Le frodi assicurative iniziano dalla casella di posta: come le e-mail contraffatte trasformano le normali procedure assicurative in furti di risarcimenti

Le frodi assicurative non sempre iniziano con un incidente inscenato o una denuncia di infortunio falsa.

A volte tutto inizia con una semplice e-mail. Un perito chiede un altro documento. Un richiedente risponde indicando un indirizzo aggiornato. Un'impresa di risanamento invia una fattura corretta. Nulla in questa sequenza sembra insolito, ed è proprio per questo che funziona.

I team assicurativi sono strutturati per garantire il flusso continuo delle pratiche. Dopo una tempesta, un picco di richieste di risarcimento per responsabilità civile o un accumulo di pratiche relative agli infortuni sul lavoro, il personale gestisce rapidamente preventivi, allegati, approvazioni e dettagli sui pagamenti. Quando un messaggio arriva all’interno di una pratica di sinistro effettiva, eredita la credibilità del flusso di lavoro che lo circonda.

Questo rende la casella di posta un luogo ideale per i ladri. Non hanno bisogno di inventarsi una storia dal nulla se possono inserirsi in una conversazione già in corso e dirottare denaro, documenti o fiducia.

Perché è facile manipolare le richieste di risarcimento assicurativo

Le operazioni relative ai sinistri presentano tre caratteristiche particolarmente apprezzate dagli hacker: urgenza, ripetitività e un intenso coordinamento tramite e-mail. Un singolo fascicolo può coinvolgere l’assicurato, un broker, un perito, un referente finanziario, un’officina di riparazione e un consulente legale esterno. Durante un evento CAT, una sola casella di posta condivisa può gestire decine di richieste quasi identiche già prima di mezzogiorno.

Ecco perché il legame tra criminalità informatica e frodi assicurative emerge in modo così naturale nelle operazioni assicurative. Una volta che i criminali riescono ad accedere a una casella di posta, a una fattura o a una conversazione con un fornitore, non hanno bisogno di inscenare una violazione spettacolare. Possono aspettare il momento effettivo del pagamento e inserirsi proprio dove ci si aspetta già un movimento.

Le aziende che comprendono il funzionamento di DMARC sanno già che la sua importanza va ben oltre la semplice recapitabilità. DMARC opera in combinazione con SPF e DKIM per aiutare i proprietari dei domini a verificare chi è autorizzato a inviare e-mail utilizzando il loro dominio e a stabilire come i server di ricezione debbano gestire i messaggi che non superano tali controlli. Questo aspetto è fondamentale in caso di reclami, poiché l'usurpazione d'identità è spesso più redditizia degli attacchi di tipo «brute-force».

Come avviene effettivamente il furto dei pagamenti

Immaginate una richiesta di risarcimento per danni causati dalla grandine. Un appaltatore completa gli interventi di emergenza, il perito approva il preventivo e l'ufficio finanziario è pronto a erogare un pagamento di 28.400 dollari. Un hacker che ha accesso a una casella di posta elettronica in quella catena osserva in silenzio per alcuni giorni, poi invia una breve nota in cui comunica che l'appaltatore ha cambiato banca e allega un modulo di bonifico aggiornato.

L'e-mail non deve necessariamente essere appariscente. Deve semplicemente arrivare nel momento in cui il team sta già aspettando una fattura finale o una conferma ACH. Secondo l'annuncio di servizio pubblico dell'IC3 dell'FBI sul fenomeno del Business Email Compromise(BEC), le perdite segnalate legate al BEC hanno superato i 55 miliardi di dollari a livello globale tra ottobre 2013 e dicembre 2023. Questa cifra spiega perché una "semplice" e-mail di modifica dei dati di pagamento non dovrebbe mai essere trattata come una normale pratica amministrativa.

Le meccaniche sono volutamente noiose:

• Una richiesta di risarcimento effettiva genera una conversazione e-mail effettiva con nomi, numeri di pratica e allegati.
• Un malintenzionato ottiene l'accesso tramite phishing, credenziali riutilizzate o regole di inoltro della posta.
• Aspettano che il momento del pagamento, del rimborso o della liquidazione renda credibile la richiesta.
• Viene inviata una fattura modificata, un ordine di bonifico bancario o un'istruzione di pagamento da un account contraffatto o compromesso.
• I fondi vengono trasferiti prima che qualcuno verifichi la modifica tramite un secondo canale.

Lo stesso schema si applica alle assicurazioni contro gli infortuni sul lavoro, alla responsabilità civile, alle assicurazioni auto aziendali e alla surrogazione. Se un messaggio può determinare chi riceve il pagamento, dove finiscono i documenti riservati o quali documenti vengono considerati autentici, la richiesta di risarcimento ha già un valore sufficiente da attirare abusi.

Cosa sfugge alle persone quando il mittente sembra familiare

La maggior parte dei team sa come individuare un'e-mail di phishing mal fatta. I casi più difficili sono quei messaggi che sembrano autentici al 95%. Un mittente che si spaccia per qualcun altro potrebbe cambiare una sola lettera nel dominio, rispondere all'interno di una conversazione esistente o usare lo stesso tono che un fornitore usa normalmente.

Ecco perché la migliore abitudine da adottare durante la revisione non è quella di «cercare errori grammaticali», bensì quella di «verificare se la richiesta è in linea con il flusso di lavoro». Un fornitore di servizi di riparazione che utilizza lo stesso dominio da 18 mesi non dovrebbe inviare improvvisamente le coordinate bancarie da un nuovo indirizzo, un’ora prima dell’erogazione. L’avvocato di un ricorrente che di solito invia file PDF tramite un portale sicuro non dovrebbe richiedere improvvisamente le istruzioni per il pagamento tramite una risposta di una sola riga inviata da un cellulare.

Molti dei segnali di allarme più comuni relativi al phishing nei file assicurativi sono sottili: un indirizzo di risposta modificato, un tipo di allegato insolito, un accenno all’urgenza dell’ultimo minuto o la richiesta di bypassare il portale abituale perché «questo è più veloce». Si tratta di piccoli dettagli, ma nel flusso di lavoro relativo ai sinistri spesso fanno la differenza tra una normale elaborazione e una manovra fraudolenta.

Le linee guida dell'FBI relative alle frodi tramite e-mail aziendali stabiliscono una regola pratica molto chiara: verificare i pagamenti o le modifiche ai conti tramite un canale separato, controllare l'indirizzo completo del mittente ed essere particolarmente cauti quando la richiesta è accompagnata da un senso di urgenza. I team di gestione dei sinistri competenti seguono questa regola anche quando il messaggio sembra familiare, poiché proprio l'apparente familiarità costituisce l'obiettivo dell'attacco.

Come si presenta nella pratica una procedura di liquidazione dei sinistri più sicura

Un flusso di lavoro più efficiente nella gestione dei sinistri non considera ogni e-mail come un'emergenza di prima grandezza. Interviene solo nei casi in cui le frodi comportano costi elevati: modifiche ai conti, istruzioni di pagamento, fatture rettificate e reindirizzamento di documenti riservati.

Iniziamo dal dominio. Una rapida analisi con uno strumento di analisi dei domini può rivelare se il dominio di invio presenta evidenti lacune di autenticazione relative a DMARC, SPF, DKIM e controlli correlati; PowerDMARC, invece, è specificamente progettato per individuare i rischi legati a phishing, spoofing, frodi e usurpazione di identità. Ciò è utile perché le frodi relative ai sinistri spesso vanno a buon fine molto prima che qualcuno si accorga di un problema di pagamento nel registro contabile.

In seguito, occorre inasprire le regole di trasferimento all’interno del processo di gestione dei sinistri. Se una modifica da parte della banca perviene dopo l’approvazione del pagamento ma prima dell’erogazione, dovrebbe attivare un percorso di controllo diverso rispetto a un normale aggiornamento di stato. Un fascicolo con una richiesta di rimborso di 1.200 dollari potrebbe richiedere una rapida richiamata. Un fascicolo con una revisione del risarcimento di 40.000 dollari potrebbe invece richiedere una richiamata e l’intervento di un secondo approvatore entro lo stesso giorno lavorativo.

Un insieme di controlli funzionale si presenta solitamente in questo modo:

• Qualsiasi bonifico o modifica ACH viene verificato utilizzando il numero di telefono già registrato, non quello indicato nell'e-mail.
• Qualsiasi modifica alle istruzioni di pagamento effettuata entro 30 giorni dall'attivazione del fornitore viene segnalata ai livelli superiori.
• Le caselle di posta condivise per i reclami non consentono l'inoltro automatico silenzioso a indirizzi esterni.
• I reparti Finanza e Sinistri utilizzano la stessa lista di controllo per la verifica, in modo che gli hacker non possano prendere di mira il reparto più vulnerabile.
• Ogni modifica bancaria verificata viene registrata indicando la data, il verificatore e l'esito della verifica.

Anche in questo caso l'autenticazione delle e-mail è fondamentale. Secondo le linee guida di Google per i mittenti, chi invia messaggi in massa a account Gmail personali deve utilizzare SPF e DKIM, pubblicare DMARC e far corrispondere il dominio dell'organizzazione nell'intestazione "Da" con quello specificato in SPF o DKIM. Questi requisiti riguardano l'affidabilità dei mittenti su larga scala, ma la stessa disciplina aiuta le compagnie assicurative a ridurre il rischio di spoofing e a chiarire i segnali su cui i dipendenti fanno affidamento per valutare la legittimità di un messaggio.

Anche i team assicurativi più efficienti mettono alla prova le proprie procedure utilizzando casi reali. Prendete un sinistro immobiliare recente, un caso di infortunio sul lavoro e un sinistro di responsabilità civile. Ponete una domanda diretta su ciascuno di essi: se in questo preciso momento arrivasse un’e-mail contraffatta relativa a una modifica del risarcimento, dove verrebbe bloccata esattamente e da chi? Se la risposta è vaga, anche il controllo lo è.

Avvicinarsi alla fine

Le frodi nei sinistri diventano costose quando le normali lacune procedurali vengono trattate come innocui intoppi amministrativi. Un messaggio contraffatto può deviare il pagamento a un appaltatore, bloccare una liquidazione o far finire dati sensibili del richiedente nelle mani sbagliate senza far scattare alcun allarme evidente. La soluzione è solitamente meno drastica di quanto ci si aspetti: una maggiore attenzione all’affidabilità del mittente, regole di verifica più rigorose e un breve elenco di passaggi che non devono mai essere considerati “di routine”. Se i cambiamenti bancari, le revisioni delle fatture e le istruzioni di pagamento innescano sempre una richiamata e un secondo controllo, l'autore dell'attacco perde il vantaggio del tempismo. Scegliete oggi stesso un flusso di lavoro relativo ai sinistri in corso e testate come un'e-mail falsa relativa a una modifica del pagamento passerebbe dalla casella di posta in arrivo all'erogazione. Quindi colmate la lacuna prima che arrivi il prossimo messaggio dall'aspetto ordinario.

• Informazioni su
• Ultimi messaggi

Ahona Rudra

Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC

Ahona è la Marketing Manager di PowerDMARC, con oltre 5 anni di esperienza nella scrittura di argomenti di cybersecurity, specializzata in sicurezza dei domini e delle e-mail. Ahona ha conseguito una laurea in Giornalismo e Comunicazione, consolidando la sua carriera nel settore della sicurezza dal 2019.

Ultimi messaggi di Ahona Rudra (vedi tutti)

• Reputazione dell'IP o reputazione del dominio: quale ti garantisce l'accesso alla casella di posta in arrivo? - 1 aprile 2026
• Le frodi assicurative iniziano dalla casella di posta: come le e-mail contraffatte trasformano le normali procedure assicurative in un furto di risarcimenti - 25 marzo 2026
• Regolamento FTC sulle misure di sicurezza: la tua società finanziaria ha bisogno del DMARC? - 23 marzo 2026