Per proteggere un account PEC (Posta Elettronica Certificata) in modo efficace è fondamentale attivare l’autenticazione a due fattori (2FA), utilizzare password complesse e non riutilizzate, e monitorare regolarmente gli accessi insoliti. Essendo la PEC un sistema con valore legale equivalente a una raccomandata con ricevuta di ritorno, la sua violazione espone a rischi gravissimi come il furto d’identità, la falsificazione di comunicazioni ufficiali e truffe finanziarie.
📌 In sintesi
- Il valore legale: La PEC ha valore di raccomandata A/R; se hackerata, i messaggi inviati sono legalmente riconducibili al titolare.
- La difesa principale: L’attivazione dell’autenticazione a due fattori (2FA o OTP) azzera quasi totalmente i rischi di accesso non autorizzato.
- L’errore da evitare: Non cliccare mai su link di “rinnovo spazio” o “verifica dati” senza aver prima controllato l’URL ufficiale del gestore.
- Azione immediata: In caso di violazione, resetta le credenziali, revoca le sessioni attive e sporgi denuncia alla Polizia Postale.
Qual è il rischio: perché i cybercriminali prendono di mira la PEC
L’account PEC non è una comune casella email. Contiene visure, contratti, comunicazioni con l’Agenzia delle Entrate, l’INPS o i tribunali. I rischi principali derivanti da un account PEC compromesso includono:
- Furto d’identità digitale: Utilizzo dei dati personali per stipulare contratti a nome della vittima.
- Truffe finanziarie (Man-in-the-Middle): Intercettazione di fatture e modifica dell’IBAN per dirottare pagamenti.
- Invio di malware massivo: Utilizzo della reputazione della PEC della vittima per inviare phishing certificato ad altri professionisti o enti pubblici.
Come riconoscerlo: i segnali di un account PEC compromesso
Un attacco informatico o un accesso abusivo alla PEC si manifestano spesso attraverso anomalie precise:
- Ricezione di notifiche di cambio password non richieste.
- Presenza di messaggi nella cartella “Inviati” o “Cestino” che non riconosci.
- Ricezione di ricevute di consegna o di accettazione relative a messaggi mai scritti.
- Impossibilità improvvisa di accedere alla casella con le proprie credenziali abituali.
Cosa fare subito se l’account è stato violato
Se sospetti che il tuo account PEC sia stato hackerato, devi agire nei primi minuti seguendo questi passaggi:
- Cambia immediatamente la password: Scegli una chiave d’accesso completamente nuova e complessa.
- Disconnetti tutti i dispositivi: Utilizza la funzione “Disconnetti da tutte le sessioni” nel pannello di gestione del tuo gestore PEC.
- Verifica le regole di inoltro: Controlla che i cybercriminali non abbiano impostato un inoltro automatico dei tuoi messaggi verso una casella email esterna.
- Notifica il Gestore PEC: Contatta l’assistenza tecnica ufficiale del fornitore del servizio per segnalare l’anomalia.
- Denuncia alle autorità: Se hai la certezza del furto di dati, sporgi denuncia alla Polizia Postale o ai Carabinieri per tutelarti legalmente dalle azioni compiute a tuo nome.
Cosa evitare assolutamente
- Non utilizzare la stessa password della PEC per social network, e-commerce o altri servizi online.
- Non ignorare le email di avviso del gestore riguardanti accessi da nuovi dispositivi o posizioni geografiche insolite.
- Non cliccare su link che richiedono l’inserimento urgente delle credenziali PEC, anche se la grafica sembra identica a quella del tuo fornitore (Aruba, InfoCert, Namirial, PosteCert, ecc.).
Come proteggersi: misure preventive e buone abitudini
La prevenzione è la barriera più efficace per blindare il proprio account PEC. Ecco le configurazioni obbligatorie per una sicurezza a lungo termine:
1. Attivazione della verifica in due passaggi (2FA)
Abilita l’autenticazione a due fattori tramite l’app ufficiale del gestore o generatori di OTP (Google Authenticator, Microsoft Authenticator). Senza il codice temporaneo generato sul tuo smartphone, un malintenzionato non potrà accedere anche se conosce la password.
2. Gestione rigorosa delle password
La password deve essere lunga almeno 12-15 caratteri, includere lettere maiuscole e minuscole, numeri e caratteri speciali. Evita parole comuni o date di nascita. L’uso di un Password Manager è fortemente raccomandato.
3. Verso la PEC Europea (Standard REM)
Tieniti aggiornato sul passaggio allo standard europeo REM (Requirements for Electronic Registered Delivery Providers). Questo standard imporrà progressivamente l’obbligo di verifica dell’identità del titolare e l’uso dell’autenticazione a due fattori come requisiti nativi del servizio.
Casi particolari: la gestione della PEC aziendale e degli studi professionali
Nelle aziende o negli studi associati, la PEC è spesso condivisa tra più collaboratori. Questa pratica aumenta esponenzialmente il rischio di sicurezza.
- Soluzione: Non condividere mai le credenziali primarie. Utilizza le funzioni di delega o la creazione di caselle aggiuntive/sub-account fornite dai gestori, in modo che ogni utente acceda con le proprie credenziali personali tracciabili.
FAQ – Domande frequenti sulla sicurezza della PEC
Il gestore PEC può chiedermi le credenziali via email? No. Nessun gestore legittimo richiederà mai la password o i codici OTP tramite email, SMS o telefono. Si tratta sempre di tentativi di phishing o smishing.
Cosa succede dal punto di vista legale se qualcuno invia una PEC dal mio account? Fino a prova contraria, gli atti inviati tramite la tua PEC sono legalmente imputabili a te. Per disconoscere la paternità di tali invii è indispensabile presentare una tempestiva denuncia formale alle autorità giudiziarie.
La PEC è protetta da virus e malware? I gestori PEC applicano filtri antivirus e antispam sui server, ma nessun filtro è efficace al 100%. Se un account PEC compromesso ti invia un allegato malevolo (es. finta fattura in formato .exe o .zip), il sistema potrebbe lasciarlo passare poiché proviene da una fonte “certificata”. Controlla sempre l’estensione dei file.
Giornalista e analista, scrive di economia italiana, innovazione e imprese. Appassionato di tecnologia e finanza, racconta il presente e il futuro delle aziende che fanno muovere il Paese.
