Molte aziende pubblicano sul proprio sito web la pagina “Chi siamo”, l’organigramma, i nomi dei responsabili o i riferimenti dei vari uffici.
Spesso lo fanno in buona fede: per essere trasparenti, per rendere più facile il contatto con clienti e fornitori, o semplicemente per presentarsi meglio.
Il problema è che tutte queste informazioni possono essere utili anche a chi vuole colpire l’azienda. Le agenzie pubbliche che si occupano di sicurezza spiegano infatti che nomi, ruoli, email e dettagli organizzativi possono essere usati per costruire messaggi più credibili, fingere di essere una persona interna o simulare una richiesta legittima.
Perché l’organigramma può diventare un rischio
Per un hacker, vedere online chi lavora in amministrazione, chi si occupa dell’IT, chi segue le risorse umane o chi prende decisioni importanti significa avere già un pezzo del puzzle.
Non serve conoscere i sistemi informatici dell’azienda per iniziare a fare danni. A volte basta sapere:
- chi gestisce i pagamenti
- chi può firmare
- chi lavora con i clienti
- chi ha un ruolo tecnico
- chi è sopra e chi è sotto nella struttura aziendale
Con queste informazioni, un hacker può costruire email, telefonate o messaggi molto più convincenti.
Come lo sfruttano nella pratica
Il trucco è semplice: usare informazioni vere per rendere falsa una richiesta.
Per esempio:
- una mail che sembra arrivare dal direttore amministrativo
- un messaggio urgente rivolto alla contabilità
- una telefonata che cita nomi reali trovati sul sito
- una richiesta di accesso o verifica che sembra provenire dall’ufficio IT
- una finta comunicazione di un fornitore che sa già a chi scrivere
Secondo FBI e FTC, molte truffe funzionano proprio così: chi inganna si presenta come qualcuno di affidabile, crea urgenza e spinge chi legge ad agire prima di verificare.
Il problema non è solo tecnico
Quando si pensa agli hacker, spesso si immagina un attacco “complicato”.
In realtà, in molti casi il punto debole non è il computer: è la fiducia.
Se una mail dice:
- “Ti scrivo su indicazione della direzione”
- “Devi gestire questo pagamento oggi”
- “L’ufficio IT ti chiede di fare login qui”
- “Sto seguendo questa pratica con l’amministrazione”
e usa nomi veri, ruoli veri e un tono credibile, diventa più facile cascarci.
L’FBI spiega che nelle truffe di impersonazione basta anche cambiare poco: un nome, una mail quasi uguale, un numero di telefono simile, un sito che sembra vero. Se il messaggio è costruito bene, può sembrare autentico anche quando non lo è.
Un esempio molto concreto
Immagina questo scenario.
Sul sito dell’azienda sono pubblicati:
- il nome del responsabile amministrativo
- il nome della persona in contabilità
- il nome del titolare
- i riferimenti diretti dei reparti
A quel punto un hacker può scrivere alla contabilità fingendosi il titolare, oppure può fingersi un fornitore e scrivere alla persona giusta dicendo:
“Come già concordato con la direzione, ti mando il nuovo IBAN per il pagamento.”
Se il nome del referente è corretto e il ruolo è coerente, il messaggio sembra subito più credibile.
Le autorità che si occupano di frodi economiche raccomandano proprio di verificare sempre richieste di pagamento o cambi IBAN con una telefonata a un numero già noto, e non rispondendo alla stessa mail ricevuta.
Cosa conviene fare, in pratica
Non significa che un’azienda debba sparire da internet.
Significa solo che conviene pubblicare con attenzione.
Ecco alcune regole semplici:
1. Chiediti se serve davvero pubblicare l’organigramma completo
Se l’organigramma è utile solo internamente, meglio non renderlo pubblico sul sito.
2. Pubblica le funzioni, non sempre i nomi di tutti
In molti casi basta scrivere:
- Amministrazione
- Commerciale
- Assistenza
- Direzione
- Ufficio tecnico
Non sempre è necessario mostrare anche nomi, cognomi, ruolo preciso e rapporto gerarchico.
3. Fai attenzione ai ruoli più delicati
Se proprio devi pubblicare dei riferimenti, valuta con più cautela i ruoli legati a:
- pagamenti
- contabilità
- risorse umane
- IT
- direzione
- acquisti
Sono proprio questi i ruoli più facili da usare in truffe mirate e richieste urgenti.
4. Usa indirizzi generici dove possibile
Meglio, per esempio:
piuttosto che esporre sempre l’indirizzo diretto della singola persona, se non è davvero necessario.
5. Controlla anche i PDF e i documenti scaricabili
A volte l’organigramma non è in una pagina del sito, ma in:
- brochure
- PDF aziendali
- presentazioni
- cataloghi
- documenti allegati online
Sono tutte fonti che possono contenere nomi, ruoli, email e numeri diretti.
6. Prepara il team a riconoscere i messaggi “troppo precisi”
Più un messaggio sembra conoscere bene l’azienda, più va controllato.
Perché proprio quella precisione potrebbe essere costruita usando le informazioni pubblicate online.
La regola più utile da ricordare
Se online mostri chi fa cosa in azienda, stai dando a un hacker una mappa per sapere chi contattare e come farlo sembrare credibile.
Non serve allarmarsi.
Serve fare una cosa più semplice: guardare il sito dell’azienda con gli occhi di chi potrebbe usarlo male.
A volte il rischio non nasce da un errore tecnico.
Nasce da un dettaglio pubblico, apparentemente innocuo, che aiuta a costruire una truffa su misura.
Ed è proprio questo il punto: non basta chiedersi se un’informazione è corretta.
Bisogna chiedersi anche se è davvero necessario pubblicarla.
