Come Pepco ha perso 15,5 milioni in una frode BEC

(Business email compromise) e la difesa possibile con EmailGrant

Budapest, febbraio 2024. La mail sembra arrivare da un interlocutore legittimo. Qualcuno nel reparto finanziario di Pepco Ungheria la apre, legge le istruzioni, esegue. Quindici milioni e mezzo di euro lasciano i conti della società in poche ore.

Questo è un caso di violazione della mail aziendale. Non un ransomware, non un attacco all'infrastruttura IT. Una mail. Trattata come attendibile per costruzione, senza verifica fuori banda, senza traccia di chi l'avesse davvero inviata.

Quindici milioni in uscita, una mail in entrata

Pepco Group è un retailer discount europeo con oltre 4.800 punti vendita in 21 paesi, marchi Pepco, Poundland e Dealz, e ricavi da 1,9 miliardi di euro nel primo trimestre dell'anno fiscale 2024. La filiale ungherese gestisce 248 negozi.

Nel comunicato pubblicato sul sito istituzionale il 27 febbraio 2024, la società scrive: l'attacco ha prodotto una perdita di circa 15,5 milioni di euro in contanti, prima di qualsiasi potenziale recupero. Non è chiaro se i fondi possano essere ricuperati. Pepco sta coordinandosi con i propri partner bancari e con la polizia. Nessun dato di clienti, fornitori o dipendenti risulta compromesso.

Le ricostruzioni di stampa specializzata convergono su un quadro riconoscibile. SecurityWeek e Help Net Security descrivono i tratti di un Business Email Compromise (BEC), cioè una frode in cui un attaccante manipola via email un dipendente con accesso ai pagamenti per autorizzare trasferimenti verso conti controllati dai criminali. Il vettore tecnico non è stato comunicato nei dettagli, ma il pattern è consolidato: social engineering via posta elettronica, urgenza simulata, istruzione di pagamento che sembra legittima.

Pepco non è un caso limite. È la conferma che il canale mail rimane il punto di ingresso più redditizio per chi attacca le organizzazioni. Secondo l'IC3 Annual Report 2025, pubblicato dall'FBI Internet Crime Complaint Center, le perdite globali per BEC nel 2025 hanno raggiunto 3,046 miliardi di dollari su 24.768 denunce formali. Il BEC è la seconda voce per perdite assolute tra tutti i crimini cyber, dietro soltanto all'investment fraud. Le perdite totali di cybercrime nel 2025 hanno superato per la prima volta i 20 miliardi di dollari, con oltre un milione di denunce complessive, record assoluto dall'istituzione dell'IC3.

Tre falle che nessun firewall poteva chiudere

Un BEC riuscito non è un incidente tecnico. È un incidente di processo.

Il canale email è stato trattato come attendibile per natura. Nessuna verifica indipendente sul mittente, nessuna procedura out-of-band per confermare un'istruzione di pagamento rilevante. La posta aziendale, per milioni di organizzazioni, è ancora l'unico canale formale su cui transitano istruzioni finanziarie. La direttiva europea NIS2 (Network and Information Security Directive 2), entrata in vigore nell'ottobre 2024, richiede misure di sicurezza proporzionate al rischio per le comunicazioni operative: un bonifico da quindici milioni eseguito sulla base di una singola email non classificata non soddisfa nessuna interpretazione ragionevole di "proporzionato".

Le istruzioni di pagamento hanno viaggiato senza protezione sul documento. In un attacco BEC, l'elemento che convince il destinatario è quasi sempre un allegato: una fattura modificata o una richiesta con coordinate bancarie alterate. Se quel documento non è cifrato, classificato e tracciato alla fonte, non esiste modo di distinguere un file autentico da uno manipolato a valle.

La doppia verifica sui trasferimenti non ha funzionato. Il principio di doppia approvazione sui pagamenti sopra soglia, raccomandato dal NIST Cybersecurity Framework nella funzione "Protect", è uno dei presidi base contro il CEO fraud e le sue varianti. La cronaca pubblica non chiarisce quali policy di autorizzazione fossero in vigore nella filiale ungherese, ma l'esito non lascia dubbi.

Il dato di mercato dà la misura del problema. Secondo l'IBM Cost of a Data Breach 2025, il costo medio globale di una violazione originata da phishing è 4,80 milioni di dollari. Il phishing è il vettore di attacco iniziale più diffuso del 2025 (16% di tutti i breach) e tra i più costosi. Nel caso Pepco, il danno immediato ha superato tre volte quella media. E i fondi, con ogni probabilità, non sono stati recuperati.

La mail che non avrebbe dovuto arrivare così

L'attacco a Pepco è lo scenario per cui esistono EmailGrant e FileGrant. Non bloccherebbero il tentativo di phishing: un attaccante motivato trova sempre un modo per inviare una mail. Ciò che cambierebbe è il valore di quell'azione. Con il canale di comunicazione finanziaria governato e i documenti cifrati alla fonte, l'attaccante si troverebbe a operare in un ambiente in cui ogni messaggio è verificabile, ogni file è tracciato e ogni istruzione di pagamento lascia una catena di custodia che non si può falsificare dall'esterno.

EmailGrant: il canale email diventa un perimetro governato

EmailGrant è la messaggistica sicura integrata in FileGrant. I messaggi restano cifrati sulla piattaforma, non viaggiano su server di posta esterni, ogni accesso è registrato per utente, IP e timestamp. Per i destinatari senza account FileGrant, l'autenticazione avviene tramite OTP inviato via email. La scadenza programmabile chiude il messaggio alla data impostata, anche se aperto in quel momento. La funzione di revoca post-invio consente di cancellare un messaggio già consegnato con un clic.

Nel caso Pepco, l'utilità è precisa. L'azienda può stabilire per policy che le comunicazioni finanziarie sensibili, incluse richieste di pagamento, conferme di coordinate bancarie e istruzioni di bonifico, transitino esclusivamente da questo canale. Una richiesta che arriva sulla casella email aziendale generica non viene processata, indipendentemente dal suo contenuto. Il perimetro non dipende dalla vigilanza del singolo dipendente: dipende dalla regola.

Un attaccante esterno che invia istruzioni fraudolente attraverso la posta ordinaria trova un processo in cui quella tipologia di comunicazione non produce effetti operativi. La verifica del mittente, il log di apertura e la tracciabilità completa per IP e timestamp rendono ogni scambio documentabile. Se emergesse un dubbio, la revoca può essere applicata anche dopo la consegna.

Vantaggio concreto: le istruzioni di pagamento escono dal canale email aperto ed entrano in un sistema dove il mittente è verificato, ogni apertura è loggata e il contenuto può essere ritirato in qualsiasi momento.

FileGrant: le fatture nascono cifrate, non diventano sospette dopo il fatto

FileGrant cifra i file alla fonte con crittografia quantum-proof CRYSTALS-Kyber (standard NIST post-quantum). I tag aziendali prevalgono sui permessi manuali: un documento classificato come "fattura finanziaria" o "richiesta di pagamento" eredita automaticamente le restrizioni previste, nessun download fuori dai dispositivi autorizzati, nessuna apertura fuori dai ruoli abilitati, audit log per ogni interazione.

Nel caso Pepco, il punto di leva è duplice. Le fatture e le richieste di bonifico generate internamente o ricevute attraverso flussi verificati portano con sé la firma di autenticità del sistema: sono cifrate, taggiate, tracciate dalla creazione. Una fattura arrivata via email ordinaria, priva di questo percorso, si distingue per costruzione da un documento legittimo. Non serve un analista per valutarla: la mancanza di tag e catena di custodia è già un segnale di anomalia che il processo intercetta prima dell'esecuzione.

Qualsiasi documento finanziario creato dentro FileGrant resta sotto controllo per tutto il suo ciclo di vita. Un file condiviso con un fornitore o un consulente esterno tramite Quick Share mantiene la cifratura attiva anche dopo il download. Se il documento viene intercettato o finisce in mani sbagliate, il contenuto è illeggibile fuori dal contesto autorizzato.

Vantaggio concreto: la distinzione tra documento autentico e documento manipolato non dipende dall'occhio umano. È strutturale: ogni file nato dentro il sistema ha una catena di custodia verificabile, quelli che non ce l'hanno non vengono processati.

Come sarebbe andata con CyberGrant attivo

Con EmailGrant e FileGrant sul perimetro finanziario della filiale ungherese, lo scenario cambia su cinque punti concreti:

• Le istruzioni di pagamento transitano da un canale dedicato e autenticato: una richiesta fuori canale non produce effetti operativi
• I documenti finanziari nascono cifrati e classificati, così la differenza tra un file autentico e uno falso è visibile a livello di sistema, non di lettura umana
• Ogni apertura di messaggi e allegati è loggata per utente, IP e timestamp, con possibilità di revoca anche dopo la consegna
• La catena di custodia è dimostrabile in sede di indagine e audit regolatorio
• L'attaccante può inviare la mail, ma non trovare il processo che la esegue

CyberGrant non elimina i rischi, ma li trasforma in controllo e consapevolezza.

Takeaway per CISO, CTO e CFO:

1. Cosa fare se i pagamenti aziendali passano ancora per email aperta? Spostare le istruzioni finanziarie su un canale autenticato e tracciato. La casella di posta ordinaria non è un'infrastruttura di pagamento: trattarla come tale espone l'organizzazione a un rischio strutturale che la formazione del personale non risolve da sola.

2. Come distinguere una fattura autentica da una manipolata prima di eseguirla? Imporre che ogni documento finanziario nasca cifrato e classificato dal sistema. Un file senza tag aziendale e senza catena di custodia verificabile non entra nel flusso di approvazione.

3. Cosa serve per difendersi in audit dopo un incidente? Log per file, utente, IP e azione, con revoca applicabile post-invio. Senza evidenze strutturate, l'incidente diventa indifendibile davanti a regolatori NIS2, assicuratori e autorità giudiziarie.

4. La doppia firma sui pagamenti non basta se il documento a supporto è in chiaro. La segregazione delle funzioni è necessaria ma non sufficiente. Se l'allegato che giustifica il pagamento può essere sostituito da una versione contraffatta senza che il sistema se ne accorga, la firma multipla protegge il processo ma non il dato.