Il phishing ai commercialisti: 3 casi reali che abbiamo visto in Umbria

Di Daniel Filiu Mayedo · 21 aprile 2026 · 8 min di lettura · Categoria: Phishing / Studi professionali

Se gestisci uno studio commercialista, sai che il phishing è un problema. Ma potrebbe essere molto peggio di quanto credi. Nel corso del 2025 ho visto tre attacchi mirati a studi di Terni, Perugia e Spoleto che sono andati molto vicini al disastro. Tutti e tre condividono una cosa: nessuno era un classico spam mal scritto in russo. Erano operazioni costruite con cura, con nomi italiani e contesti credibili.

Te li racconto. Anonimi, ovviamente. Ma veri.

Caso 1 — La mail del cliente clonata, con il tuo nome in copia

Lo studio si occupa di tre PMI metalmeccaniche. Una mattina un collaboratore apre una mail apparentemente inviata da giorgio.rossi@metalsrl.it, titolare di una delle aziende clienti. Oggetto: "RE: pagamento fornitore — nuove coordinate IBAN".

Il corpo dell'email dice: "Come discusso ieri, le invio le nuove coordinate bancarie del fornitore per il pagamento. Grazie, Giorgio". In allegato un PDF apparentemente innocuo con le nuove coordinate IBAN di un fornitore reale. Tutto è coerente: firma, tono, stile, perfino il footer con i riferimenti aziendali.

Il collaboratore aggiorna le coordinate bancarie nel gestionale. Il giorno dopo viene eseguito un pagamento di 18.400 € verso l'IBAN "nuovo".

Il cliente non aveva mai scritto quell'email. La sua casella di posta era stata compromessa 10 giorni prima. L'attaccante aveva letto tutta la corrispondenza, aveva capito le abitudini, le relazioni con lo studio, e aveva scelto il momento per inviare la mail falsa dal vero indirizzo del cliente.

Perché ha funzionato

L'email arrivava davvero dall'indirizzo del cliente (non era uno spoofing: l'account era compromesso)
Il contesto era coerente con la corrispondenza in corso
Il PDF era pulito dal punto di vista tecnico (non conteneva malware), passava i filtri antispam
L'importo era nella fascia "normale" per quel cliente

Come riconoscerlo in 5 secondi

Regola ferrea: qualunque cambiamento di IBAN fornitori va verificato per telefono. Non su email di conferma, non via WhatsApp — per telefono, chiamando un numero che hai già in rubrica (non quello che appare nella mail). Serve 60 secondi e salva 20.000 €.

Caso 2 — La "fattura" dall'Agenzia delle Entrate

Febbraio 2025, piena stagione dichiarazioni. Lo studio riceve una mail con oggetto: "Fattura elettronica - Sollecito ADE SpA - Codice {id}". Il mittente apparente: notifiche@agenziaentrate.gov.it.

In realtà il mittente reale era notifiche-ade@agenziaentrate-gov.it (dominio registrato due settimane prima in Tailandia). Ma chi guarda l'indirizzo completo?

Il link nel testo rimanda a una pagina che replica esattamente il portale Fatture e Corrispettivi. Loghi ufficiali, colori, layout. Il form chiede le credenziali SPID dello studio per "visualizzare la fattura".

Due dipendenti hanno inserito le credenziali SPID personali. Una terza collaboratrice ha provato a inserire le credenziali dell'Agenzia, ma si è fermata perché il sistema "non caricava bene". Tempismo fortunato.

Il danno evitato

Con SPID rubato, l'attaccante poteva: accedere al cassetto fiscale dei clienti dello studio, scaricare tutte le dichiarazioni, visualizzare dati bancari comunicati all'ADE, effettuare operazioni a nome del titolare SPID (incluso firma digitale in alcuni casi).

Come riconoscerlo in 5 secondi

L'Agenzia delle Entrate non manda mai email con richiesta di inserire credenziali. Comunica solo via PEC, cassetto fiscale o raccomandata.
Verifica sempre il dominio completo del mittente. agenziaentrate.gov.it è reale. agenziaentrate-gov.it è falso (e così ade-fatture.com, fatture-ade.it, etc.).
Non inserire MAI credenziali SPID cliccando un link email. Vai sul sito ufficiale tu, digitando l'URL a mano.

Caso 3 — Il finto aggiornamento del software fiscale

Ottobre 2025. Lo studio usa un noto software gestionale per commercialisti (lo chiameremo "TopFisco" per non fare nomi). Una mattina arriva una mail con oggetto: "TopFisco 2026 — aggiornamento obbligatorio per adempimenti gennaio".

L'email è impeccabile: logo TopFisco autentico (copiato), riferimenti a novità normative reali, link "Scarica aggiornamento qui" che porta a topfisco-update.online (dominio registrato 5 giorni prima).

Chi clicca scarica un file TopFisco_Update_2026.exe che sembra un aggiornamento reale. In background installa un infostealer: un malware che ruba password salvate nel browser, cookie di sessione bancarie, certificati digitali, chiavi SSH.

In questo caso il collaboratore ha cliccato ma si è fermato quando Windows ha mostrato l'avviso "Questo editor non è verificato, vuoi continuare?". Ha chiuso. Ha chiamato me.

Quanto c'era mancato

Se avesse cliccato "Sì, continua": l'attaccante avrebbe avuto, entro 10 minuti, accesso a: tutte le password salvate nel browser (home banking, gestionali, email), sessioni attive (home banking accessibile senza password se la sessione era aperta), certificati di firma digitale installati sul PC. Nello studio ce n'erano 7.

Come riconoscerlo in 5 secondi

Gli aggiornamenti dei software professionali italiani non arrivano via email. Arrivano dal software stesso (tasto "verifica aggiornamenti") o dall'area riservata del vendor.
Mai aprire file .exe arrivati via email. Mai.
L'avviso Windows "editor non verificato" è una protezione: se lo vedi, ascoltalo.
In caso di dubbio: scrivi al vendor del software dalla mail o numero di telefono che conosci.

Il pattern comune

Tutti e tre questi attacchi condividono elementi che sono diventati lo standard del phishing professionale italiano nel 2025-2026:

Targeting mirato: non sono email random, sono studiate per uno specifico profilo professionale
Contesto credibile: sfruttano eventi reali (scadenze fiscali, normative nuove, clienti esistenti)
Technical impeccable: grafica, grammatica, loghi perfetti. Niente "il suo pacco è in attesa"
Obiettivi di valore alto: SPID, IBAN, credenziali gestionali, certificati firma digitale
Tempistiche scelte: mandati in giornate lavorative, orari di punta, quando c'è fretta

Cosa può fare uno studio piccolo per difendersi

Non serve trasformare lo studio in Fort Knox. Bastano tre abitudini che possono essere introdotte questa settimana:

Regola dei 60 secondi: qualunque richiesta via email che coinvolga soldi, credenziali o dati fiscali va verificata per telefono. Chiami tu, un numero che hai già. Costa 60 secondi, salva migliaia di euro.
2FA ovunque: sull'email dello studio (Gmail o Microsoft 365), sul gestionale, sui sistemi bancari. Se un attaccante ruba la password, senza il secondo fattore non può entrare.
Formazione annuale anti-phishing: un corso di 2-3 ore con esempi reali, fatto una volta l'anno a tutto lo staff. È la misura con il miglior rapporto costo/beneficio in assoluto. Una simulazione di phishing dopo 2 mesi verifica che sia servito.

Vuoi testare il tuo studio?

Una phishing simulation sui tuoi dipendenti è il modo più onesto per capire dove siete fragili. Campagna controllata, nessun danno, report chiaro. Parte da 500 €.

Scopri il servizio Phishing Simulation →

Gli strumenti che dovresti avere, adesso

Per uno studio di 3-15 persone, questi sono gli strumenti essenziali (costi reali):

Password manager (Bitwarden Team, 3 €/utente/mese). Tutte le password condivise in modo sicuro.
2FA obbligatoria su email e gestionali. Tempo di setup: 30 min. Costo: zero.
Antivirus/EDR aziendale (Bitdefender GravityZone Business, ~3 €/utente/mese). Più forte del Windows Defender di default.
Filtro antispam avanzato (incluso in Microsoft 365 Business Premium, o addon su Google Workspace).
Backup cifrato offsite (Backblaze Business, 6 €/PC/mese). Protezione da ransomware.
DMARC attivo sul dominio dello studio. Costo: zero, va configurato una volta.

Totale indicativo per studio di 5 persone: circa 80-100 €/mese. È meno di una polizza RC professionale, copre rischi molto più concreti.

Cosa fare se ci sei cascato

Se leggendo questo articolo ti è venuto il dubbio che uno dei tuoi collaboratori abbia cliccato qualcosa di strano nelle ultime settimane:

Cambia subito le password di ogni sistema accessibile dal PC "infetto", da un altro PC pulito.
Disconnetti il PC dalla rete (stacca il cavo ethernet e disabilita il Wi-Fi).
Chiama un consulente cybersecurity. Se è un attacco reale, ogni ora conta.
Se hai subito una frode economica, chiama subito la Polizia Postale (113 o sportello online).
Se sono stati esfiltrati dati personali, valuta la notifica al Garante entro 72 ore.

Serve un primo aiuto?

Se sospetti un attacco in corso, contattami subito su WhatsApp +39 379 288 5866. Primo consulto gratuito, quantifichiamo insieme il danno e decidiamo i prossimi passi.

Scrivimi su WhatsApp →

Articolo scritto da Daniel Filiu Mayedo, consulente cybersecurity a Terni (FiliuTech). I casi riportati sono reali, anonimizzati per rispetto della privacy degli studi coinvolti. Nessuno di loro ha subito il danno completo grazie a interventi tempestivi.