Perché le frodi nei pagamenti sono un problema di ogni azienda
Immagina che il tuo team contabile riceva un’email. Sembra esattamente un messaggio di un fornitore storico: stesso logo, stessa firma, stesso tono familiare. Il messaggio comunica che i dati bancari del fornitore sono cambiati e chiede di indirizzare il prossimo pagamento su un nuovo conto. Il pagamento viene effettuato. Una settimana dopo, il vero fornitore chiama chiedendo perché la fattura è scaduta. A quel punto, i soldi sono spariti.
Questo non è uno scenario ipotetico. Succede ogni giorno ad aziende in tutto il mondo.
Le frodi nei pagamenti non colpiscono solo banche o società di investimento. Colpiscono ogni azienda che paga fornitori, salda fatture o riceve pagamenti dai clienti. E uno degli strumenti più pratici disponibili per contrastarle è il codice LEI, qualcosa di cui la maggior parte delle aziende comuni non ha mai sentito parlare.
La portata delle frodi nei pagamenti è impressionante
Le frodi nei pagamenti non sono un problema marginale. Secondo l’Association for Financial Professionals, il 76% delle organizzazioni ha subito tentativi o frodi effettive nei pagamenti nel 2025. Questo significa che due aziende su tre affrontano tentativi di frode in un dato anno.
Gli attacchi sono mirati precisamente alle persone che gestiscono fatture e pagamenti quotidiani: contabili, responsabili finanziari e personale degli acquisti. Secondo l’FBI’s 2024 Internet Crime Report, la compromissione delle email aziendali ha causato perdite per 2,77 miliardi di dollari solo negli Stati Uniti nel 2024, su 21.442 incidenti segnalati. E questi sono solo i casi che sono stati denunciati.
Come funzionano le frodi nei pagamenti: tre schemi comuni
Tutte le forme di frode nei pagamenti condividono una condizione di base: il truffatore ha successo perché la vittima non può verificare rapidamente l’identità della controparte.
Frode sulle fatture e impersonificazione del fornitore
Il truffatore identifica un fornitore abituale nella tua rete e invia una fattura che sembra identica a una autentica. Solo i dati bancari sono diversi. In molti casi, non è necessario alcun accesso ai sistemi. Informazioni pubblicamente disponibili, un indirizzo email simile e un po’ di pazienza sono sufficienti. Le aziende più piccole sono particolarmente esposte perché tendono ad avere meno passaggi formali di verifica.
Compromissione delle email aziendali
La compromissione delle email aziendali, o BEC, è più sofisticata e più dannosa. Il truffatore ottiene l’accesso all’account email del tuo fornitore, monitora la corrispondenza per settimane e interviene esattamente al momento giusto, poco prima della scadenza di una fattura importante. Solo i dettagli di pagamento vengono modificati e il denaro va sul conto sbagliato.
Ciò che rende difficile individuarlo è che il messaggio proviene da un indirizzo email autentico, segue un thread di conversazione reale e non contiene segni tecnici di frode. I filtri di sicurezza email standard non lo bloccano.
Creazione di fornitori falsi
Il truffatore crea un’azienda fittizia, la registra, costruisce un sito web e presenta una proposta. L’azienda firma un contratto, paga un anticipo e il fornitore scompare. Questo schema tende a colpire organizzazioni più grandi con processi di approvvigionamento più complessi.
In tutti e tre i casi, la vittima non è stata in grado di verificare in modo affidabile con chi stava effettivamente trattando. Il nome di un’azienda non è un identificativo univoco e i truffatori sfruttano deliberatamente questa lacuna.
Perché la verifica dell’identità è così difficile
I numeri di registrazione sono specifici per giurisdizione. Un numero di registrazione aziendale estone non significa nulla per una banca tedesca o un partner a Singapore. Ogni paese usa il proprio formato, il proprio registro e la propria lingua. Nel commercio transfrontaliero, questo significa che verificare l’identità di una controparte richiede un lavoro manuale lento.
I nomi delle aziende non sono univoci. Molte giurisdizioni consentono nomi simili o persino identici in paesi diversi. I truffatori registrano aziende i cui nomi assomigliano molto a organizzazioni note e fanno affidamento sul fatto che i team finanziari impegnati potrebbero non notare la differenza.
Cosa mostra effettivamente il codice LEI
Il codice LEI, o Legal Entity Identifier, è un identificativo univoco di 20 caratteri che qualsiasi entità giuridica nel mondo può ottenere. GLEIF, la Global Legal Entity Identifier Foundation, mantiene un database pubblico contenente informazioni verificate e aggiornate per ogni entità registrata.
Una ricerca LEI restituisce quanto segue:
Dati di livello 1 (“chi è chi”): ragione sociale, indirizzo registrato, paese e giurisdizione, numero di registrazione aziendale e registro, tipo di entità, stato LEI (Attivo o Scaduto) e cronologia delle modifiche al record.
Dati di livello 2 (“chi possiede chi”): entità madre diretta ed entità madre finale all’interno di una struttura aziendale.
Cosa una ricerca LEI non mostra: dati del conto bancario, numeri di contatto o persone fisiche. Comprendere questo è importante per utilizzare correttamente lo strumento.
Il database LEI è gratuito, aperto e non richiede registrazione. È disponibile su GLEIF LEI Search.
Come funziona il LEI contro le frodi nella pratica
Verifica manuale in tre passaggi
Passaggio 1 — Richiedi il codice LEI a ogni nuovo fornitore. Aggiungi un singolo campo al tuo processo di onboarding dei fornitori: codice LEI. Questa è una parte standard della due diligence della controparte che un numero crescente di aziende sta ora applicando di routine.
Passaggio 2 — Verifica il codice nel database GLEIF. Inserisci il codice LEI su GLEIF LEI Search o usa lo strumento di ricerca LEI sul nostro sito web. Vedrai immediatamente la ragione sociale, l’indirizzo registrato e il numero di registrazione aziendale. Confrontali con quanto appare sulla fattura o sul contratto. Se tutto corrisponde, l’identità è confermata. Se non corrisponde, è un chiaro segnale di allarme.
Presta attenzione anche allo stato LEI. Attivo significa che i dati sono attuali e verificati. Scaduto significa che l’entità non ha rinnovato il suo LEI e l’accuratezza dei dati è incerta. Un LEI scaduto è di per sé un segnale di rischio che non dovrebbe essere trascurato.
Passaggio 3 — Tratta qualsiasi modifica ai dati bancari come un processo in due fasi. Il LEI non mostra le informazioni del conto bancario, quindi non può sostituire completamente un controllo manuale in questa situazione. Ma aiuta comunque. Se ricevi una richiesta di modifica dei dettagli di pagamento, verifica prima tramite il LEI che il mittente sia chi afferma di essere. Poi chiama direttamente il fornitore usando un numero di contatto già presente nei tuoi archivi, non uno fornito nel nuovo messaggio. Questi due passaggi insieme coprono gli scenari di frode sulle fatture più comuni.
Verifica automatizzata per organizzazioni più grandi
Per le organizzazioni più grandi che gestiscono centinaia di fornitori e processano volumi elevati di pagamenti, i controlli manuali sono troppo lenti. È qui che il LEI diventa particolarmente prezioso, perché è un formato dati strutturato e leggibile automaticamente.
GLEIF fornisce un’API pubblica che consente di integrare i dati LEI direttamente nel software aziendale. Una piattaforma di contabilità fornitori o un sistema di gestione fornitori può interrogare automaticamente il database GLEIF per ogni nuova controparte, confrontare i risultati con i record esistenti e segnalare eventuali discrepanze per la revisione umana. La verifica dell’identità avviene in background, senza che nessuno debba cercare manualmente.
Il LEI nel quadro normativo
Il codice LEI non è solo uno strumento volontario. I regolatori di tutto il mondo hanno iniziato a collegarlo direttamente alla sicurezza dei pagamenti e alla prevenzione delle frodi.
Il Regolamento UE sui pagamenti istantanei ha richiesto a tutti i fornitori di servizi di pagamento dell’eurozona di verificare il nome del beneficiario prima di processare trasferimenti istantanei dall’ottobre 2025. Il regolamento riconosce il LEI come strumento per automatizzare la corrispondenza di un IBAN con il nome del titolare del conto. Questo riduce direttamente il rischio di frode nei pagamenti push autorizzati, in cui i fondi vengono inviati a un conto controllato da un truffatore. Per maggiori dettagli su questo, vedi il nostro articolo su LEI e Verification of Payee.
La Financial Action Task Force (FATF) ha aggiornato il suo standard internazionale di trasparenza dei pagamenti, Raccomandazione 16, nel giugno 2025. Secondo lo standard rivisto, i pagamenti transfrontalieri superiori a 1.000 euro o dollari devono includere informazioni verificate sia sull’originatore che sul beneficiario. Quando la parte è un’entità giuridica, il LEI è uno degli identificativi accettati. Lo standard entra pienamente in vigore nel 2030.
Cosa può fare la tua azienda oggi
Ottieni un codice LEI per la tua azienda. Con un LEI, puoi condividere un identificativo verificato con i partner, includerlo su fatture e contratti e usarlo come prova che la tua azienda è chi afferma di essere. Questo è particolarmente importante nelle transazioni transfrontaliere, dove la tua controparte potrebbe non avere familiarità con il tuo registro aziendale locale. La registrazione richiede pochi minuti e il LEI viene emesso quasi immediatamente: registra il tuo codice LEI.
Richiedi un LEI ai tuoi fornitori. Aggiungi un campo al tuo processo di onboarding dei fornitori. La verifica è gratuita e richiede secondi. Se i dati corrispondono, hai la conferma. Se non corrispondono, hai motivo di fare domande prima di effettuare un pagamento.
Applica una regola per la modifica dei dati bancari. Qualsiasi richiesta di modifica dei dettagli di pagamento dovrebbe richiedere due conferme: un controllo LEI e una telefonata a un numero di contatto già presente nei tuoi archivi. Questa singola regola avrebbe prevenuto la maggior parte dei casi classici di frode sulle fatture.
Includi il tuo LEI sulle tue fatture. Questo aiuta i tuoi partner a verificare la tua identità e segnala che la tua azienda prende sul serio la trasparenza.
Sintesi
La maggior parte delle frodi nei pagamenti ha successo perché l’identità della controparte è difficile da verificare rapidamente e in modo affidabile. Il codice LEI affronta un punto debole specifico e molto comune: un identificativo unico globale e verificabile pubblicamente rende la frode significativamente più difficile da realizzare. Le aziende più piccole possono eseguire il controllo manualmente in pochi secondi. Le organizzazioni più grandi possono automatizzare completamente il processo.
Se la tua azienda non ha ancora un codice LEI, ottenerlo è il passo più semplice che puoi fare oggi per migliorare la sicurezza dei tuoi pagamenti: registra il tuo codice LEI.
Se il tuo codice LEI deve essere rinnovato, puoi farlo qui: rinnova il tuo codice LEI.