnico AssoSoftware
Fattura elettronica, da AssoSoftware un tracciato per la Gdo
di Roberto Bellini, direttore generale AssoSoftware
Fattura elettronica, ecco i costi che si possono ridurre
di Fabio Giordano, comitato tecnico AssoSoftware
Fattura elettronica, così il versamento dell’imposta di bollo
di Fabio Giordano, comitato tecnico AssoSoftware
L’iperammortamento «dribbla» gli ostacoli sul calcolo
di Fabio Giordano, comitato tecnico AssoSoftware
Fattura elettronica, tre strumenti per portarla a regime
di Roberto Bellini, direttore generale AssoSoftware
Redditi 2019 fa il pieno di novità: dagli Isa alle rivalutazioni
di Fabio Giordano, comitato tecnico AssoSoftware
Dichiarazioni Iva, slalom nei righi per le operazioni con l’estero
di Simona Ficola e Benedetto Santacroce
