LOGIN
In Breve (TL;DR)
- La PEC è uno strumento centrale nella trasformazione digitale della Pubblica Amministrazione italiana, per questo ha attirato l'attenzione dei cybercriminali.
- I malintenzionati sfruttano la fiducia degli utenti nel canale "certificato" per veicolare campagne di phishing e social engineering sempre più credibili e curate.
- Per difendersi è fondamentale verificare attentamente l'indirizzo del mittente e diffidare da refusi o incoerenze nel contenuto.
- È cruciale non scaricare allegati non richiesti senza previa scansione antivirus, non cliccare su link sospetti ed evitare di agire sotto la pressione di un'eccessiva urgenza.
La trasformazione digitale della Pubblica Amministrazione italiana ha portato la Posta Elettronica Certificata (PEC) a diventare uno degli strumenti centrali nelle comunicazioni ufficiali. Nata come mezzo per sostituire in modo più rapido ed efficiente le varie procedure cartacee, la PEC garantisce valore legale ai messaggi inviati, assicurando l’autenticità del mittente, l’integrità dei contenuti e la tracciabilità delle comunicazioni.
Una diffusione così massiccia, però, non è passata inosservata ai gruppi cybercriminali, che negli ultimi anni hanno iniziato a sfruttare anche questo canale per campagne di phishing sempre più credibili e curate. Se è vero che la percentuale di attacchi tramite PEC rimane contenuta, è altrettanto vero che quei pochi tentativi sono spesso ben strutturati e puntano a colpire proprio la fiducia che gli utenti ripongono in questo canale “certificato”.
-
1. Perché la PEC è finita nel mirino degli hacker
Graphic and Photo Stocker/Shutterstock
La Posta Elettronica Certificata è gestita da provider autorizzati, che operano rispettando standard di sicurezza molto elevati. La sua funzione principale è offrire un’alternativa digitale alle raccomandate tradizionali, con lo stesso valore legale ma con la comodità dell’invio online.
Per questo motivo la PEC viene utilizzata per comunicazioni ufficiali: documenti fiscali, notifiche legali, scambi con la Pubblica Amministrazione, comunicazioni professionali sensibili e molto altro ancora.
Secondo l’ultimo report CERT-AGID, solo il 2,3% delle campagne malevole note sfrutta la PEC come mezzo di diffusione, un dato che testimonia l’efficacia del sistema. Tuttavia, all’interno di quella percentuale si nascondono attacchi molto insidiosi, costruiti per sfruttare proprio la percezione di sicurezza che ruota attorno alla posta certificata.
-
2. Truffe via PEC, dalle campagne phishing ai malware
tadamichi/Shutterstock
Nonostante la PEC sia un ambiente controllato, gli attaccanti hanno trovato diverse modalità per sfruttarne l’autorevolezza.
Tra gli scenari ricorrenti c’è il phishing tramite posta ordinaria verso una PEC, che consiste nel simulare un’email certificata utilizzando un indirizzo ordinario. I criminali costruiscono mittenti e formati grafici che ricordano una PEC reale, confidando nel fatto che molti utenti non controllino attentamente la natura dell’indirizzo prima di aprire link o allegati.
Altro caso altrettanto pericoloso è l’utilizzo di una PEC compromessa o di un indirizzo creato ad hoc per inviare allegati malevoli. Con questo sistema i malintenzionati digitali distribuiscono malware di varia natura inserendoli tra i file allegati nei messaggi di posta.
Si tratta di un sistema molto efficace che imitando alla perfezione fatture, ordini o comunicazioni fiscali, riesce a ingannare anche gli utenti più accorti.
Da non sottovalutare, infine gli attacchi di social engineering, con l’invio di messaggi truffa che puntano a sfruttare la credibilità della posta certificata replicando toni formali, loghi e riferimenti plausibili. I truffatori si fingono enti pubblici, professionisti, studi legali o istituti bancari utilizzando come tema ricorrente è quello economico tra fatture, solleciti, ordini di pagamento e documenti contabili.
-
3. Quali sono le truffe via PEC più comuni
SuPatMaN/Shutterstock
Uno dei casi più noti di truffa via PEC è la falsa comunicazione dell’Agenzia delle Entrate – Sistema di Interscambio, che invita l’utente a modificare l’indirizzo PEC collegato alla fatturazione elettronica. All’interno del messaggio c’è un link che, anziché portare al sito istituzionale, scarica un malware che consente agli attaccanti di prendere il controllo del dispositivo.
Un’altra truffa molto diffusa sfrutta finte fatture o solleciti di pagamento. Il messaggio simula comunicazioni da parte di aziende reali o professionisti, talvolta citando anche numeri di ordine o importi credibili. In questo caso, l’obiettivo è indurre l’utente ad aprire l’allegato, quasi sempre un file ZIP contenente un malware.
Una strategia altrettanto efficace è quella di imitare notifiche relative a procedimenti legali, cartelle esattoriali, ricorsi o atti giudiziari. Il tono formale, combinato con l’urgenza del contenuto, spinge l’utente ad aprire il documento spesso senza passare prima per i necessari controlli.
Infine, sono in crescita anche le campagne che simulano PEC inviate da banche o servizi finanziari. Questi messaggi invitano a verificare anomalie, autorizzare operazioni sospette o scaricare documenti che “certificano” movimenti insoliti. Ovviamente, anche in questo caso si tratta di file malevoli o link a pagine clonate che possono scaricare malware nel dispositivo degli utenti o rubare i loro dati sensibili.
-
4. Come riconoscere le truffe via PEC e come difendersi
LAONG/Shutterstock
Importante ricordare che, per quanto sofisticate, ci sono diverse strategie che consentono agli utenti di riconoscere una truffa via PEC.
La prima cosa da fare è verificare attentamente l’indirizzo del mittente e in caso di domini inconsueti o di lettere o cifre sospette è sempre bene ignorare il messaggio e rivolgersi direttamente all’ente che l’ha inviato, utilizzando esclusivamente in canali di comunicazione ufficiali.
Un discorso simile si può applicare al contenuto della PEC e in caso di refusi, traduzioni letterali, frasi scorrette o incoerenti è sempre bene diffidare, perché sicuramente si tratta di una truffa.
Altro suggerimento è controllare sempre gli allegati. Alcune comunicazioni ufficiali contengono davvero dei file in allegato ma nel caso di una truffa, questi potrebbero essere malware. Prima di scaricare qualsiasi cosa, dunque, è sempre bene effettuare (se disponibile) una scansione antivirus e, naturalmente, procedere col download solo se è qualcosa che è stato richiesto dall’utente o se proviene realmente da un ente ufficiale.
Anche per i link all’interno dei messaggi vale lo stesso discorso fatto per gli allegati e anche in questo caso potrebbe trattarsi di collegamenti per il download di file malevoli oppure di reindirizzamento a siti truffa. Quando c’è un dubbio, basta passare il mouse sull’URL (ma senza cliccare) in modo da vedere l’indirizzo reale e, se non corrisponde a domini istituzionali, la comunicazione è quasi certamente fraudolenta.
Infine, come già accennato, spesso gli hacker cercano di creare un senso di urgenza per spingere gli utenti ad eseguire frettolosamente varie operazioni. Quando arriva un messaggio con blocchi del servizio, scadenze imminenti o richieste di intervento immediate, di solito si tratta di una frode.
Per saperne di più: Sicurezza informatica, quali sono le minacce e come riconoscerle
Domande frequenti (FAQ)
-
Quali sono le principali modalità di attacco tramite PEC utilizzate dai cybercriminali?Le modalità di attacco includono phishing tramite posta ordinaria verso una PEC, l'utilizzo di PEC compromesse per inviare malware e attacchi di social engineering che imitano comunicazioni ufficiali.
-
Come posso riconoscere una truffa via PEC e proteggermi dagli attacchi?È importante verificare attentamente l'indirizzo del mittente, controllare il contenuto della PEC per eventuali errori, verificare gli allegati e i link, e diffidare di messaggi che creano un senso di urgenza.
-
Quali sono le strategie consigliate per difendersi dalle truffe via PEC?Tra le strategie consigliate ci sono la verifica dell'indirizzo del mittente, l'attenzione agli errori nel contenuto, la scansione degli allegati, il controllo dei link e la cautela di fronte a messaggi che creano urgenza.
-
Qual è la percentuale di attacchi tramite PEC rispetto al totale delle campagne malevole note?Solo il 2,3% delle campagne malevole note sfrutta la PEC come mezzo di diffusione, ma questi attacchi sono spesso ben strutturati e mirano a sfruttare la fiducia degli utenti.
