Ricevere una PEC non significa poter abbassare la guardia. Se un messaggio chiede dati, invita a cliccare link o allega file inattesi, trattalo come sospetto e verifica sempre il mittente prima di fare qualsiasi azione.
Negli ultimi mesi, infatti, le caselle di Posta Elettronica Certificata sono diventate un canale sempre più interessante anche per i cybercriminali. La ragione è semplice: la PEC viene percepita come affidabile, quindi un messaggio malevolo ha più probabilità di essere aperto, letto con attenzione e persino seguito senza i controlli che normalmente si farebbero con una email comune.
Phishing e spam via PEC: perché il rischio sta crescendo
Il problema non riguarda solo i privati, ma anche professionisti, aziende e studi che usano la PEC per comunicazioni formali, notifiche e pratiche amministrative. Proprio questa abitudine la rende un obiettivo appetibile per campagne di phishing e spam costruite per sembrare credibili.
Le minacce possono arrivare in modi diversi. In alcuni casi il messaggio parte da caselle legittime compromesse; in altri, l’indirizzo è stato creato apposta per attività fraudolente. Il contenuto può assumere la forma di una richiesta urgente di dati, di un avviso da leggere subito o di una promozione apparentemente innocua. In tutti questi casi, l’obiettivo è spingere l’utente ad agire senza riflettere.
Un aspetto importante è che la certificazione della PEC riguarda il canale di consegna, non l’affidabilità assoluta del contenuto. In altre parole, una comunicazione può essere recapitata correttamente e allo stesso tempo essere malevola o ingannevole.
Come comportarsi se arriva una PEC sospetta
La regola più utile è semplice: non fidarti in automatico solo perché il messaggio arriva da una PEC. Prima di aprire allegati o seguire istruzioni, conviene fermarsi e controllare con attenzione alcuni elementi base.
- Non aprire i link presenti nel messaggio se non sei certo della loro origine.
- Non scaricare né aprire allegati inattesi o poco chiari.
- Controlla il mittente e verifica se il dominio e l’indirizzo corrispondono davvero al soggetto che dice di scrivere.
- Diffida delle urgenze e delle richieste che chiedono dati personali, credenziali o pagamenti immediati.
- Segnala l’abuso al gestore PEC di riferimento se il messaggio appare sospetto.
- Invia una segnalazione a CERT-AGID all’indirizzo dedicato per gli abusi e le attività malevole.
Questi controlli richiedono pochi minuti, ma possono evitare furti di credenziali, infezioni del dispositivo e accessi non autorizzati a servizi collegati alla tua identità digitale.
Perché i truffatori usano la PEC
La PEC è uno strumento molto utile perché offre un valore legale alle comunicazioni e permette di dimostrare invio e consegna. Proprio per questo, quando un messaggio arriva da questo canale, molte persone tendono a considerarlo più affidabile di una email normale.
I criminali sfruttano questa fiducia in due modi principali. Il primo è compromettere una casella reale e usarla per diffondere messaggi dannosi a contatti fidati. Il secondo è registrare caselle con nomi o riferimenti che imitano soggetti noti, così da confondere il destinatario e aumentare le possibilità che il contenuto venga aperto.
In entrambi i casi, la strategia punta a ridurre la diffidenza dell’utente. È per questo che il controllo del contenuto è più importante della sola provenienza apparente.
Segnali che devono far scattare l’allarme
Alcuni indizi ricorrono spesso nei tentativi di phishing via PEC. Riconoscerli aiuta a reagire prima di cadere nella trappola.
- Richieste insolite di dati personali o di credenziali di accesso.
- Toni allarmistici che spingono a intervenire subito.
- Link abbreviati o poco chiari che non mostrano con precisione la destinazione.
- Allegati non attesi o con nomi generici.
- Errori di forma, impaginazione o linguaggio che non sono coerenti con il mittente dichiarato.
- Inviti a confermare informazioni sensibili tramite moduli o pagine esterne.
Se uno o più di questi segnali sono presenti, è opportuno sospendere ogni azione e fare una verifica indipendente attraverso i canali ufficiali del presunto mittente.
Cosa cambia per aziende, professionisti e privati
Per chi usa la PEC in modo regolare, la prudenza deve diventare una pratica abituale. Aziende e studi professionali dovrebbero formare il personale sul rischio di phishing e definire procedure chiare per l’apertura dei messaggi, soprattutto quando contengono allegati o richieste inattese.
Anche i privati devono considerare la PEC come un canale da proteggere con la stessa attenzione riservata alla posta tradizionale, se non di più. Una casella compromessa può esporre documenti, comunicazioni sensibili e dati utili per ulteriori tentativi di truffa.
Una buona abitudine è quella di verificare sempre le comunicazioni importanti anche da un secondo canale, soprattutto quando arrivano richieste di pagamento, variazioni contrattuali o urgenze amministrative.
Buone pratiche quotidiane per ridurre i rischi
Per diminuire la probabilità di cadere in una truffa, è utile adottare comportamenti costanti e semplici.
- Usa password robuste e uniche per la casella PEC.
- Attiva l’autenticazione a più fattori se il gestore la supporta.
- Aggiorna regolarmente dispositivi e software per ridurre le vulnerabilità.
- Controlla periodicamente i messaggi inviati se sospetti un accesso non autorizzato.
- Conserva i riferimenti ufficiali dei soggetti con cui comunichi più spesso.
- Forma i collaboratori affinché sappiano riconoscere i segnali di un tentativo di phishing.
La combinazione di attenzione umana e misure tecniche resta la difesa più efficace. Nessun sistema di posta è sicuro al 100% se chi lo usa non verifica con attenzione ciò che riceve.
Technical Deep Dive
Dal punto di vista tecnico, la PEC garantisce integrità e tracciabilità della trasmissione, ma non autentica in modo assoluto l’intento del mittente né la bontà del contenuto. Un messaggio può essere consegnato correttamente attraverso l’infrastruttura certificata e contenere comunque URL malevoli, allegati infetti o istruzioni di social engineering.
Gli attacchi più comuni sfruttano la fiducia nel canale e spesso combinano più tecniche. Tra queste ci sono il compromesso di caselle legittime, l’uso di domini visivamente simili a quelli reali, la creazione di campi visualizzati ingannevoli e il reindirizzamento verso pagine di raccolta credenziali. In molti casi, la pagina di destinazione replica graficamente servizi noti per ottenere username, password o altri dati sensibili.
Per le organizzazioni, è utile applicare controlli aggiuntivi come filtraggio degli allegati, analisi degli URL, regole anti-spoofing, monitoraggio delle anomalie nelle caselle e procedure di incident response dedicate alla posta certificata. Nei contesti più esposti, la segmentazione degli account e la revisione periodica dei permessi riducono l’impatto di un eventuale compromesso.
Un ulteriore livello di difesa consiste nel verificare la coerenza tra contenuto, dominio e contesto operativo. Se una richiesta non corrisponde ai flussi abituali, il canale PEC non basta a validarla. La verifica out-of-band, cioè tramite un contatto alternativo già noto e affidabile, resta una delle contromisure più efficaci contro il phishing mirato.
Fonte: https://www.punto-informatico.it/pec-phishing-spam-aumento/
