Oltre 100.000 ditte colpite Un'ondata di phishing colpisce le PMI svizzere che usano il software Bexio. Ecco come difendersi
Un'ondata di phishing ha colpito oltre 100'000 aziende clienti del fornitore svizzero di software Bexio. La truffa è spaventosamente efficace.
08.05.2026, 22:05
09.05.2026, 18:44
Martin Abgottspon
Hai fretta? blue News riassume per te
- I cybercriminali hanno avuto accesso ai conti del leader svizzero del mercato dei software per le PMI Bexio e hanno manipolato i numeri IBAN sulle fatture.
- Gli attacchi sono stati condotti tramite e-mail false e server esterni.
- Come misura immediata, Bexio sta rendendo obbligatoria l'autenticazione a due fattori per tutti i clienti aziendali.
- L'Ufficio federale della cibersicurezza (UFCS) segnala un aumento a livello nazionale di questi attacchi di «compromissione delle e-mail aziendali».
Un imprenditore si accorge che le sue fatture in uscita mostrano improvvisamente numeri di conto esteri.
I suoi clienti stanno trasferendo denaro su conti che non gli appartengono.
I suoi fornitori possono subire la stessa sorte.
Il danno è fatto prima ancora che qualcuno lo sospetti.
Diversi clienti di Bexio, leader del mercato svizzero dei software aziendali basati su cloud, hanno vissuto di recente proprio questa situazione.
La filiale della Mobiliare, che dichiara di servire oltre 100'000 PMI in tutta la Svizzera, sta affrontando un'ondata coordinata di phishing.
Diverse aziende colpite hanno già sporto denuncia penale. «Watson» ha scoperto il caso.
Cosa hanno fatto i malviventi?
L'approccio dei criminali segue uno schema che l'Ufficio federale della cibersicurezza (UFCS) ha recentemente descritto nel suo rapporto semestrale come in forte aumento: Business Email Compromise, o BEC in breve.
Gli aggressori ottengono per prima cosa l'accesso a un account aziendale tramite e-mail di phishing.
Spesso basta un solo clic incauto su un link ingannevolmente autentico. Una volta entrati, modificano silenziosamente i numeri IBAN memorizzati nei dati anagrafici del software.
Il vero punto forte del metodo è che le fatture manipolate sembrano del tutto legittime perché, tecnicamente, lo sono.
Vengono inviate direttamente dal sistema della vittima, hanno la carta intestata corretta, l'indirizzo del mittente corretto e il tono familiare.
Solo il conto del destinatario appartiene ai truffatori. Chi paga, versa però denaro alle persone sbagliate e di solito si accorge dell'errore solo settimane dopo.
Come proteggersi e cosa fare se si è già stati colti in fallo
- Prevenzione: attivate immediatamente l'autenticazione a due fattori (2FA) per il vostro account Bexio, se non l'avete ancora fatto. Non cliccate su alcun link contenuto nelle e-mail che sembrano provenire da Bexio - accedete sempre al sito web direttamente tramite il vostro browser. Controllate che tutti i numeri IBAN dei vostri fornitori e clienti memorizzati in Bexio siano corretti.
- Se siete già stati colpiti: cambiate immediatamente la vostra password e attivate il 2FA. Informate tutti i contatti commerciali che potrebbero aver ricevuto una fattura manipolata e chiedete loro di interrompere immediatamente i pagamenti o di segnalare alla propria banca eventuali bonifici già effettuati. Presentare una denuncia penale alla polizia cantonale e segnalare l'accaduto all'UFCS all'indirizzo ncsc.admin.ch.
- Obbligo di denuncia: in caso di furto di dati personali, l'azienda potrebbe essere obbligata per legge a informare l'Incaricato federale della protezione dei dati e delle informazioni (IFPDT). In caso di dubbio, chiarite rapidamente la situazione legale.
Bexio reagisce, ma non senza pressioni
Il responsabile della comunicazione di Bexio, Thommy Rüegg, ha sottolineato che l'infrastruttura dell'azienda non è mai stata compromessa.
L'attacco è stato condotto tramite server esterni e le false e-mail sono state inviate tramite reti esterne, motivo per cui l'azienda non può quantificare il numero esatto di messaggi di phishing inviati.
Questa è una distinzione importante: non è stata Bexio a essere violata, ma gli account dei clienti Bexio. Attraverso le password che gli utenti hanno inserito in siti falsi.
La reazione dell'azienda dimostra che era comunque necessario agire. Dopo che «Watson» ha seguito la vicenda venerdì sera, poche ore dopo Bexio ha annunciato una misura immediata: l'autenticazione a due fattori (2FA) sarà obbligatoria per tutti i clienti con effetto immediato.
Una misura che avrebbe reso inefficace l'intero attacco. Perché anche se si inseriscono i dati di accesso su un sito di phishing, la 2FA protegge l'account da un uso improprio.
Il caso Bexio non è l'unico, ecco il quadro generale
Il caso Bexio non è un caso isolato, ma sintomatico.
La crescente digitalizzazione della vita quotidiana delle PMI svizzere - contabilità, buste paga, gestione degli indirizzi, tutto in un'unica soluzione cloud - crea una superficie di attacco che i criminali informatici sfruttano sistematicamente.
Più i processi aziendali sensibili sono raggruppati in un'unica piattaforma, più un account dirottato diventa interessante per gli aggressori.
L'impegno per le aziende colpite è notevole. Non appena i dati personali vengono rubati, scatta l'obbligo di denuncia all'Incaricato federale della protezione dei dati e delle informazioni (IFPDT).
A ciò si aggiungono le denunce penali, la verifica di tutti gli IBAN dei fornitori e la noiosa comunicazione con i clienti che potrebbero aver già versato sui conti sbagliati.
Spesso il lavoro vero e proprio inizia solo quando l'attacco è già finito da un pezzo.
