La società britannica Zephyr Energy, operante nel settore oil & gas, ha denunciato il 9 aprile 2026 una significativa frode. Circa 700.000 sterline (quasi 1 milione di dollari) sono state sottratte a una sua sussidiaria statunitense. Il furto è avvenuto tramite un attacco di business email compromise (BEC), che ha reindirizzato un pagamento destinato a un appaltatore verso un conto controllato da hacker.
Il caso Zephyr Energy: l'inganno e la risposta
Nel deposito regolamentare alla London Stock Exchange, Zephyr Energy ha confermato la deviazione dei fondi, originariamente destinati a un appaltatore, verso un conto fraudolento.
L'azienda sta attivamente collaborando con banche e consulenti esterni nel tentativo di recuperare le somme. L'incidente è stato dichiarato contenuto, le operazioni aziendali proseguono normalmente e sono state implementate ulteriori misure di sicurezza. Un portavoce non ha rilasciato commenti aggiuntivi in merito.
Comprendere il Business Email Compromise (BEC)
L'episodio che ha coinvolto Zephyr Energy è un chiaro esempio di business email compromise (BEC). In questo tipo di attacco, gli aggressori compromettono le caselle email o i sistemi contabili aziendali per alterare i dettagli di pagamento, indirizzando i fondi verso conti illegittimi. Il BEC si conferma una delle tipologie di attacco più dannose in termini economici per le aziende a livello globale.
L'impatto globale del BEC nel 2025
Secondo l'ultimo rapporto annuale del FBI IC3 per il 2025, il BEC ha rappresentato il 14,6% di tutte le perdite causate dal cybercrimine, con un impatto finanziario che ha superato i 3 miliardi di dollari. Questa cifra lo posiziona tra i vettori di attacco più costosi registrati nell'anno.
Evoluzione e dimensioni del fenomeno negli anni recenti
Negli ultimi anni, le frodi BEC hanno determinato perdite finanziarie crescenti. Tra il 2022 e il 2024, il solo FBI IC3 ha registrato circa 8,5 miliardi di dollari di danni. Solo nel 2024, il BEC è stato responsabile di quasi 2,8 miliardi di perdite, classificandosi come il secondo crimine informatico per volume economico.
Questi attacchi si avvalgono di tecniche sofisticate come spear phishing, spoofing e malware per penetrare e manipolare le comunicazioni interne aziendali.
Misure di mitigazione e implicazioni per le aziende
Il caso di Zephyr Energy sottolinea l'importanza cruciale di implementare misure di sicurezza informatica potenziate. Tra queste, si evidenziano le verifiche multi-canale per le modifiche ai dati bancari, l'autenticazione a due fattori (2FA) obbligatoria e l'adozione di procedure incrociate tra i reparti contabili e di approvvigionamento. È fondamentale che le aziende non si affidino esclusivamente alle comunicazioni via email, ma confermino ogni modifica sensibile attraverso canali separati e affidabili per prevenire frodi.
Il fenomeno del BEC si dimostra una minaccia costante e in continua evoluzione. Se da un lato i danni economici si contano in miliardi, dall'altro le aziende vittime, come Zephyr Energy, stanno rafforzando attivamente le proprie difese. Una pronta e decisa reazione è infatti essenziale per limitare l'impatto e le conseguenze di tali attacchi.
