Cambio IBAN in busta paga sicuro con procedure HR

La nuova frontiera delle frodi sul cambio IBAN in busta paga

Nel 2025 molte aziende italiane stanno aggiornando i processi di amministrazione del personale per contrastare un raggiro sempre più diffuso. Il tentativo di sostituire le coordinate bancarie dei dipendenti per intercettare gli stipendi attraverso email ingannevoli o compromissioni degli account. La Polizia Postale descrive questa dinamica come parte delle truffe di tipo Business Email Compromise, in cui un criminale induce l ufficio a eseguire un bonifico su un conto diverso fingendosi un soggetto legittimo fonte.

I dati internazionali confermano che l anello debole resta l utente. Il report Verizon Data Breach Investigations mostra che gran parte degli incidenti coinvolge una componente umana e che phishing e pretexting sono tra i vettori più efficaci fonte. In Italia, Clusit segnala un quadro di minacce in crescita, con impatti sempre più severi per le organizzazioni fonte. Il messaggio è chiaro. Le procedure HR e le verifiche bancarie devono evolvere con rigore operativo e semplicità d uso.

Procedura HR anti phishing per il cambio coordinate

Raccolta e canale unico

• Accetta richieste solo su un canale controllato. Portale HR aziendale con autenticazione a due fattori oppure sportello fisico. Evita email e messaggistica come canali validi per la modifica delle coordinate.
• Modello standard. Richiesta con campi strutturati e istruzioni chiare. IBAN completo, banca, filiale se nota, recapiti del dipendente per richiamo, data di decorrenza.
• Blocco degli inoltri automatici. Disabilita l inoltro automatico delle email del personale HR per ridurre il rischio di intercettazioni, come raccomandato nei casi di Business Email Compromise dal CSIRT Italia fonte.

Verifica dell identità

• Verifica fuori banda. Richiamo telefonico su numero interno aziendale o numero personale già in anagrafica. Non usare recapiti presenti nella richiesta.
• Domande di conferma. Ultime cifre del documento depositato, data di assunzione, codice della sede. Niente dati sensibili non necessari.
• Firma digitale o firma avanzata dove disponibile, oppure conferma in presenza per i casi ad alto rischio come variazione verso conti esteri o cambi frequenti.

Controlli bancari sul nuovo IBAN

• Validazione formale IBAN. Controllo del numero di caratteri e della chiave di controllo con algoritmo mod 97 secondo lo standard internazionale. Molti gestionali payroll integrano già questa verifica.
• Verifica della banca. Controllo del codice banca e del Paese. Attenzione a coordinate che spostano fondi verso conti non coerenti con il profilo del dipendente.
• Conferma di denominazione. Usa servizi di riscontro tra IBAN e nome ove disponibili. Il nuovo regolamento europeo sui pagamenti istantanei introduce il controllo tra nome e IBAN per i prestatori di servizi di pagamento con avvisi in caso di incongruenza fonte.
• Servizi di terze parti. In Italia sono presenti servizi di verifica IBAN predisposti per operatori finanziari e grandi aziende attraverso consorzi e piattaforme bancarie come CBI. Valuta con la tesoreria l adozione di soluzioni di verifica preventiva fonte.

Segregazione e approvazione

• Quattro occhi. Chi inserisce il nuovo IBAN non è la stessa persona che approva la variazione.
• Log immutabili. Conserva traccia di chi ha richiesto, verificato e approvato la modifica, con data e ora.
• Finestra di sicurezza. Applica la variazione alla prima busta paga utile dopo un periodo di attesa predefinito con notifica al dipendente su canale separato.

Verifiche tecniche e bancarie davvero utili

Oltre all IBAN, esistono segnali di rischio che meritano un secondo sguardo. Coordinate che puntano a conti appena aperti, richiesta urgente di pagamento fuori ciclo, modifiche in giorni festivi o a ridosso del cutoff di payroll. Sono tipici indicatori di pretexting secondo i casi raccolti in ambito BEC fonte.

• Controllo di coerenza. Confronta il Paese del conto con la residenza fiscale presente in anagrafica. Le differenze non sono di per sé sospette, ma richiedono una verifica rafforzata.
• Test di micro accredito. Esegui un piccolo bonifico con causale specifica e chiedi conferma della ricezione tramite canale verificato. Non usare link su email per la conferma.
• Whitelist controllata. Mantieni un elenco di IBAN noti con controllo periodico e riesame annuale. Rimuovi quelli obsoleti.
• Bonifici con verifica del beneficiario. Quando disponibile presso la banca aziendale, attiva funzioni che avvisano di incongruenze tra nome e IBAN secondo le evoluzioni normative citate.

Difese organizzative e tecnologiche a supporto

• Formazione mirata. Esercitazioni di phishing che simulano richieste di cambio IBAN, con debrief immediato. La sensibilizzazione riduce in modo misurabile il tasso di clic secondo il DBIR fonte.
• Politiche email robuste. SPF, DKIM, DMARC con quarantena dei messaggi sospetti e blocco di inoltri automatici verso caselle esterne per gli account HR e amministrazione.
• Gestione privilegi. Accessi al gestionale payroll con principio del minimo privilegio, controllo degli accessi fuori orario e avvisi in tempo reale per modifiche di anagrafica sensibili.
• Protezione degli allegati. Usa spazi sicuri per documenti con virus scanning e blocco di macro non firmate.
• Backup delle anagrafiche. Copie giornaliere con ripristino rapido per prevenire manipolazioni non rilevate.

Risposta agli incidenti e recupero

Se un bonifico stipendiale è stato dirottato su un IBAN fraudolento, la tempestività è determinante.

• Contatta subito la banca aziendale. Richiedi il richiamo del bonifico e l attivazione delle procedure antifrode. Fornisci CRO, importo e coordinate.
• Segnala alla Polizia Postale. Denuncia e raccolta delle prove, comprese email e log di accesso. Indicazioni su canali e recapiti ufficiali sono disponibili sul portale istituzionale fonte.
• Isola gli account. Reset credenziali degli utenti coinvolti, revoca sessioni attive, verifica dei dispositivi utilizzati.
• Comunicazione trasparente al dipendente. Spiega i passaggi di rimedio e riconosci tempestivamente eventuali ritardi nel pagamento.

KPI e audit per misurare il rischio

• Tasso di richieste fuori canale. Quante richieste arrivano ancora via email o chat. Obiettivo riduzione progressiva fino a zero.
• Tempo medio di verifica. Dalla ricezione alla conferma. Deve restare entro la finestra utile di payroll senza sacrificare i controlli.
• Percentuale di incongruenze IBAN nome. Quanti avvisi vengono generati dai sistemi di riscontro e come si chiudono.
• Esiti delle simulazioni. Clic, segnalazioni e tempo di risposta del team HR alle campagne di phishing interne.
• Revisioni periodiche. Audit trimestrali dei log di modifica anagrafica con campionamenti a sorpresa.

Checklist operativa pronta da usare

• Canale unico per le richieste con autenticazione a due fattori
• Verifica dell identità con richiamo su numero già registrato
• Controllo formale dell IBAN e verifica con servizi bancari
• Seconda approvazione e log completo delle modifiche
• Periodo di attesa con notifica fuori banda al dipendente
• Formazione periodica e simulazioni per il personale HR
• Procedure di risposta rapida con contatti della banca e della Polizia Postale

Con questa lista si passa dalle intenzioni ai fatti. Le frodi sul cambio IBAN in busta paga prosperano dove i processi sono informali. Standardizzare, misurare, migliorare. È qui che si proteggono persone e retribuzioni.

Pubblicato da PortaleLavoro.Org | 27-12-2025 | Consigli per la tua carriera

Tags: busta paga, cambio IBAN, HR, phishing, sicurezza pagamenti