La Posta Elettronica Certificata (PEC) è uno strumento progettato per garantire l’integrità e il valore legale delle comunicazioni, ma non è immune al phishing. Riconoscere una PEC falsa significa distinguere tra una comunicazione certificata autentica e un’e-mail contraffatta che sfrutta il “brand” della PEC per trarre in inganno l’utente.
In sintesi:
- Verifica l’origine: Una vera PEC arriva da un indirizzo
@pec,@legalmail, ecc.- Controlla gli allegati: Diffida dai file
.zip,.jso link a siti esterni sospetti.- Analizza il testo: Errori grammaticali e urgenza ingiustificata sono segnali d’allarme.
- Busta di trasporto: La PEC autentica è sempre racchiusa in una “busta di trasporto” con firma digitale del gestore.
Qual è il rischio di una PEC falsa?
Il rischio principale è il Malware-as-a-Service. I cybercriminali utilizzano l’autorevolezza della PEC per indurre la vittima a scaricare allegati malevoli (spesso trojan bancari o ransomware) o a cliccare su link che portano a siti di phishing. Ricevere una PEC falsa non significa che il sistema PEC sia stato violato, ma che un attaccante sta usando un account PEC (magari rubato o creato con identità falsa) per colpire altri utenti.
Come riconoscere una PEC falsa: i segnali
Per capire se sei di fronte a un tentativo di truffa, analizza questi elementi:
- L’indirizzo del mittente: Anche se l’estensione è corretta, verifica se il nome del mittente corrisponde all’azienda o all’ente che dichiara di essere.
- L’oggetto della mail: Spesso riportano diciture come “Emissione fattura”, “Sollecito di pagamento” o “Notifica atto giudiziario” per creare ansia.
- Assenza della firma digitale: Una vera PEC è firmata digitalmente dal gestore del mittente. Se mancano i file
daticert.xmlo la busta di trasporto non è integra, diffida. - Anomalie linguistiche: Molte campagne di phishing sono tradotte automaticamente. Errori di sintassi o l’uso di termini tecnici impropri sono chiari indicatori.
Cosa fare subito se ricevi una PEC sospetta
Se hai il dubbio che una PEC non sia autentica:
- Non cliccare su alcun link presente nel corpo del messaggio.
- Non scaricare gli allegati, specialmente se hanno estensioni sospette.
- Verifica il mittente cercando i contatti ufficiali dell’ente sul sito istituzionale (senza usare i link presenti nella mail).
- Controlla la validità dei certificati tramite il tuo client di posta o la webmail del tuo gestore.
Cosa evitare assolutamente
- Non rispondere alla mail: Confermeresti al mittente che il tuo indirizzo è attivo.
- Non inserire credenziali: Non fornire mai password o dati bancari su pagine raggiunte tramite link via PEC.
- Non ignorare la sicurezza del PC: Se hai cliccato per errore, scollega il dispositivo dalla rete e avvia una scansione antivirus completa.
Come proteggersi nel tempo
Per ridurre i rischi legati alla Posta Elettronica Certificata, è bene adottare misure preventive:
- Attiva l’autenticazione a due fattori (2FA): Protegge il tuo account PEC da accessi non autorizzati.
- Usa un visualizzatore di file sicuro: Non aprire allegati direttamente nel browser se non sei certo della fonte.
- Formazione: Resta aggiornato sulle ultime campagne di phishing segnalate dal CSIRT Italia o dalla Polizia Postale.
Casi particolari: la PEC che sembra provenire da te stesso
Esiste una tecnica chiamata spoofing, in cui il mittente viene camuffato per sembrare il tuo stesso indirizzo. In questo caso, il sistema PEC solitamente genera un errore di consegna o segnala che la firma non è valida. Se ricevi una mail “da te stesso” con richieste di riscatto, è quasi certamente un tentativo di estorsione (sextortion o simile) da eliminare immediatamente.
Azioni immediate (Checklist)
- Analizza l’estensione dell’allegato.
- Verifica la presenza dei file di certificazione (
daticert.xml). - Segnala la mail come spam/phishing al tuo gestore PEC.
- Elimina il messaggio definitivamente dal cestino.
FAQ – Domande Frequenti
Una PEC può contenere virus? Sì. Sebbene il canale sia certificato, il contenuto (gli allegati) può essere dannoso se inviato da un malintenzionato.
Come verifico se una PEC è vera se proviene dalla Pubblica Amministrazione? Le PA utilizzano l’Indice dei domicili digitali (INAD) o l’Indice della PA (IPA). Puoi incrociare l’indirizzo mittente con quelli presenti in questi database ufficiali.
Cosa succede se apro solo il testo della mail? Solitamente leggere il testo non comporta rischi, il pericolo risiede nell’interazione con link o allegati.
Giornalista e analista, scrive di economia italiana, innovazione e imprese. Appassionato di tecnologia e finanza, racconta il presente e il futuro delle aziende che fanno muovere il Paese.
