L’INI-PEC imprese (Indice Nazionale degli Indirizzi di Posta Elettronica Certificata) è l’elenco pubblico ufficiale istituito dal Ministero delle Imprese e del Made in Italy che permette di consultare gli indirizzi PEC di aziende e professionisti operanti in Italia. È uno strumento fondamentale per la trasparenza e la comunicazione legale, ma poiché i dati sono pubblici, può essere sfruttato da malintenzionati per campagne di phishing mirate.
In sintesi
- Cos’è: Un portale pubblico gratuito per trovare la PEC di qualsiasi impresa o professionista iscritto al Registro Imprese o agli Ordini professionali.
- Il Rischio: Essendo un elenco pubblico, i dati possono essere usati per inviare false comunicazioni (phishing) che sembrano legali o amministrative.
- Azione Immediata: Se ricevi una PEC sospetta, non cliccare sui link. Verifica l’identità del mittente tramite il portale ufficiale INI-PEC.
- Prevenzione: Non comunicare mai credenziali di accesso via mail e mantieni aggiornati i sistemi di sicurezza della tua casella PEC.
Qual è il rischio legato all’esposizione dei dati
Il rischio principale non deriva dal portale INI-PEC in sé, che è sicuro e istituzionale, ma dall’uso improprio delle informazioni in esso contenute. Poiché chiunque può cercare l’indirizzo PEC di un’azienda, i cybercriminali utilizzano lo “scraping” (estrazione automatizzata di dati) per creare database di bersagli a cui inviare:
- Phishing mirato: Mail che simulano comunicazioni dell’Agenzia delle Entrate, di fornitori di energia o di istituti bancari.
- Truffe sul rinnovo domini o marchi: Richieste di pagamento per servizi mai richiesti, spacciandoli per obbligatori.
- Malware via PEC: Invio di fatture elettroniche false con allegati malevoli (spesso in formato .zip o .xml.p7m).
Come riconoscere una minaccia
Per distinguere una comunicazione legittima da un tentativo di frode:
- L’indirizzo del mittente: Anche se la mail arriva su una PEC, il mittente potrebbe essere una PEC “compromessa” o creata ad hoc con un nome simile a enti ufficiali.
- Urgenza ingiustificata: Messaggi che minacciano sanzioni immediate o la sospensione del servizio se non si effettua un pagamento entro poche ore.
- Link esterni sospetti: Pulsanti che rimandano a siti web che non hanno il dominio istituzionale (es.
.gov.ito.itufficiale). - Errori formali: Errori di sintassi o loghi sgranati, sebbene il phishing moderno sia diventato molto sofisticato.
Cosa fare subito se sospetti una truffa
- Interrompi ogni interazione: Non rispondere alla mail e non scaricare allegati.
- Verifica su INI-PEC: Se la mail sostiene di provenire da un’azienda specifica, cerca il suo vero indirizzo su www.inipec.gov.it e confrontalo con quello del mittente.
- Contatta il presunto mittente: Usa un canale diverso (telefono o sito ufficiale) per chiedere conferma della comunicazione.
- Segnala il mittente: Se utilizzi un gestore PEC professionale, segnala la mail come spam o tentativo di phishing.
Cosa evitare assolutamente
- Mai inserire password: Nessun ente istituzionale o gestore PEC ti chiederà mai la password via mail.
- Non pagare tramite link diretti: Se devi effettuare un pagamento verso la Pubblica Amministrazione, usa esclusivamente i canali PagoPA ufficiali.
- Evita l’uso della stessa password: Non usare la password della PEC per altri account aziendali.
Come proteggersi (Misure preventive)
- MFA (Autenticazione a due fattori): Attiva sempre l’accesso con codice OTP o notifica su smartphone per la tua casella PEC.
- Formazione del personale: Istruisci i dipendenti a non aprire allegati inattesi, anche se arrivano su canali certificati.
- Monitoraggio degli accessi: Controlla periodicamente i log di accesso della PEC per verificare che non ci siano entrate da IP sospetti.
Casi particolari: Variazioni e cancellazioni
Se la tua impresa cambia indirizzo PEC, hai l’obbligo di comunicarlo al Registro Imprese. Il portale INI-PEC si aggiorna automaticamente in base a queste banche dati. Se noti un indirizzo errato associato alla tua partita IVA, devi rivolgerti alla Camera di Commercio di competenza o al tuo Ordine professionale.
FAQ – Domande Frequenti
Il servizio INI-PEC è a pagamento? No, la consultazione del portale ufficiale è completamente gratuita e non richiede registrazione.
Posso cancellare il mio indirizzo da INI-PEC? No, per le imprese e i professionisti iscritti agli ordini, la pubblicazione dell’indirizzo PEC è un obbligo di legge per garantire la reperibilità legale.
Cosa succede se ricevo un virus via PEC? Sebbene i gestori PEC effettuino scansioni antivirus, alcuni malware (soprattutto i nuovi ransomware) possono passare. È fondamentale avere un antivirus aggiornato sul PC da cui si consulta la posta.
Checklist: Azioni immediate in caso di violazione dati
- [ ] Cambia immediatamente la password della PEC da un dispositivo sicuro.
- [ ] Revoca eventuali autorizzazioni ad app terze collegate alla mail.
- [ ] Avvisa il tuo responsabile IT o il DPO (Data Protection Officer).
- [ ] Se sono stati sottratti dati personali, valuta la segnalazione al Garante Privacy entro 72 ore.
- [ ] Denuncia il fatto alla Polizia Postale se hai subito un danno economico.
Giornalista e analista, scrive di economia italiana, innovazione e imprese. Appassionato di tecnologia e finanza, racconta il presente e il futuro delle aziende che fanno muovere il Paese.
