Frau BEC: el risc financer que el teu equip no veu venir

El correu de 85.000 euros

La cap de finances d’una empresa familiar de 18 empleats a Granollers va rebre un correu del seu conseller delegat un dimarts al matí. L’assumpte deia: “Transferència urgent — confidencial”. El missatge explicava que hi havia una operació sensible en curs, que no ho comentés amb ningú, i que transferís 85.000 euros a un compte bancari que, aparentment, ja havia estat preparat.

Ella va fer la transferència. El problema? El conseller delegat era de vacances a les Illes Canàries i no havia enviat cap correu.

Això és el frau BEC (Business Email Compromise), conegut també com a “frau del CEO”. I no és una excepció: és l’atac financer a empreses que creix més ràpid a Europa. Segons dades de l’FBI, les pèrdues acumulades per BEC des de 2013 superen els 55.000 milions de dòlars a escala mundial. A Espanya, el frau mitjà per atac BEC el 2025 va ser de 62.000 euros, i el 70% de les organitzacions han rebut almenys un intent d’atac.

La pregunta no és si et passarà. És si el teu equip sabrà reconèixer-ho quan arribi.

Què és el frau BEC i com funciona realment

El frau per correu electrònic empresarial (Business Email Compromise) és una modalitat d’estafa en la qual els atacants imiten figures d’autoritat dins de l’empresa —el CEO, el director financer, un soci o un proveïdor de confiança— per aconseguir transferències econòmiques no autoritzades o accés a informació sensible.

A diferència del phishing tradicional —que llança una xarxa àmplia esperant que algú hi caigui— el BEC és un atac dirigit i personalitzat. Els delinqüents investiguen l’empresa prèviament: consulten LinkedIn per saber qui autoritza pagaments, analitzen patrons d’absències del directiu (vacances anunciades, congressos, viatges) i, de vegades, accedeixen realment a comptes de correu compromesos per aprendre el to i els hàbits de la víctima.

Les tres variants més habituals en pimes

1. Frau del CEO L’atacant envia un correu que aparenta ser del màxim responsable de l’empresa demanant una transferència urgent i confidencial. Sol arribar quan el “CEO” és absent i el receptor és una persona del departament financer o d’administració.

2. Frau de proveïdor (o canvi de compte) Un proveïdor habitual envia un correu —aparentment legítim— informant que han canviat les seves dades bancàries. Les properes factures han de pagar-se al nou compte. Sovint, els atacants han compromès el compte de correu real del proveïdor, cosa que fa la trampa gairebé impossible de detectar sense protocols de verificació.

3. Frau de l’advocat o del consultor extern Els delinqüents es fan passar per un advocat o assessor extern que treballa en una operació confidencial (compravenda, due diligence, refinançament). Demanen discreció absoluta i una transferència immediata.

El factor IA: quan el correu és indistingible del real

El que ha canviat radicalment en els darrers dos anys és la qualitat lingüística dels atacs. Fins al 2022, molts correus fraudulents es podien detectar per errors d’ortografia, traduccions estranyes o expressions poc naturals. Avui, el 40% dels correus BEC es generen amb IA generativa (Hoxhunt, 2024), cosa que els fa pràcticament indistingibles d’un correu legítim.

A més, la IA permet personalitzar els atacs a gran escala: adaptar el missatge al sector, al to habitual del CEO, als projectes actuals de l’empresa o fins i tot a converses prèvies capturades d’un compte compromès. El resultat és un correu que sembla enviat per algú que et coneix bé.

Com impacta el frau BEC a les pimes catalanes

Molts empresaris creuen que el BEC és un risc per a grans corporacions, no per a pimes de 10 a 50 empleats. És exactament el contrari.

Les pimes són el blanc preferit per una raó senzilla: solen tenir menys controls interns que les grans empreses. No hi ha cap departament de ciberseguretat, els processos d’autorització de pagaments sovint depenen d’una o dues persones, i la cultura de “aquí ens coneixem tots” fa que un correu aparentment intern generi menys suspicàcia que en una corporació.

Segons l’INCIBE —l’Institut Nacional de Ciberseguretat d’Espanya—, el 2025 es van registrar 122.223 incidents de ciberseguretat a tot l’estat, un 26% més que l’any anterior. El 43% d’aquests atacs van afectar pimes. El cost mitjà d’un incident per a empreses amb menys de 50 treballadors se situa entre els 35.000 i els 80.000 euros, incloent-hi el cost de la recuperació i la interrupció operativa.

Un cas proper: la factura que no era del proveïdor

Una empresa de serveis B2B amb 12 empleats i 2,2 M€ de facturació va rebre, a finals de 2025, una factura aparentment enviada per un dels seus proveïdors de software. La factura era idèntica en format, capçalera i logotip a les anteriors. L’única diferència: el compte bancari havia canviat.

La persona d’administració —que coneixia el proveïdor de feia anys— va pagar sense verificar. Els 68.000 euros van arribar al compte de l’atacant. El proveïdor real no sabia res; el seu sistema de correu havia estat compromès setmanes enrere.

El frau es va descobrir quan el proveïdor va reclamar el pagament pendent. Llavors ja era massa tard: la transferència era irrecuperable.

Amb un protocol senzill —una trucada de dos minuts per verificar el canvi de compte— aquest frau no hauria passat.

Els errors que fan les pimes especialment vulnerables

Sense doble autorització per a transferències grans

La majoria de pimes no tenen un protocol formal d’autorització per a transferències a partir d’un cert import. Una persona rep la instrucció i la compleix. Establir un circuit de doble validació —dues persones han d’autoritzar qualsevol transferència superior a 5.000 o 10.000 euros— és una mesura senzilla que talla el 90% dels atacs BEC amb cost zero.

Sense verificació telefònica de canvis de compte bancari

Qualsevol correu que informi d’un canvi de dades bancàries d’un proveïdor ha d’activar un protocol fix: trucar al número de telèfon habitual del proveïdor (no al que figura al correu!) per confirmar el canvi. Sense excepció, sense pressa. Cap urgència justifica saltar-se aquest pas.

Massa informació pública a LinkedIn

Els atacants fan recerca. Saben qui és el director financer, qui l’assisteix, quan el CEO és de viatge i quins projectes té l’empresa entre mans —tot llegint perfils públics de LinkedIn i la web corporativa. Reduir la informació sensible exposada públicament dificulta la fase de preparació de l’atac i redueix el risc.

Cedir a l’urgència i la confidencialitat

El frau BEC sempre utilitza dos elements psicològics: la urgència (“cal fer-ho avui”) i la confidencialitat (“no ho comentes amb ningú”). Quan un correu combina les dues coses, és un senyal d’alarma. Cap operació corporativa legítima requereix que saltis els controls interns. Si algú et demana que no consultis la instrucció amb cap company, és el moment just de consultar-ho amb algú.

Cinc mesures concretes per protegir la teva pime

1. Protocol de doble autorització: cap transferència per sobre d’un llindar definit (5.000-10.000 € recomanat) sense la validació de dues persones per canals separats.

2. Verificació telefònica de canvis bancaris: política escrita que estableixi que qualsevol canvi de compte d’un proveïdor requereix confirmació telefònica al número habitual del proveïdor, mai al que figura al correu rebut.

3. Canals alternatius per a instruccions urgents: si reps una instrucció financera sensible per correu, confirma-la per un segon canal (Teams, telèfon, presencialment). El correu mai ha de ser l’únic canal d’autorització per a moviments de diners.

4. Revisió semestral de l’exposició digital: fes una revisió semestral de la informació publicada per l’empresa i els empleats del departament financer. Redueix l’organigrama visible al mínim necessari.

5. Formació bàsica de l’equip: una sessió anual d’una hora sobre com reconèixer un atac BEC pot ser la inversió de ciberseguretat amb el millor retorn per a una pime. L’INCIBE ofereix recursos gratuïts a través de la plataforma «Protege tu empresa» (en castellà).

Conclusió: el protocol és l’antídot

El frau BEC no és un problema tecnològic — és un problema de processos i cultura interna. Cap inversió en antivirus o firewalls protegeix contra un correu fraudulent creïble que rep una persona que no sap que ha de desconfiar.

La bona notícia: els controls necessaris per prevenir el 90% dels atacs BEC no costen diners. Costen protocol.

Els teus pròxims passos:

1. Aquesta setmana: defineix un llindar d’import a partir del qual cal doble validació. Escriu-lo i comunica’l a l’equip
2. Aquest mes: estableix per escrit el protocol de verificació telefònica per a canvis de compte bancari de proveïdors
3. Aquest trimestre: organitza una sessió d’una hora amb l’equip financer i d’administració per reconèixer les variants del frau BEC

Si vols revisar els riscos financers operatius de la teva empresa i quins controls hauries de tenir implementats, contacta’m per una primera conversa de 30 minuts sense compromís.

---

Fonts: INCIBE, Informe de Ciberseguretat Espanya 2025 (febrer 2026); Hoxhunt, Business Email Compromise Statistics 2026; FBI, Internet Crime Report 2024.