← Tots els articles

Correus i factures falsos fets amb IA: així és el frau del CEO el 2026

Fins fa poc, un correu d'estafa es delatava sol: faltes d'ortografia, frases estranyes, un "Estimat client" massa genèric. Aquell filtre ja no serveix. Amb IA, qualsevol pot escriure un correu impecable en català o castellà, amb el to exacte d'un proveïdor real, en trenta segons. La bona notícia és que el frau segueix tenint patrons reconeixibles — només cal saber on mirar.

El "frau del CEO", versió 2026

El muntatge és sempre variant del mateix esquema: algú es fa passar per un càrrec directiu, un proveïdor habitual o una gestoria, i demana un pagament urgent o un canvi de compte bancari. Abans calia una certa destresa per redactar-ho de manera creïble. Ara una eina d'IA genera el correu, imita l'estil d'escriptura de qui suplanta i, si cal, fins i tot respon preguntes de seguiment amb naturalitat. El llenguatge ha deixat de ser el senyal d'alarma.

Què mirar ara (perquè el text ja no delata res)

L'adreça del remitent, lletra per lletra. No n'hi ha prou amb mirar el nom que apareix ("Joan Pujol, Gestoria X"): cal obrir o passar el cursor per sobre de l'adreça real. Els fraus més ben fets fan servir dominis gairebé idèntics als originals: una lletra canviada, un guionet afegit, una extensió diferent (.es en lloc de .cat, per exemple). A ull, en una pantalla de mòbil, aquests canvis passen desapercebuts.

Qualsevol canvi de compte bancari. Cap proveïdor seriós canvia el número de compte per correu sense avís previ. Si arriba una factura amb un IBAN diferent de l'habitual —encara que la resta del document sigui idèntic al de sempre—, és el senyal més fiable que alguna cosa no quadra.

Pressa i secret. "Necessito que ho tanquis avui" o "no ho comentis amb ningú més de l'oficina" són tàctiques clàssiques d'enginyeria social, i la IA no les ha canviat: només les ha fet sonar més naturals. Qualsevol missatge que combini urgència amb petició de discreció mereix una pausa, no una acció immediata.

La regla que val més que qualsevol detector

Davant d'una factura o ordre de pagament sospitosa, hi ha una sola regla que funciona sempre: verificar trucant al número de tota la vida, no al que apareix al correu ni al peu de signatura del missatge. Si el "proveïdor habitual" demana un pagament urgent, es truca al contacte que ja es té desat des de fa temps i es confirma de viva veu. Aquesta trucada de trenta segons és, avui, la defensa més efectiva que existeix contra el frau amb IA — més que qualsevol antivirus o filtre de correu.

Un exemple (il·lustratiu): la gestoria de Sabadell

Imaginem una gestoria de Sabadell que rep un correu, aparentment d'un client habitual, demanant que es modifiqui el compte bancari on es giren els rebuts trimestrals. El text és perfecte, el logotip correcte, fins i tot fa referència a una reunió real que havien tingut setmanes abans. Una administrativa, seguint el protocol intern, truca al client pel telèfon que tenen desat de sempre — no pel que consta al correu. El client no ha enviat cap missatge així. El compte de destinació és fraudulent. Els trenta segons de trucada eviten un ingrés directe al compte d'un estafador. És un escenari fictici, però reflecteix el patró real del "frau del CEO" que alerten els Mossos d'Esquadra i que, segons dades del sector, ja afecta prop d'una de cada quatre empreses espanyoles.

Què pot fer una pime, a la pràctica

No cal cap eina cara ni complexa per protegir-se'n. N'hi ha prou amb un protocol senzill i conegut per tot l'equip: cap canvi de compte bancari ni cap pagament urgent es tramita sense una verificació telefònica al número habitual. Val la pena escriure-ho en una frase i penjar-la a prop de qui gestiona pagaments. És el tipus de mesura que costa zero i que evita el disgust més car.

Vols revisar com esteu protegits davant d'aquest tipus de frau?

Escriu-nos a [email protected] i us ajudem a definir un protocol de verificació senzill per al vostre equip.

— L'equip d'IAètica