Vai al contenuto
← Torna allo strumento

Phishing e fatture false con XRechnung e ZUGFeRD

Le fatture false via email non sono un problema nuovo. La novità è che oggi le fatture vengono inviate sempre più spesso come fatture elettroniche strutturate, per esempio come XRechnung o ZUGFeRD. Allo stato attuale della ricerca non esiste però ancora una serie di casi ufficiali ampiamente documentata dedicata in modo specifico al phishing con XRechnung o ZUGFeRD. Questo non rende il tema innocuo: il phishing legato alle fatture è da anni uno schema di attacco consolidato. Le e-fatture strutturate aiutano nella verifica, perché i loro dati si possono confrontare meglio con la propria documentazione. Ma il formato, da solo, non prova mai che una fattura sia autentica.

Come comportarsi con una e-fattura sospetta

Se non siete sicuri, aiuta seguire una procedura fissa. Così si separano chiaramente plausibilità, tipo di file e verifica del contenuto:

  1. 1. Verificate prima la plausibilità. Guardate il contesto nel suo insieme: il fornitore torna, l'operazione torna, il momento torna? Controllate con attenzione l'email del mittente, soprattutto il dominio e non solo il nome visualizzato. Importante: anche un indirizzo plausibile non è una prova di autenticità, perché il mittente di un'email può essere falsificato.
  2. 2. La fattura era attesa? Se no, non aprite né scaricate l'allegato. In caso di dubbio, la verifica può anche fermarsi qui: contattate il fornitore direttamente tramite un canale noto e indipendente e non rispondendo alla stessa email.
  3. 3. Se l'email sembra plausibile: controllate l'estensione del file. Un .pdf si può in genere aprire in sicurezza. Un .xml si può scaricare, ma non va aperto con doppio clic, perché l'XML grezzo è difficilmente leggibile. Caricate invece il file su digital-rechnung.de o su un altro visualizzatore affidabile. Come valutare se un servizio esterno tratta i vostri dati con attenzione è spiegato qui: Aprire le fatture in sicurezza con altri servizi. Fate attenzione a .exe, .bat, .zip, .rar e alle doppie estensioni come Fattura.pdf.exe.
  4. 4. Confrontate il contenuto XML con i vostri dati noti. Verificate se l'IBAN era già noto per questo mittente, se numero fattura, riferimento ordine e importo corrispondono ai vostri documenti e se il destinatario della fattura è corretto. Ma un IBAN noto, da solo, non basta. In casi limite un attaccante potrebbe usare un IBAN reale e già noto, ad esempio quello di una banca da cui ricevete regolarmente fatture, e manipolare solo il riferimento in modo che il pagamento vada a suo favore. Se l'IBAN è corretto ma il riferimento sembra sconosciuto o poco plausibile: chiedete conferma.
  5. 5. In caso di dubbio, chiedete di nuovo tramite un canale sicuro. Se qualcosa resta poco chiaro, contattate direttamente il fornitore, di nuovo non rispondendo al messaggio sospetto, ma usando un recapito noto e indipendente.

Finora i casi ampiamente documentati che riguardano in modo specifico XRechnung o ZUGFeRD sono stati analizzati poco anche pubblicamente. Chi già oggi separa bene la verifica di queste fatture si prepara a un problema che con la diffusione delle e-fatture è destinato a diventare più visibile.

Qual è il vero problema delle e-fatture?

Il problema non è XRechnung o ZUGFeRD in sé. Il problema è la combinazione di email, pressione sociale e dati di pagamento manipolati. Una fattura può apparire formalmente corretta e comunque rimandare a un IBAN sbagliato, a un riferimento d'ordine incongruente o a un contesto inventato.

Il BSI segnala che le presunte fatture via email possono comparire sia come allegato sia come link. Nei materiali sui messaggi fraudolenti e nel contesto NoPhish, SECUSO raccomanda di verificare la plausibilità del mittente, degli allegati, dei link e dell'intero contenuto del messaggio e di non lasciarsi mettere sotto pressione dall'urgenza. Inoltre il BSI descrive i tipici equivoci sulla sicurezza delle email.

Campi XML: confronto, non prova

Un errore frequente è pensare: se i campi XML sembrano plausibili, allora la fattura sarà autentica. Non è così. Chi falsifica il mittente di un'email e crea la fattura controlla anche tutti i campi XML. IBAN, numero fattura, fornitore, buyer reference o riferimento d'ordine possono essere impostati liberamente.

L'utilità dell'XML sta quindi altrove: permette di confrontare dati strutturati con la propria documentazione. IBAN, importo, numero fattura, referente o numeri d'ordine noti corrispondono ai vostri processi? È proprio qui che l'XML è utile. Ma i campi sono solo uno strumento di confronto, non una prova di autenticità.

Con ZUGFeRD inoltre il PDF visibile e l'XML incorporato devono corrispondere nei contenuti. Se contengono dati diversi, è un chiaro segnale d'allarme. Per le amministrazioni pubbliche appaltanti, la Leitweg-ID è un importante campo di verifica, ma anche in questo caso solo come indicatore di plausibilità.

Come aiuta digital-rechnung.de

digital-rechnung.de rende visibile direttamente nel browser il contenuto di un file XRechnung o ZUGFeRD. Non certifica il mittente di un'email, ma rende rapidamente leggibili i dati della fattura: ad esempio IBAN, emittente, destinatario, numero fattura, importi, scadenza e riferimenti.

Questo è utile soprattutto nei casi sospetti, perché permette di confrontare rapidamente i dati strutturati con anagrafiche note, ordini o fatture precedenti.

Se è già successo qualcosa

Se vi è già successo qualcosa: questi attacchi sono spesso realizzati in modo molto professionale. Sembrano credibili, arrivano nel momento giusto e colpiscono anche persone normalmente molto prudenti. Ci può cascare davvero chiunque, indipendentemente dall'esperienza o dal background tecnico. Non è un fallimento personale.

Ciò che conta allora è agire in fretta e senza vergogna. Parlate subito con il vostro amministratore IT o con il vostro fornitore di servizi IT e dite semplicemente che cosa è successo. Sono persone che esistono proprio per situazioni come questa. Se il denaro è stato trasferito a un IBAN sbagliato, chiamate immediatamente la vostra banca, perché il margine di tempo per un eventuale recupero è breve. Chi tace troppo a lungo per vergogna spesso rende la situazione solo più difficile e più costosa.

Domande frequenti

Esistono già casi documentati di phishing specificamente con XRechnung o ZUGFeRD?

Secondo lo stato della ricerca al 12 marzo 2026, nelle fonti ufficiali e vicine agli standard non risulta alcuna serie di casi ampiamente documentata dedicata specificamente al phishing con XRechnung o ZUGFeRD. Si tratta di una valutazione basata sulla ricerca, non della prova che tali casi non possano esistere. Il phishing generico con fatture via email, invece, è chiaramente documentato.

Posso riconoscere una fattura falsa dal file XML?

Non in modo affidabile. Chi vi invia una fattura falsa controlla anche tutti i campi XML e può riempirli con valori plausibili. Per questo l'XML è soprattutto utile per il confronto con i vostri dati, non come prova di autenticità.

Un file XML è sicuro da aprire?

Rispetto ai file eseguibili, un file .xml è di solito meno critico. Tuttavia non dovreste aprirlo con un doppio clic, ma verificarlo in un visualizzatore affidabile. Se la fattura non era affatto attesa, scaricarla non è già il primo passo.

Qual è un importante campo di verifica per le amministrazioni pubbliche?

La buyer reference, cioè la Leitweg-ID. Le informazioni ufficiali federali la indicano come campo centrale per l'assegnazione della fattura. Se manca o non corrisponde, la fattura non è plausibile. Ma anche una Leitweg-ID corretta non prova l'autenticità.

Che cosa devo controllare in più con ZUGFeRD?

Che il PDF visibile e l'XML incorporato corrispondano nei contenuti. ZUGFeRD è un formato ibrido. Se le due parti divergono, per esempio per IBAN, importi o numeri di fattura, la fattura non dovrebbe essere approvata finché la discrepanza non viene chiarita.

Basta guardare l'IBAN nell'XML?

Confrontare un IBAN noto presente nell'XML con le vostre anagrafiche è un buon primo passo e aumenta sensibilmente la plausibilità. Ma non è una garanzia. In casi limite un attaccante potrebbe usare un IBAN reale e noto e manipolare solo il riferimento o la causale, in modo che il pagamento venga attribuito in modo errato. Per questo è bene controllare insieme IBAN, importo e riferimento. Se il riferimento o la causale non coincidono con l'operazione nota, meglio chiedere un'ulteriore conferma.

Un PDF è sempre innocuo?

Rispetto ai file eseguibili, un PDF si può in genere aprire in sicurezza. Ma questo risponde solo alla domanda sul tipo di file, non sull'autenticità della fattura. Anche un PDF può contenere coordinate bancarie false o un contesto manipolato.

Verificare e-fattura → digital-rechnung.de

Verifica ora XRechnung o ZUGFeRD →