Un’email, un bonifico, 1,8 milioni di euro svaniti nel nulla. La storia di come i criminali digitali hanno derubato il cuore culturale di Firenze.
È agosto 2024. Fabrizio Lucchetti, direttore dell’Opera di Santa Maria del Fiore, sta seguendo i lavori di restauro del Complesso Eugeniano, a pochi passi dal Duomo. Un progetto ambizioso, necessario, che richiede un investimento considerevole. L’Opera – l’antica istituzione fondata nel 1296 che da sette secoli custodisce i gioielli architettonici di Firenze, dalla Cattedrale al Campanile di Giotto, dal Battistero al Museo dell’Opera – ha stipulato un contratto con una società edile per un importo di 1,8 milioni di euro. Tutto procede secondo i piani. O almeno così sembra.
Le email si susseguono tra l’Opera e l’impresa. Fatture, coordinate bancarie, istruzioni per i pagamenti. Comunicazioni apparentemente legittime, ma che nascondono un inganno sofisticato. Perché quelle email, in realtà, sono intercettate. Nel silenzio digitale, qualcuno sta leggendo ogni messaggio, studiando ogni dettaglio, aspettando il momento giusto per colpire.
Quando arriva il momento di effettuare il bonifico, l’Opera riceve le coordinate del conto corrente su cui trasferire il denaro. Nulla sembra anomalo. Il pagamento viene autorizzato: 1.785.000 euro partono dalle casse dell’istituzione fiorentina. Ma quel denaro non arriverà mai all’impresa creditrice. È finito in un conto intestato a un prestanome bresciano con precedenti penali, gestito da un’organizzazione criminale che ha trasformato il furto digitale in un’industria da 30 milioni di euro in soli sei mesi.
L’anatomia di un inganno perfetto
Quella subita dall’Opera di Santa Maria del Fiore è una truffa nota come “man in the middle” o “business email compromise” (BEC), l’evoluzione moderna della classica truffa del CEO.
Il meccanismo è diabolicamente semplice ed efficace: i criminali si inseriscono nelle comunicazioni email tra due soggetti legittimi – in questo caso l’Opera e i suoi fornitori – intercettando i messaggi e modificandoli al momento opportuno.
Le indagini della Squadra Mobile di Brescia, avviate nel marzo 2025 dopo la denuncia dell’Opera, hanno rivelato un sistema criminale articolato.
Al centro del meccanismo, due fratelli italiani fungevano da intermediari, mettendo in contatto imprese che necessitavano di accedere a denaro contante con una rete composta prevalentemente da cittadini cinesi, italiani, nigeriani e albanesi.
Un appartamento a Milano, intestato a una donna cinese, fungeva da “centro di stoccaggio di denaro contante“. Le società si moltiplicavano, i bonifici venivano dirottati, il denaro veniva riciclato attraverso operazioni fittizie.
Il blitz ha portato al fermo di nove persone e al sequestro di oltre 700mila euro in contanti. Un decimo indagato risulta tuttora irreperibile. Ma gran parte del denaro sottratto all’Opera – circa 1,4 milioni sui 1,8 originali – rimane dispersa nelle maglie di un sistema criminale transnazionale.
Dal Rinascimento fiorentino al Louvre: quando la sicurezza digitale fallisce
La truffa all’Opera di Santa Maria del Fiore non è un caso isolato. A pochi mesi di distanza e a poche centinaia di chilometri, il museo più visitato al mondo ha vissuto la sua personale débâcle di sicurezza lo scorso 19 ottobre. Quattro uomini travestiti da operai edili hanno rubato gioielli della Corona francese, per un valore di 88 milioni di euro, dalla Galerie d’Apollon del Louvre. Sette minuti di azione in pieno giorno, quattro minuti all’interno del museo, e i ladri sono scomparsi nelle strade di Parigi su due scooter.
Mentre le autorità francesi cercavano disperatamente di salvare la faccia, è emerso un dettaglio imbarazzante che ha trasformato un’audace rapina in una farsa cybersecurity. La password per accedere al sistema di videosorveglianza del museo più prestigioso al mondo era, semplicemente, “Louvre”. Non una combinazione complessa, non un sistema crittografato. Giusto il nome del museo.
Un audit del 2014 dell’agenzia francese per la sicurezza informatica aveva già segnalato la criticità. La password era “banale”, il software obsoleto, i sistemi inadeguati. Anche il software fornito da Thales era protetto dalla password “Thales”. Per oltre un decennio, queste vulnerabilità sono state ignorate mentre il museo investiva 169 milioni di euro in acquisizioni d’arte e ristrutturazioni scenografiche, contro appena 87 milioni in manutenzione e sicurezza. Solo il 39% delle gallerie era coperto da telecamere di sorveglianza.
Il parallelo tra Firenze e Parigi è inquietante. Due istituzioni culturali di rilevanza mondiale, custodi di patrimoni inestimabili, cadute vittime di vulnerabilità digitali che avrebbero potuto essere evitate. Nel caso del Louvre, password ridicolmente semplici e sistemi obsoleti. Nel caso dell’Opera di Firenze, comunicazioni via email non protette e procedure di verifica inadeguate.
L’inganno corre sulle reti invisibili
La truffa BEC è diventata uno degli strumenti più redditizi del crimine informatico globale.
Secondo l’FBI, tra il 2016 e il 2024 questo tipo di frode ha causato perdite per oltre 50 miliardi di dollari a livello mondiale. Le vittime sono aziende di ogni dimensione, enti pubblici, organizzazioni no profit. Anche le istituzioni culturali, tradizionalmente meno attente alla cybersecurity, stanno pagando un prezzo sempre più alto.
Il meccanismo è subdolo perché sfrutta la fiducia. Non serve hackerare sistemi complessi o scrivere codice sofisticato. Basta intercettare le comunicazioni – spesso attraverso phishing mirato o compromissione di account email – osservare i flussi di pagamento, aspettare il momento opportuno e inserire coordinate bancarie false. Le email sembrano autentiche perché spesso lo sono: provengono dagli account legittimi degli interlocutori, compromessi senza che le vittime ne siano consapevoli.
Nel caso dell’Opera di Firenze, i criminali hanno dimostrato una pazienza meticolosa. Hanno studiato i progetti, compreso le procedure, intercettato le comunicazioni. Solo quando il momento era maturo – quando un bonifico significativo stava per essere autorizzato – hanno sostituito le coordinate bancarie con quelle del conto controllato dall’organizzazione. Un’operazione chirurgica, invisibile fino al momento in cui era troppo tardi.
L’anello debole: il fattore umano
La direttrice del Louvre, Laurence des Cars, dopo il furto ha ammesso candidamente le “debolezze” nella sicurezza perimetrale del museo. Ma la vera debolezza, sia a Parigi che a Firenze, è stata l’approccio superficiale alla sicurezza digitale. Non basta avere telecamere se la password per accedervi è “Louvre”. Non basta avere procedure di pagamento se non si verificano le coordinate bancarie attraverso canali alternativi all’email.
Il problema è culturale prima che tecnologico. Troppe organizzazioni, soprattutto nel settore culturale e pubblico, considerano la cybersecurity un costo fastidioso piuttosto che un investimento necessario. La formazione del personale è trascurata. Le procedure di verifica sono considerate burocratiche e rallentanti. I budget per la sicurezza informatica sono sacrificati in favore di progetti più “visibili”.
Eppure, come dimostrano i casi di Firenze e Parigi, le conseguenze di questa negligenza possono essere devastanti. Non solo finanziariamente – l’Opera ha perso quasi due milioni di euro, il Louvre gioielli inestimabili – ma anche in termini di reputazione e credibilità. Il danno all’immagine è incalcolabile.
La risposta: una postura digitale consapevole
Dopo la scoperta della truffa, l’Opera di Santa Maria del Fiore ha denunciato immediatamente l’accaduto, collaborando attivamente con le autorità. La tempestività ha permesso di avviare un’indagine che ha portato all’arresto di nove persone e al recupero parziale del denaro. Ma la lezione è chiara: la reazione post-incidente non basta. Serve prevenzione.
Le organizzazioni devono adottare protocolli di verifica stringenti per ogni transazione finanziaria. Confermare le coordinate bancarie attraverso canali multipli – non solo email, ma anche telefonate a numeri già noti, messaggi su piattaforme alternative. Implementare l’autenticazione a più fattori per tutti gli account email e i sistemi sensibili. Utilizzare password complesse, cambiarle regolarmente, mai usare termini ovvi o prevedibili.
Ma soprattutto, serve formazione. Il personale deve essere addestrato a riconoscere i segnali di una possibile truffa: email che richiedono urgenza, richieste di cambio di coordinate bancarie, comunicazioni che sembrano legittime ma contengono anomalie sottili. La vigilanza deve diventare una seconda natura.
Investire nella cultura digitale
I casi di Firenze e del Louvre dimostrano che nessuna istituzione, per quanto prestigiosa, è immune dalle minacce digitali. I criminali non fanno distinzioni tra multinazionali e musei, tra banche e fondazioni culturali. Anzi, spesso le organizzazioni culturali sono bersagli più facili proprio perché meno attrezzate a difendersi.
La sicurezza digitale non è più un’opzione.
È una necessità fondamentale quanto l’assicurazione contro gli incendi o i sistemi di allarme fisici. Richiede investimenti, certo, ma il costo di un sistema di sicurezza informatica robusto è infinitamente inferiore al danno potenziale di una violazione.
E richiede un cambio di mentalità. La cybersecurity non può essere relegata a un reparto IT isolato. Deve permeare l’intera organizzazione, dalla dirigenza ai dipendenti operativi. Ogni persona che utilizza un computer, che gestisce email, che autorizza pagamenti, è potenzialmente la prima linea di difesa – o il primo anello debole.
L’Opera di Santa Maria del Fiore, custode di capolavori del Rinascimento, e il Louvre, tempio dell’arte mondiale, hanno pagato un prezzo alto per questa lezione. Ma la loro esperienza può servire da monito. In un mondo sempre più digitalizzato, dove le transazioni viaggiano su reti invisibili e i criminali operano oltre ogni confine, la formazione digitale resta la migliore difesa contro attacchi sempre più diffusi e sofisticati.
Perché alla fine, che si tratti di password ridicolmente semplici o di email intercettate, la vulnerabilità più grande rimane sempre la stessa: la fiducia non verificata. E in un’epoca dove l’inganno digitale è diventato un’industria miliardaria, verificare è diventato vitale per la sopravvivenza stessa delle organizzazioni.
