Phishing via PEC: la nuova frontiera delle truffe sulle finte fatture elettroniche
Negli ultimi anni, la posta elettronica certificata (PEC) si è affermata come strumento fondamentale per le comunicazioni ufficiali in Italia, grazie al suo valore legale e alla diffusione presso aziende, enti pubblici e professionisti. Tuttavia, proprio questo status di “massima sicurezza” ha attirato l’attenzione dei cybercriminali: le campagne di phishing via PEC, incentrate sulle finte fatture elettroniche, sono ormai una realtà con la quale tutti devono confrontarsi.
Che cos’è il phishing via PEC e perché è così insidioso
Il phishing è una forma di attacco informatico basata sull’inganno, con cui i criminali cercano di sottrarre informazioni sensibili (come password, dati bancari o altri dati riservati) convincendo la vittima a compiere azioni rischiose. Fino a pochi anni fa, la PEC sembrava immune da questi rischi. Oggi, invece, anche la PEC è usata come vettore privilegiato per truffe sempre più sofisticate e difficili da riconoscere.
Le ultime campagne sfruttano la fiducia nella PEC e nella fatturazione elettronica, imitando perfettamente le comunicazioni ufficiali del Sistema di Interscambio (SdI) dell’Agenzia delle Entrate. Le email fraudolente presentano spesso oggetti come “Invio File ”—dove le X rappresentano una stringa numerica casuale—e simulano l’invio di allegati apparentemente firmati digitalmente (“ITYYYYYYYYYY_1bxpz.XML.p7m”), che però non sono realmente presenti in allegato. In altri casi, il messaggio invita a consultare o scaricare la fattura tramite un link malevolo.
Il risultato? La vittima, convinta di essere nel giusto, rischia di fornire dati riservati o di essere infettata da malware.
I bersagli principali: aziende, PA e professionisti
I criminali informatici puntano soprattutto a:
- Pubbliche Amministrazioni
- Aziende private di qualsiasi settore
- Ordini professionali
L’obiettivo è sfruttare la routine amministrativa delle fatture elettroniche per portare avanti truffe mirate e ottenere informazioni di valore o installare software malevolo nei sistemi informatici delle vittime.
Come riconoscere una truffa di phishing via PEC
Riconoscere una PEC malevola non è sempre semplice, ma esistono alcuni segnali d’allarme:
- L’oggetto del messaggio è generico e contiene stringhe numeriche casuali.
- Il testo fa riferimento a un presunto nuovo indirizzo PEC per l’invio di fatture.
- Si invitano destinatari a scaricare allegati (che spesso sono assenti) o a cliccare su link sospetti.
- I mittenti sembrano verosimili, perché sfruttano caselle PEC già compromesse o clonate.
- Il linguaggio del messaggio richiama urgenza o azione immediata (“pagamento dovuto”, “aggiornamento dati”, ecc.).
- Possibile presenza di loghi, formattazioni e layout simili a quelli dell’Agenzia delle Entrate.
Inoltre, i criminali utilizzano tecniche di social engineering: ad esempio, clonano comunicazioni ufficiali già inviate dal SdI, oppure impiegano sistemi di tracciamento nascosti nel messaggio per monitorare l’apertura della PEC.
I rischi concreti per le vittime
Le conseguenze di una truffa via PEC possono essere molto gravi per privati, aziende e professionisti:
- Furto di dati personali, fiscali o bancari
- Compromissione della casella PEC usata come ulteriore vettore per inviare nuove campagne di phishing
- Perdita economica, pagamenti indirizzati a IBAN falsi
- Installazione di malware o ransomware nei sistemi informatici
- Danni reputazionali se la casella compromessa viene usata per truffare terzi
Nei casi peggiori, la vittima si ritrova ad aver “pagato” una fattura a un conto sbagliato, rimanendo tuttavia ancora debitore nei confronti del vero fornitore e con il rischio di dover sostenere due volte il pagamento.
Consigli pratici per proteggersi dal phishing via PEC
La prevenzione e la consapevolezza sono le migliori difese contro il phishing. Ecco alcune regole d’oro:
- Controlla SEMPRE il mittente della PEC: verifica che l’indirizzo sia quello ufficiale dell’ente o del fornitore atteso. Non fidarti solo del nome visualizzato.
- Attenzione ai link: non cliccare mai direttamente sui collegamenti presenti nelle email sospette. Passa il mouse sopra il link per vedere la destinazione reale, e, in caso di dubbi, digita l’indirizzo del sito ufficiale direttamente nel browser.
- Diffida delle richieste di nuovi indirizzi PEC o modifiche alle modalità di invio delle fatture: contatta sempre il fornitore o l’ente tramite canali ufficiali (telefonata, email ufficiale reperita autonomamente, ecc.) per confermare ogni variazione.
- Verifica la presenza di allegati: le vere PEC del Sistema di Interscambio (SdI) contengono sempre due allegati e provengono da indirizzi del tipo “sdiNN@pec.fatturapa.it”.
- Non abilitare mai le macro nei documenti Office ricevuti via PEC se non si è certi della legittimità dell’allegato.
- Formazione e sensibilizzazione: se gestisci un’azienda o uno studio, investi nella formazione dei collaboratori. La security awareness è fondamentale.
- Mantieni aggiornati software e antivirus: le patch di sicurezza aiutano a proteggere i sistemi dalle vulnerabilità sfruttate dai malware.
- Utilizza l’autenticazione a due fattori (2FA) per accedere alle piattaforme PEC, così da aggiungere un ulteriore livello di sicurezza.
- Non inserire l’IBAN nelle fatture elettroniche se non strettamente necessario; in alternativa, conferma sempre per via telefonica la correttezza delle coordinate bancarie prima di autorizzare un pagamento.
- Custodisci con attenzione le credenziali di accesso ai sistemi di fatturazione e PEC, evitando di condividerle o salvarle in modo insicuro.
Cosa fare se si sospetta o si subisce un attacco
In caso di sospetto:
- Non aprire allegati o cliccare su link nella PEC sospetta.
- Contatta subito il tuo reparto IT o un esperto di sicurezza informatica.
- Segnala la PEC sospetta alla Polizia Postale e, se coinvolge dati finanziari, al tuo istituto bancario.
- Cambia immediatamente le password della casella PEC e di tutti i servizi associati.
- Avvisa clienti e fornitori con cui sei in contatto tramite PEC, in modo che sappiano che potrebbero ricevere comunicazioni compromesse dal tuo indirizzo.
- Contatta il provider della tua casella PEC per bloccare eventuali accessi anomali e recuperare il controllo dell’account.
Se hai già cliccato su un link o inserito dati sensibili, agisci immediatamente:
- Blocca le carte di credito o i conti correnti coinvolti.
- Avvisa fornitori e clienti di eventuali modifiche sospette comunicate di recente.
- Se hai già effettuato un pagamento su un IBAN segnalato tramite PEC sospetta, contatta la banca per tentare il blocco della transazione e sporgi denuncia.
La sicurezza della PEC: rischi e pregiudizi
Nonostante la PEC sia concepita per garantire autenticità, integrità e valore legale alle comunicazioni digitali, non è immune da truffe. Solo una piccola percentuale delle campagne malevole utilizza la PEC come vettore (circa il 2,3%), ma i danni potenziali sono enormi, proprio per la maggiore fiducia che viene riposta in questo canale.
È fondamentale ricordare che nessuna tecnologia è sicura al 100%: la sicurezza dipende anche dal comportamento consapevole degli utenti.
Strumenti e risorse utili
Per rimanere aggiornati sulle minacce e migliorare la sicurezza, puoi:
- Seguire le comunicazioni ufficiali dell’Agenzia delle Entrate e della Polizia Postale.
- Consultare le pagine dedicate alla sicurezza su siti ufficiali dei provider PEC.
- Iscriverti a newsletter di portali specializzati in cybersecurity per ricevere segnalazioni sulle nuove campagne di phishing.
Il phishing via PEC legato alle finte fatture elettroniche è un fenomeno in crescita che sfrutta sofisticate tecniche di ingegneria sociale e l’autorevolezza della posta certificata. La fiducia nella PEC non deve diventare un punto debole: la prevenzione passa dalla formazione, dall’attenzione e da una buona dose di prudenza digitale. Applicare comportamenti sicuri e restare aggiornati sulle nuove minacce è oggi il modo migliore per proteggere i propri dati, la propria reputazione e le proprie risorse economiche da un pericolo sempre più concreto e diffuso.
