Frodi su IBAN in FE

La risposta alla domanda che spesso mi sento rivolgere: “Perchè firmi le fatture B2B e B2C se non è obbligatorio?” è nel comunicato dell’Associzione Nazionale Commercialisti.

"Si registrano casi di istituti di credito che stanno ricevendo segnalazioni di frodi conseguenti al fatto che ignoti riescono ad accedere alle fatture elettroniche emesse da soggetti fornitori di servizi, società e professionisti, modificandone le coordinate bancarie. In questi casi, gli istituti
stanno consigliando ai propri clienti, prima di autorizzare operazioni di pagamento, di
verificare direttamente con il beneficiario la correttezza dell’IBAN. "

1 Mi Piace

Mi chiedo in che punto della catena tale truffa posso aver luogo…

  • All’invio ? A sogei arrivano fatture già alterate ? Vengono alterate presso Sogei ?
  • Alla ricezione da parte del committente ?
    Se è alla ricezione vuol dire che la fattura sul cassetto fiscale differisce da quella presente presso l’intermediario…
    Se così è vuol dire che l’intermediario ha un grosso data breach…
  • Dal cliente ? ovvero c’è un nuovo virus che attacca le fatture elettroniche scaricate alterandone l’IBAN prima che vengano importate nel gestionale del cliente ?
  • Sul gestionale del cliente (magari in cloud) ?
  • Sulla copia di cortesia che molti continuano a trattare come se fosse la fattura ?

Secondo me a livello di intermediario dopo averle ricevute da SDI.
Se sei riuscito ad entrare ed il file non è firmato puoi cambiare quel che vuoi e modificare l’hash dei metadati… :grimacing:

Se è a livello di intermediario SDI dovrebbe rimuovere immediatamente l’accreditamento di quell’intermediario…

2 Mi Piace

Anch’io non capisco in che momento viene cambiato l’IBAN. Se questo succede è un problema di sicurezza delle piattaforme online o dei singoli PC, non della fattura elettronica stessa. L’unica “colpa” della fatturazione elettronica sta nel fatto di aver costretto un sacco di gente che prima faceva le fatture a mano sul PC, ad usare soluzioni “cloud”, esponendoli a maggiori rischi.

E poi non mi sembra granché come truffa… a meno di non scappare subito all’estero col malloppo. Essendo l’IBAN del ladro noto, quanto ci mettono a trovarlo?

In questi casi si aprono conti con documenti falsi/rubati e si preleva il contante non appena disponibile.

Se la FE fosse sempre firmata (anche solo col certificato dell’AdE), sarebbe più semplice rilevare un’eventuale alterazione.

La firma aiuta ma non risolve tutti i problemi. Dipende molto da dove viene alterata la fattura. Se viene alterata all’interno del gestionale di chi la riceve, la mia domanda è: perché tale gestionale permette di alterare le fatture ricevute?
Anche se all’arrivo la fattura fosse firmata, ma il gestionale ti permette poi di cambiarla, con la firma non risolvi molto.
Se invece la fattura viene modificata nel gestionale di chi la invia (per esempio modificando l’impostazione dell’IBAN da usare su tutte le fatture)… di nuovo la firma non serve a molto, perché viene messa dopo.

L’articolo segnalato purtroppo contiene troppo poche informazioni per potersi fare un’idea di quello che sta succedendo veramente. Sarei veramente curioso di sapere i dettagli.

2 Mi Piace

Se uno ha accesso al file dell’intermediario, anche se firmato, può rimuovere la firma e rifirmare.

Per quello che ho capito, si tratta di violazioni su PEC usate da intermediari.

PS: il 90% delle fatture firmate arriva in XML firmato XADES… quanti verificano la firma XADES invece di importare l’XML che comunque è leggibile ?
Un po’ diverso per il CADES che essendo imbustato perlomeno ti dovrebbe costringere ad una verifica della firma…
Sempre che qualcuno, come si vede anche su questo forum, non si diverta a deimbustarlo semplicemente rimuovendo le componenti di signature con delle REGEXP…

2 Mi Piace

Se ti vogliono fregare sostituiscono la fattura con una non firmata e ti fregano ugualmente, anzi lasciano anche meno tracce…

1 Mi Piace

Questo è un articolo all’italiana “FACCIAMO ALLARMISMO SENZA DIRE IL PERCHE’ O IL COME”… se non dicono come è arrivata la e-fattura… se tramite PEC o SFTP… tutto decade.

Se è tramite PEC… secondo me è un problema NON dello SdI ma di chi riceve che ha un virus sul PC.

Se è tramite SFTP… c’è da capire in quale fase… se c’è una falla sull’intermediario e quindi BANNARE subito l’intermediario… se invece è al momento dello scarico in locale… allora come per la PEC il problema è sul PC sta elaborando il file XML.

Quindi se il problema è in locale… dove è un problema dello SdI o della e-fattura ? è vero potrebbero essere anche file cifrati, ma se c’è un virus che legge i dai in continuazione, riesce anche a catturare il momento della decodifica e quindi non servirebbe a nulla.

Oppure le discrepanze fra PDF e XML… cosa ci incastra lo SdI il problema è delle software house che dopo anni di possibili sviluppi non hanno fatto nulla fino agli ultimi 3 mesi. Io personalmente ho avuto software house che dicevano che mancavano ancora gli standard… anche dopo il 30 Aprile del 2018 :-((… Stesso vale per l’ESTEROMETRO… fino a metà gennaio… nessuno ha capito che cosa era, sperando nel classico rinvio all’italiana.

Tutti parlano di INSICUREZZA… ma senza dire in quale punto… Siamo sempre ITALIANI che parliamo in POLITICHESE o per noi informatici in FUFFAWARE… cioè… senza dire nulla.

Di cose da migliorare ci sono… ma ora dire che lo SdI deve verificare anche gli allegati… non ha senso… pensando che possono essere di qualsiassi tipo ed anche con password. Anzi io sono stato contento proprio di questo, così possiamo allegare qualsiasi cosa… deve lavorare bene la software house che genera il file.

Buon lavoro

4 Mi Piace

Quello che ho linkato è un comunicato stampa dell’Associazione Nazionale Commercialisti. Mi pare ovvio che non entri in dettagli tecnici perchè non credo che la maggior parte dei commercialisti li capirebbe.
Non credo si tratti di fuffaware penso piuttosto che, se si è arrivati ad un comunicato stampa, il problema sia stato diffuso ed -in tal caso- i dettagli potrebbero presto arrivare.

Comunque il problema esisteva anche prima della fatturazione elettronica (l’articolo è di giugno 2018):

C’è anche un articolo sul SOLE 24 ORE…

Il problema che si parla di E-FATTURA quando il problema sono le persone… che sui PC vogliono essere amministratori e cliccano e scaricano di tutto… il problema è quello. Oggi ero da un cliente dove anche un MAC era riuscito a far infettare con oltre 30 trojan e malware.

Aspettiamo e vediamo se escono NOVITA’ … ma non penso. Penso più ad allarmismi… legati ad errori umani. Tipo i PDF errati allegati alla E-FATTURA… quello noon è colpa dello SdI ma di chi ha generato il PDF errato.

1 Mi Piace

ANC è un sindacato di categoria che rappresenta soprattutto le voci contro la FE.
Quindi sono alla ricerca anche di “piccoli casi” per farne “grandi casi”.
Fanno politica! :grinning:

1 Mi Piace

Molto bene! Nulla di cui preoccuparsi allora! :slight_smile:

1 Mi Piace

Attenzione che tuttavia dall’altro lato che chi fa di grossi problemi piccoli problemi per non farsi riprendere.
Molti dei problemi segnalati da ANC sono veri (fatture a partite iva chiuse da 22 anni le ho ricevute anche io)
Disservizi negati da SDI ci sono stati…
SDI che dice che la colpa è solo degli inetrmediari è un fatto risaputo…

Insomma… tutti quanti fanno politica…

1 Mi Piace

ma questo succedeva pure con la fattura cartacea, solo che adesso il sistema se ne accorge subito

no SDI non se ne accorge…
Le recapita al codice destinatario ugualmente…

se ne accorge ma fa passare lo stesso la fattura. E’ stata una scelta per non ingessare il sistema in questa prima fase di rodaggio