Ricevere una comunicazione via Posta Elettronica Certificata (PEC) conferisce solitamente un senso di ufficialità, ma non è un certificato di immunità totale. Sebbene la PEC garantisca l’integrità del messaggio e l’identità del mittente, è possibile che account legittimi vengano compromessi o che malintenzionati utilizzino caselle PEC create ad hoc per finalità di phishing o truffe.
In sintesi
- Verifica il certificato: Controlla la firma digitale e i dati del gestore nei dettagli del messaggio.
- Analizza l’indirizzo: Verifica che il dominio del mittente corrisponda all’ente o all’azienda dichiarata.
- Attenzione agli allegati: Anche in una PEC, file .zip o .exe sospetti possono contenere malware.
- Consultazione Pubblica: Usa i registri ufficiali (INI-PEC o IPA) per verificare se quell’indirizzo appartiene realmente al professionista o alla PA.
Il rischio: quando la PEC diventa un’arma impropria
Il rischio principale legato a una PEC non attendibile è il cosiddetto PEC-to-PEC Phishing. Poiché la PEC ha valore legale ed è percepita come sicura, l’utente tende ad abbassare la guardia. Un hacker potrebbe:
- Compromettere un account PEC esistente per inviare comunicazioni malevole a contatti fidati.
- Aprire una PEC con dati rubati per fingersi un ente ufficiale o un avvocato.
Come riconoscere una PEC non attendibile
Nonostante la “busta di trasporto” certificata, alcuni segnali devono insospettire:
- Anomalie nel mittente: L’indirizzo sembra ufficiale ma presenta errori di battitura o domini generici non istituzionali.
- Contenuto generico o urgente: Messaggi che sollecitano pagamenti immediati o minacciano sanzioni gravi, spesso con un linguaggio burocratico impreciso.
- Allegati sospetti: File con estensioni insolite o archivi protetti da password (spesso usati per nascondere virus ai filtri dei gestori).
- Firma digitale assente: Una PEC istituzionale o professionale seria dovrebbe contenere la firma digitale del documento allegato (estensione .p7m).
Cosa fare subito
Se hai dubbi sull’attendibilità di un messaggio ricevuto:
- Non cliccare su link e non scaricare allegati.
- Verifica il mittente sui registri ufficiali: Consulta l’indice INI-PEC (per professionisti e imprese) o l’IPA (Indice della Pubblica Amministrazione).
- Controlla la “Busta di trasporto”: Verifica i dati del Gestore di Posta Certificata del mittente nei dettagli dell’intestazione (header).
- Contatta il mittente per altra via: Chiama l’azienda o l’ente usando un numero reperito dal loro sito ufficiale, non quello indicato nella mail.
Cosa evitare
- Non rispondere alla mail: Se la casella è in mano a truffatori, confermeresti solo che il tuo account è attivo e monitorato.
- Non inserire credenziali: Non inserire mai password o dati bancari in portali raggiunti tramite link presenti nella PEC.
- Non inoltrare il messaggio: Evita di diffondere potenziali malware ad altri colleghi o contatti.
Come proteggersi in futuro
- Configura correttamente il client: Usa client di posta che mostrino chiaramente i dettagli dei certificati.
- Formazione: Ricorda che la PEC certifica la trasmissione, non necessariamente la buona fede del contenuto testuale inserito dal mittente.
- Antivirus aggiornato: Un buon software di sicurezza scansiona gli allegati anche all’interno delle buste PEC.
Casi particolari: PEC da soggetti privati
Un cittadino privato può possedere una PEC. In questo caso, non sarà presente nei registri INI-PEC. Se ricevi una PEC da un privato che non conosci riguardante transazioni economiche o questioni legali, la prudenza deve essere massima.
FAQ
Una PEC può contenere virus? Sì. Anche se i gestori effettuano scansioni, nuovi malware o file protetti da password possono bypassare i controlli iniziali.
Come verifico se l’indirizzo appartiene a un avvocato o un’azienda? Puoi utilizzare il portale pubblico www.inipec.gov.it, inserendo il codice fiscale o la denominazione del soggetto.
Cosa significa se la “Busta di trasporto” è “Anomala”? Significa che il messaggio ha fallito alcuni controlli di integrità o sicurezza previsti dallo standard PEC. In questo caso, il messaggio non ha valore legale e non è attendibile.
Giornalista e analista, scrive di economia italiana, innovazione e imprese. Appassionato di tecnologia e finanza, racconta il presente e il futuro delle aziende che fanno muovere il Paese.
