Cambi IBAN payroll: prevenire frodi e deepfake

Cambi IBAN payroll sotto attacco: perché agire ora

I cambi IBAN per l’accredito dello stipendio sono diventati uno dei bersagli preferiti della criminalità informatica. Gli attaccanti sfruttano tecniche di social engineering, account compromessi e perfino voci sintetiche per convincere chi gestisce le paghe a modificare le coordinate bancarie dei dipendenti. Il fenomeno non è marginale. Nel 2023 il Centro segnalazioni crimini informatici dell’FBI ha registrato oltre 2,9 miliardi di dollari di perdite legate al Business Email Compromise, categoria che include anche le deviazioni degli stipendi verso conti controllati dai criminali fonte FBI IC3 2023. In Europa il nuovo regolamento sui pagamenti istantanei introduce la verifica del beneficiario basata sul confronto tra IBAN e nome, funzione che dovrà essere resa disponibile entro scadenze che arrivano fino al 2026 a seconda del paese e della valuta Regolamento UE 2024 886. È un cambio di scenario importante per chi gestisce HR e payroll.

Dati e tendenze da conoscere

• BEC e deviazione stipendi La casistica di Business Email Compromise include richieste apparentemente legittime che spingono a modificare IBAN di dipendenti o fornitori. Le autorità raccomandano verifiche fuori banda e controlli di identità multipli CISA.
• Ascesa dei deepfake L’uso di audio e video sintetici in operazioni di ingegneria sociale è in aumento, con strumenti facilmente reperibili e a basso costo. Il quadro delle minacce descritto da ENISA segnala l’espansione di campagne mirate che sfruttano contenuti generati con intelligenza artificiale per frodare i processi aziendali ENISA Threat Landscape.
• Verifica del beneficiario in arrivo Il regolamento europeo sui pagamenti istantanei richiede che i prestatori di servizi di pagamento offrano un meccanismo di avviso quando il nome del beneficiario non coincide con l’IBAN, con scadenze progressive tra 2025 e 2027. Per le aziende questa novità abilita un ulteriore controllo nelle procedure di cambio IBAN dei dipendenti Regolamento UE 2024 886.

Protocollo operativo HR per i cambi IBAN a prova di audit

Requisiti di ingresso e canali controllati

• Canale unico accettare richieste di cambio IBAN solo tramite portale HR autenticato o di persona. Le richieste via email o chat non vanno processate.
• Identificazione forte abilitare accesso con fattori multipli e confermare l’identità con un secondo fattore al momento della richiesta.

Verifica dell’identità e della titolarità

• Callback fuori banda contattare il dipendente usando un riferimento già presente in anagrafica, mai quello indicato nella richiesta.
• Video breve con prova di vitalità fissare una videochiamata con domande variabili e micro azioni per prevenire la riproduzione di video preregistrati o voci sintetiche. ENISA cita proprio la combinazione di liveness e challenge dinamici come misura utile contro contenuti sintetici fonte.
• Conferma di titolarità adottare la verifica del beneficiario tramite servizi bancari dove disponibili. In mancanza, usare un micro accredito con codice casuale da validare nel portale HR.

Controlli sul conto e tempi tecnici

• Validazione IBAN applicare il controllo formale e di coerenza del codice con il paese e la banca. Se il conto è estero, aumentare il livello di verifica.
• Periodo di raffreddamento introdurre una finestra di attesa tra richiesta e prima busta paga su nuovo IBAN, con notifica automatica al dipendente via canali multipli e opzione di annullamento rapido.
• Finestra operativa definire un cut off settimanale per i cambi che entrano in payroll, evitando pressioni temporali che favoriscono l’errore.

Segregazione dei ruoli e doppio controllo

• Principio dei quattro occhi ogni cambio IBAN richiede l’approvazione di due figure diverse. Per i profili a rischio elevato coinvolgere un responsabile ulteriore.
• Separazione tra HR e payroll chi registra la modifica non elabora i pagamenti. Questo riduce il rischio di abuso e semplifica la verifica interna. La separazione dei compiti è un requisito di sicurezza consolidato anche nelle linee guida NIST NIST SP 800 53.

Evidenze per audit e conformità

• Log immodificabili registrare ogni operazione con data, ora, utente, approvazioni e allegati. Conservare le prove in archivio a sola appendice.
• Tracciabilità della decisione allegare la check list compilata e i risultati delle verifiche. La storia deve essere ricostruibile senza ambiguità.
• Minimizzazione dei dati raccogliere solo ciò che è necessario e stabilire tempi di conservazione coerenti con il GDPR art 5 testo del GDPR.

Formazione anti deepfake per HR e dipendenti

• Playbook per richieste urgenti addestrare il team a riconoscere l’urgenza artificiale. Nessuna procedura salta i passaggi di verifica, neppure se la richiesta sembra arrivare da dirigenti.
• Parole di controllo introdurre una parola chiave che il dipendente deve conoscere e che varia a rotazione, da usare nelle verifiche fuori banda.
• Simulazioni periodiche eseguire esercitazioni con scenari che includano email di phishing, chiamate con voce sintetica e documenti falsificati. Documentare le lezioni apprese.
• Comunicazione ai dipendenti spiegare come funziona il processo e invitare a segnalare immediatamente anomalie. Un SMS che conferma il cambio IBAN è un ottimo deterrente, oltre che un sensore di frodi.

Integrare le novità normative nei controlli 2025 2026

La verifica del beneficiario prevista dal regolamento europeo consente di ricevere un avviso quando nome e IBAN non coincidono. Le imprese possono collegare il proprio portale HR ai servizi bancari che espongono questa funzione, registrando lo screenshot e l’esito come evidenza. Dove la funzione non è ancora disponibile, resta valida la combinazione di micro accredito, callback e doppia approvazione. Mappate i controlli nel vostro registro rischi, aggiornate le politiche e programmate un riesame trimestrale con HR, IT, finanza e ufficio legale Regolamento UE 2024 886.

Kit di audit pronto all’uso

• Policy e procedura documento firmato dalla direzione con ruoli, responsabilità, SLA e criteri di rischio.
• Workflow schema del processo con i punti di controllo, compresi i sistemi coinvolti.
• Prove campionarie tre casi per ogni livello di rischio, con check list, registrazioni di callback e conferme di titolarità.
• Metriche tasso di richieste bloccate, tempo medio di verifica, incidenti per milione di cambimenti, percentuale di notifiche recapitate.
• Test di efficacia risultati di simulazioni interne con tasso di rilevazione dei deepfake e miglioramenti introdotti.

Checklist essenziale dei 12 controlli

• Accettare le richieste solo da portale autenticato o di persona
• Usare fattori multipli per confermare l’accesso
• Eseguire callback a numero già presente in anagrafica
• Effettuare video breve con prova di vitalità e domande variabili
• Validare formalmente l’IBAN e la banca di destinazione
• Usare verifica del beneficiario o micro accredito con codice
• Imporre finestra di attesa prima della prima paga
• Inviare notifica su canali multipli al vecchio contatto
• Applicare doppia approvazione con ruoli separati
• Registrare log immodificabili e check list compilata
• Misurare metriche chiave e rivederle mensilmente
• Formare HR e dipendenti con simulazioni periodiche

Per approfondire standard e criteri di riconoscimento dell’identità potete consultare le linee guida NIST sull’identity proofing NIST SP 800 63A e le risorse operative su Business Email Compromise curate da CISA link. Nel 2026 chi avrà reso questi controlli parte del proprio modo di lavorare potrà gestire i cambi IBAN con serenità, documentando tutto con chiarezza a prova di audit.

Pubblicato da PortaleLavoro.Org | 01-02-2026 | Articoli sul mondo del lavoro

Tags: deepfake, HR, IBAN, payroll, sicurezza