FATTURE ELETTRONICHE, FRODI CON UN CAMBIO IBAN: L’ALLARME

Una segnalazione bancaria pone i riflettori sul livello di sicurezza del procedimento di fatturazione elettronica. L’informativa è stata diffusa a nome della Banca agricola popolare di Ragusa e riguarda un presunto attacco informatico ad alcune fatture elettroniche, che erano state inviate con indicato l’Iban corretto del fornitore per poi venir consegnate al cliente con un altro Iban, riconducibile a conti esteri.

La segnalazione è stata poi diffusa, anche tramite social network, dall’ANC – Associazione nazionale dei commercialisti: “Abbiamo mandato di persona nostri delegati a controllare la veridicità dell’informazione, nelle filiali di Siracusa e Ragusa”, commenta ad agendadigitale.eu il presidente del sodalizio Marco Cuchel. Alla nostra testata l’Agenzia delle entrate, interpellata, fa sapere che non è pervenuta all’ente nessuna segnalazione ufficiale e non ci sono riscontri di attacchi di questo genere. Tuttavia, l’ente sta approfondendo la vicenda come sempre in caso di informazioni, divulgate anche tramite i social.

La segnalazione della banca

Il casus belli è stata una lettera. In data 22 febbraio, è circolata una missiva della Banca agricola popolare di Ragusa con oggetto “Invito ad attenzionare le coordinate Iban per pagamenti di fatture”. La lettera si apriva spiegando ai clienti, cui era indirizzata, di aver ricevuto, testualmente “diverse segnalazioni di frodi a danno di studi tecnici e società di fornitura di servizi”. In particolare, ignoti “riescono ad accedere in modifica alle fatture elettroniche emesse da questi professionisti e a modificare le coordinate Iban del beneficiario“. La lettera invitava i clienti a fare attenzione a richieste di pagamento, anche da fornitori conosciuti, confrontando l’Iban con eventuali bonifici effettuati in precedenza sempre nei loro confronti, per capire se il codice sia quello corretto. Il consiglio per l’utente in caso di dubbi è quello di chiedere conferma dell’Iban al beneficiario stesso “utilizzando almeno due canali (per esempio email e telefono) e non limitarsi a un unico canale” in quanto può essere soggetto a frodi. Bisogna anche stare attenti a eventuali email in cui si indica un cambio di Iban. La lettera non indica con precisione le date degli attacchi né il loro numero e nemmeno la cifra precisa indebitamente sottratta.

La lettera è stata portata all’attenzione di ANC da alcuni associati “perché loro clienti avevano ricevuto dalla banca questa segnalazione e i professionisti ci hanno allertati. Noi abbiamo voluto accertare che fosse vera, prima di tutto”, racconta Cuchel. Così l’associazione ha mandato “alcuni referenti a parlare con i funzionari dell’istituto di credito, nelle filiali di Siracusa e Ragusa, hanno confermato tutto. L’informativa avvisava i clienti che in alcune fatture elettroniche si sono verificati casi di alterazione dell’Iban”, precisa Cuchel. Insomma, in partenza la fattura ha l’Iban corretto, ma il cliente invece la riceve con un Iban diverso. Il cliente a quel punto paga: “Spesso non viene controllato l’intestatario e quindi il bonifico va a buon fine, ma sul conto di un altro. Ci sono stati segnalati trasferimenti di alcune centinaia di migliaia di euro su conti che si trovano all’estero”, racconta Cuchel. Oltretutto non è stato possibile revocarli, per i trascorsi limiti temporali.

Gli accertamenti dell’Agenzia delle entrate

“Il cliente ha di fatto pagato una terza persona, il beneficiario ha subito un danno. Una truffa in piena regola, certo è un gesto doloso – spiega Cuchel -. Non eravamo arrivati a pensare al fatto che potessero addirittura cambiare l’Iban, ma allo stesso modo ci chiediamo se possano sottrarre dati“. Secondo il presidente di ANC, “questo indica che tutto ciò che abbiamo segnalato in precedenza, le perplessità sollevate specialmente in materia di privacy, si sta rivelando corretto”. Nell’inverno 2018 infatti, l’associazione aveva sollevato perplessità sulla corretta gestione dei dati contenuti nelle fatture elettroniche, materia che poi è stata trattata dal Garante della privacy. Il provvedimento dell’autorità del 20 dicembre 2018 ha introdotto il divieto di fatturazione elettronica per gli operatori sanitari.

Dall’Agenzia delle entrate fanno sapere che non sono state sporte segnalazioni formali all’ente al riguardo ma che comunque, data l’esistenza sui social di questo documento d’allerta, sono in corso verifiche presso gli uffici preposti per chiarire l’origine della missiva e il suo contesto. I social infatti sono stati il primo canale di diffusione della lettera della banca, soprattutto all’interno di gruppi dedicati ai commercialisti. Non risulta inoltre che il procedimento di fatturazione sia stato compromesso.

L’Iban nella fattura elettronica è un surplus

Inserire l’Iban nella fattura elettronica non è necessario. Daniele Tumietto, commercialista esperto di standard, sottolinea: “Le voci obbligatorie da inserire in fattura sono sono quelle indicate nell’articolo 21 per la fattura ordinaria e nel 21 bis per la semplificata del DPR 633/1972”. Queste sono le voci che vengono formalmente controllate dal Sistema di interscambio che, se rileva errori, scarta la fattura elettronica. Inoltre “Il sistema valuta, ad esempio, la coerenza degli importi esposti nelle righe della fattura(imponibile e imposta) e poi i dati anagrafici relativi ad mittente e ricevente. Se si emette la fattura elettronica a un consumatore privato (B2C) oltretutto è possibile valorizzare solo il campo relativo al codice fiscale di quest’ultimo, evitando quindi di dover inserire tutti gli altri dati anagrafici”, precisa Tumietto.  Mentre il codice Iban, come la targa dell’autoveicolo nel caso degli acquisti dei carburanti, sono sicuramente utili ai fini gestionali, ma non sono espressamente indicati nei summenzionati articoli del DPR 633/72.

Riguardo alla segnalazione sulla presunta frode, Tumietto è scettico: “Non è stata data nessuna informazione precisa e dettagliata di quanto sia successo e in che modo e ritengo che, se mai fosse capitata davvero una cosa così, probabilmente l’unica eventualità per il verificarsi di questa situazione è quello di una e-fattura non firmata e trasmessa tramite Pec“. In tal caso “l’attacco potrebbe essere attuato “bucando” la Pec e poi modificando la e-fattura a condizione che non sia firmata”. Per questo, spiega l’esperto, “raccomando sempre di sottoscrivere con firma elettronicaqualificata o firma digitale la fattura elettronica perché, oltre ad altri vantaggi, così si ribalta l’onere della prova, infatti è la controparte che la contesta che deve dimostrare che essa è falsa. Questo vale ovviamente per le fatture B2B e B2C, perché quelle verso la PA sono obbligatoriamente da firmare”.

L’intervento su “Fatture e corrispettivi”

A inizio marzo è stato attuato un intervento sul portale Fatture e corrispettivi dell’Agenzia delle entrate, che ha eliminato la possibilità che un intermediario senza alcuna delega potesse predisporre e trasmettere una fattura elettronica per conto di terzi. La funzione è rimasta attiva per il solo invio dei dati fattura.

In una nota, Cuchel ha sottolineato la soddisfazione di ANC per l’intervento, evidenziando come però sarebbe stato apprezzabile un chiarimento da parte dell’Agenzia delle entrate per saperne di più sull’opzione “intermediario non delegato” e per capire quando sia stata eliminata ufficialmente.

Fonte: Cybersecurity360.it