Account e posta compromessi

Procedura email compromessa per PMI in Veneto: contenere account, posta, pagamenti e fornitori

Quando una casella aziendale viene usata per phishing, invii sospetti o richieste di pagamento, serve una sequenza chiara: accessi, MFA, sessioni, regole di posta, fornitori, clienti e continuità.

Il primo contatto non deve contenere password, codici MFA, archivi clienti o documenti riservati. Serve un segnale operativo: account coinvolto, impatto, fornitori, pagamenti a rischio e referente autorizzato.

Chiedi triage email compromessa Chiama per blocco operativo

Scenario operativo

Triage email

Account, MFA, posta, sessioni, fornitori e decisioni tracciati senza esporre credenziali.

MFA

Critico

Firewall

Verifica

Endpoint

Patch

Accessi

Ruoli

Rischio

Priorità

Correzione

Controllo

Configurazione, strumenti e costi vengono definiti dopo valutazione tecnica e priorità aziendali.

Prima si contiene l'accesso: sessioni, MFA, password, recupero e ruoli devono essere verificati insieme.

La posta va controllata per regole di inoltro, deleghe, alias, app connesse e messaggi inviati.

Se sono coinvolti pagamenti, fornitori o clienti, la decisione passa da un referente autorizzato.

Campi essenziali

Cosa verificare quando una email aziendale sembra compromessa

La procedura serve a ordinare segnali e responsabilità prima di agire: account, posta, fornitori, pagamenti, endpoint e backup non devono essere trattati come problemi separati.

Account e identità

Utente coinvolto, ruoli amministrativi, MFA, recupero account, sessioni attive e accessi da dispositivi o paesi insoliti.

Posta e persistenza

Regole di inoltro, deleghe, alias, app connesse, filtri, invii non autorizzati e cartelle dove i messaggi vengono nascosti.

Impatto operativo

Clienti, fornitori, amministrazione, fatture, bonifici, preventivi o richieste che potrebbero essere stati coinvolti.

Tenant e fornitori

Microsoft 365, Google Workspace, provider posta, dominio/DNS, antivirus, firewall, gestionale o web agency da coinvolgere.

Endpoint e backup

Postazioni usate dall'account, malware possibile, dati sincronizzati, backup e possibilità di ripristino se file o messaggi sono stati alterati.

Decisione e prossimo controllo

Cosa bloccare subito, cosa comunicare, quali verifiche documentare e quale presidio impostare dopo il contenimento.

Esempio di triage

L'incidente va collegato a segnali, controlli, rischi e decisioni

L'esempio è anonimo e dimostrativo. La verifica reale dipende da tenant, provider, accessi, log disponibili, pagamenti coinvolti e responsabilità interne.

Area	Segnale	Controllo	Rischio	Decisione
Account compromesso	Invii non riconosciuti o accessi anomali	Revoca sessioni, MFA, password, ruoli e accessi recenti	Nuovi invii o rientro dell'attaccante	Contenimento e verifica persistenza
Regole posta	Messaggi spariti, inoltri o cartelle anomale	Regole di inoltro, deleghe, alias, app e filtri	Lettura nascosta dopo il cambio password	Rimuovere regole e documentare evidenza
Fatture e fornitori	Richieste di cambio IBAN o bonifico urgente	Referente autorizzato, canale alternativo e comunicazioni recenti	BEC, frode pagamento o reputazione	Bloccare pagamenti non verificati
Dispositivo utente	PC con link aperti, allegati eseguiti o browser sincronizzato	Endpoint, browser, sessioni salvate e malware possibile	Credenziali nuovamente sottratte	Isolare o verificare postazione prima di riuso
Continuità	Posta bloccata, file alterati o account non accessibile	Backup, retention, recupero e fornitore coinvolto	Ripartenza incerta e prove disperse	Definire ripristino e registro intervento

Sequenza operativa

Dal segnale sospetto alla stabilizzazione documentata

Un incidente email non è solo un problema di password. Può coinvolgere clienti, fornitori, fatture, domini, file condivisi, endpoint e fiducia nei canali amministrativi.

Bloccare l'accesso sospetto

Prima si riduce il rischio di ulteriore accesso: sessioni, MFA, password, ruoli e canali di recupero vanno trattati insieme.

Cercare persistenza nella posta

Regole di inoltro, deleghe, alias, app connesse e filtri possono restare attivi anche dopo un cambio password fatto in fretta.

Proteggere clienti e pagamenti

Se sono coinvolte fatture, IBAN, preventivi o fornitori, la verifica deve usare un canale alternativo e un referente autorizzato.

Documentare e stabilizzare

Esito, limiti, sistemi verificati e prossime azioni devono restare nel registro operativo, non in messaggi sparsi.

Errori da evitare

La fretta può lasciare aperto l'accesso o aumentare il danno

Una procedura sobria riduce improvvisazione: prima contenimento e verifica, poi comunicazioni, ripristino, registro e controlli ricorrenti.

Cambiare solo la password senza revocare sessioni, controllare MFA, recuperi e regole di inoltro.

Rispondere dalla stessa casella compromessa a clienti o fornitori prima di chiarire cosa è stato inviato.

Autorizzare pagamenti, cambi IBAN o urgenze amministrative senza verifica su un canale alternativo.

Cancellare messaggi, log o evidenze prima di capire se servono per ricostruire impatto e responsabilità.

Rimettere subito in uso il PC o il browser dell'utente senza controllare endpoint, sessioni salvate e sincronizzazioni.

Risorse collegate

Collega l'incidente email al perimetro IT governabile

Scheda Microsoft 365

Verifica tenant, MFA, posta, SharePoint, OneDrive, backup, licenze e responsabilità.

Apri la risorsa

Scheda accessi amministrativi

Chiarisci account privilegiati, MFA, recupero, revoche e referenti autorizzati.

Apri la risorsa

Scheda backup ripristinabile

Controlla cosa si può recuperare se posta, file o dati sono stati alterati.

Apri la risorsa

Checklist continuità operativa

Collega account, posta, file, fornitori e finestre operative alla ripartenza.

Apri la risorsa

Matrice priorità IT

Distingui blocco operativo, rischio alto, richiesta ordinaria e progetto pianificato.

Apri la risorsa

Scheda fornitori e responsabilità

Chiarisci chi deve rispondere tra provider posta, dominio, software, web e connettività.

Apri la risorsa

Piano IT 30/60/90

Trasforma il contenimento in stabilizzazione di MFA, backup, endpoint e procedure.

Apri la risorsa

Registro interventi IT

Traccia segnali, verifiche, esiti, referenti e prossime azioni dopo l'incidente.

Apri la risorsa

Percorsi collegati

Dal contenimento alla sicurezza operativa sostenibile

Vedi cybersecurity PMI

Cybersecurity

Cybersecurity operativa per PMI in Veneto: MFA, backup, antivirus, aggiornamenti, firewall, permessi, email, formazione essenziale e riduzione rischi.

Vai al percorso

Cloud PMI

Consulenza cloud per PMI in Veneto: posta, file, backup, accessi, migrazione graduale, Microsoft 365, Google Workspace e soluzioni ibride.

Vai al percorso

Backup e ripristino

Backup aziendali per PMI in Veneto: dati, NAS, PC, cloud, verifica ripristino, copie off-site e piano di continuità proporzionato.

Vai al percorso

Monitoraggio

Monitoraggio infrastrutturale per PMI: backup, NAS, server, firewall, spazio disco, disponibilità servizi e controlli periodici concordati.

Vai al percorso

Servizi IT PMI Veneto

Servizi IT per PMI in Veneto: assistenza, infrastrutture, reti, firewall, backup, cloud, VoIP, CRM, monitoraggio e hardware aziendale.

Vai al percorso

Assistenza IT PMI

Assistenza IT per PMI in Veneto: postazioni, rete, backup, sicurezza, cloud, CRM e supporto operativo definito su sedi, utenti e sistemi critici.

Vai al percorso

Domande frequenti

Email compromessa, BEC e limiti del primo intervento

È una procedura di incident response certificata?

No. È una procedura operativa per PMI che aiuta a ordinare contenimento, verifiche e prossime decisioni. Per forensic, obblighi regolatori, data breach formale o SOC 24/7 serve un percorso specialistico dedicato.

Cosa fare subito se la casella sembra compromessa?

Non inviare credenziali via email o WhatsApp. Raccogli segnali non sensibili: account coinvolto, messaggi sospetti, impatto su clienti o fornitori, provider usato, eventuali pagamenti a rischio e referente autorizzato. La verifica tecnica definisce poi accessi, sessioni, MFA e regole di posta.

Perché controllare le regole di inoltro?

Perché un attaccante può usare regole, deleghe, alias o app connesse per mantenere visibilità sulla posta anche dopo un cambio password. Questi controlli vanno documentati con il provider o tenant corretto.

Quando chiamare invece di inviare un brief?

Quando ci sono pagamenti in corso, email inviate a clienti o fornitori, posta bloccata, account amministrativi coinvolti o impossibilità di lavorare. La chiamata serve a qualificare l'urgenza senza scambiare password o dati riservati.

Presa in carico business

Trasforma il segnale di compromissione in un triage governabile

Indica account o casella coinvolta, provider usato, segnali osservati, clienti o fornitori potenzialmente raggiunti, eventuali pagamenti a rischio, dispositivi coinvolti, impatto operativo e referente autorizzato. Non inviare password, codici MFA, database, archivi clienti o documenti riservati nel primo contatto.

Numero indicativo di postazioni, sedi e utenti

Sistemi critici: gestionale, posta, file, backup, rete, CRM

Problemi ricorrenti o rischi già noti

Priorità: blocco attivo, intervento pianificabile o revisione preventiva

Sequenza di lavoro

Qualificazione iniziale

Si chiariscono priorità, sistemi coinvolti, referente autorizzato e impatto sul lavoro.

Valutazione tecnica

Quando il perimetro tecnico lo richiede, si raccolgono evidenze su rete, backup, accessi, postazioni, cloud, CRM e fornitori.

Proposta operativa

Il piano distingue stabilizzazione, interventi programmati, acquisti e presidio continuativo.

Accordo operativo

Tempi, canali, finestre di lavoro, responsabilità e modalità di accesso vengono formalizzati prima di operare.

Brief iniziale guidato

Nome e cognome *

Azienda o studio *

Email aziendale *

Ruolo o funzione del referente

Aiuta a capire chi può autorizzare priorità, accessi e prossimi passi.

Telefono

Area IT

Priorità

Sedi, utenti o sistemi coinvolti

Fornitori, account o accessi coinvolti

Decisione attesa o finestra utile

Richiesta o problema da chiarire *

Il brief viene usato per qualificare priorità, informazioni mancanti e prossimo passo. I dati inseriti servono a gestire la richiesta e ricontattare il referente indicato secondo la Privacy policy.

Dati e accessi

Nel primo contatto bastano sintomi, sistemi coinvolti, priorità e referente autorizzato: non inserire password, codici MFA, archivi clienti, database o documenti riservati. Gli eventuali accessi tecnici vengono concordati su canali controllati.

Esito atteso dal primo contatto

Sintesi per decidere

Cosa sembra critico, cosa è pianificabile e quale rischio va chiarito prima.

Perimetro da verificare

Sistemi, accessi, fornitori, sedi o postazioni da controllare prima di proporre attività.

Prossimo passo

Analisi remota, sopralluogo programmato o valutazione mirata, in base al caso.

Proposta solo dopo perimetro verificabile

Prima si qualificano scenario, autorizzazioni e dati mancanti. Costi, interventi, accessi e continuità vengono discussi solo dopo aver reso verificabili perimetro operativo e responsabilità.

Traccia per il brief iniziale

Siamo una PMI in Veneto con postazioni distribuite tra ufficio e lavoro remoto.

I sistemi più critici sono posta, file condivisi, gestionale, rete, backup o CRM.

Il problema da chiarire è un blocco operativo, un rischio ricorrente o un progetto da pianificare.

Non inviare password, codici MFA o dati sensibili via WhatsApp o email. Se servono accessi amministrativi, vengono concordati canali e modalità controllate.

Brief strutturato

Canale consigliato per allegati, elenchi sistemi, sedi, utenti e richieste non immediate.

Blocco operativo

Canale da usare quando il blocco è attivo e serve qualificare priorità, impatto e presa in carico iniziale.

Segnale non sensibile

Canale per un segnale operativo non sensibile: niente password, codici MFA o documenti riservati.

Invia brief strutturato via email

Chiama per blocco operativo Invia segnale non sensibile

La prima risposta qualifica scenario, priorità e informazioni mancanti; quando il perimetro è complesso, il passo successivo è una valutazione tecnica pianificata.