La truffa a Maria Teresa Tonutti racconta come anche i manager più esperti possono cadere vittime del cyber crimine.
La cyber sicurezza aziendale non riguarda solo hacker, virus o attacchi ransomware. Sempre più spesso le imprese vengono colpite da truffe sofisticate basate sull’ingegneria sociale, che sfruttano la fiducia, l’urgenza e il contesto aziendale.
La truffa milionaria all’imprenditrice friulana Maria Teresa Tonutti è un caso emblematico che può insegnare agli imprenditori come difendersi dalle frodi informatiche ed è per questo che vogliamo raccontarlo.
Il caso: come è stata truffata l’imprenditrice Maria Teresa Tonutti
La truffa a Maria Teresa Tonutti, manager e imprenditrice di Udine è una storia che inizia così: è stata contattata nell’agosto 2023 da quello che sembrava il presidente del consiglio di amministrazione della società di cui faceva parte.
Prima una telefonata, poi un messaggio WhatsApp con foto e nome reali del presidente, che la invitava a leggere una mail urgente da parte del presunto legale dell’azienda.
Poco dopo arrivava l’e-mail, completa di logo, firme, timbri ufficiali e documenti apparentemente autentici, in cui si parlava di una trattativa riservata per l’acquisizione di una società in Ungheria. Convinta della legittimità della richiesta e spinta dal senso di responsabilità, l’imprenditrice ha proceduto con un bonifico da milioni di euro.
Solo in seguito è emerso che si trattava di una truffa informatica estremamente sofisticata, e che nessun dirigente né legale dell’azienda aveva mai inviato quelle comunicazioni. Il danno è stato enorme, non solo dal punto di vista economico ma anche psicologico e reputazionale.
Oggi Tonutti ha deciso di reagire fondando la Fondazione Tonutti, per aiutare le vittime di truffe informatiche e diffondere cultura di prevenzione digitale.
Che tipo di truffa è stata: Business Email Compromise (BEC)
Il caso della truffa a Maria Teresa Tonutti rientra nella categoria delle truffe denominate Business Email Compromise (BEC), conosciute anche come “whaling” o “CEO fraud”.
In questi attacchi, i criminali imitano dirigenti o consulenti aziendali attraverso email o messaggi apparentemente autentici, spingendo la vittima a eseguire pagamenti o condividere informazioni riservate.
Gli elementi tipici della truffa sono:
- uso di identità reali: nomi, foto, numeri e ruoli effettivamente presenti in azienda;
- urgenza e pressione psicologica: messaggi che spingono ad agire subito, senza verifiche;
- documenti falsificati: loghi ufficiali, firme digitali e timbri istituzionali per dare credibilità;
- contesto plausibile: un’operazione aziendale verosimile (acquisizione, partnership, contratto).
Il risultato è che anche professionisti esperti possono cadere in buona fede, convinti di agire nell’interesse della propria impresa.
Come difendersi da truffe simili: 8 consigli pratici per imprenditori e manager
La truffa a Maria Teresa Tonutti dimostra che le frodi informatiche aziendali non colpiscono solo multinazionali o settori tecnologici, ma qualsiasi organizzazione in cui ci sia fiducia e flusso di denaro digitale.
Spesso gli attacchi di questo tipo non vengono denunciati, per vergogna o paura di ripercussioni professionali, alimentando così un fenomeno sommerso.
Di seguito elenchiamo 8 consigli che rappresentano l’inizio di un percorso in cui ogni impresa — grande o piccola — considera la cyber security come parte integrante della governance aziendale, al pari della contabilità o della strategia finanziaria.
- Verificare sempre le richieste urgenti: se arriva una mail o un messaggio che richiede un pagamento immediato, contatta direttamente la persona (via telefono ufficiale) per confermare.
- Doppia autorizzazione sui bonifici: per operazioni straordinarie, prevedi che due figure interne approvino la transazione.
- Controlla l’indirizzo email reale: anche una sola lettera diversa può indicare un dominio falso (es. “.co” invece di “.com”).
- Formazione continua del personale: la prima difesa contro la truffa è la consapevolezza. Organizza corsi periodici di cyber awareness.
- Procedure anti-urgenza: nessuna operazione finanziaria dovrebbe essere eseguita sotto pressione o fuori orario d’ufficio.
- Implementa protocolli di autenticazione email (SPF, DKIM, DMARC): riducono il rischio di spoofing.
- Cultura della segnalazione: crea un ambiente in cui chi sospetta una frode possa segnalarla senza paura di ritorsioni.
- Verifica i partner esteri: in caso di acquisizioni o collaborazioni internazionali, effettua sempre una due diligence completa.
Truffa a Maria Teresa Tonutti: imparare e reagire senza paura
Il caso di Maria Teresa Tonutti dimostra che anche i professionisti più esperti possono cadere vittime di truffe informatiche sofisticate. La vera difesa sta nella consapevolezza, nel doppio controllo delle operazioni e nella formazione continua di chi lavora in azienda.
Ma la lezione più importante è anche un’altra: non bisogna vergognarsi di denunciare. Parlare delle truffe e condividerle, come ha fatto Tonutti, significa proteggere altri imprenditori e trasformare l’esperienza in prevenzione.
Solo così il mondo delle imprese potrà diventare davvero più sicuro, attento e solidale.
Cyber crimine: la tua sicurezza inizia da qui: la tua sicurezza inizia da qui
La cybersecurity non è più solo una questione tecnica: è una responsabilità strategica. Proteggere i propri modelli e dati significa proteggere il futuro stesso dell’impresa.
Ti stai chiedendo come fare? Potresti rivolgerti alla Camera di commercio del tuo territorio.
Se sei alle prime armi in tema di cybersecurity, a disposizione della tua impresa ci sono consulenze e servizi per aiutarti ad imboccare la strada corretta attraverso i Punti Impresa Digitali che mettono a tua disposizione soluzioni che vanno dalla formazione al mentoring. E proprio in tema sicurezza, puoi chiedere aiuto al PID col servizio Cyber Check
Vuoi saperne di più sul PID e sul servizio Cyber Check?
Scopri come digitalizzare la tua PMI e renderla sicura dal punto di vista informatico.
Cerchi un’analisi approfondita sul rischio della tua esposizione agli attacchi informatici?
Valuta quanto può essere rischiosa la tua presenza sul web e se sei vulnerabile agli attacchi informatici.