Per anni la Posta Elettronica Certificata è stata considerata uno degli strumenti più affidabili per le comunicazioni ufficiali tra cittadini, professionisti, imprese e pubbliche amministrazioni. La sua diffusione ha contribuito a digitalizzare procedure che un tempo richiedevano documenti cartacei, raccomandate e lunghe attese. Oggi, però, proprio quella reputazione costruita nel tempo rischia di trasformarsi in un’arma nelle mani dei cybercriminali.

Negli ultimi giorni è emerso un nuovo schema fraudolento che sfrutta la PEC per diffondere false fatture e tentare di compromettere i computer delle vittime. A lanciare l’allarme è stata l’Agenzia delle Entrate, che ha segnalato una campagna particolarmente sofisticata, progettata per apparire credibile anche agli utenti più prudenti.

L’elemento che rende questa minaccia particolarmente insidiosa è che i messaggi non provengono da indirizzi palesemente falsi o facilmente riconoscibili come sospetti. Al contrario, vengono inviati attraverso caselle certificate autentiche che risultano essere state compromesse da soggetti malintenzionati.

Perché questa truffa è diversa dalle altre

La maggior parte delle campagne di phishing tradizionali si basa sull’invio di e-mail provenienti da mittenti sconosciuti, con errori grammaticali evidenti o richieste improbabili. In questo caso, invece, il meccanismo sfrutta un fattore psicologico molto più potente: la fiducia.

Quando un messaggio arriva tramite PEC, il destinatario tende naturalmente ad abbassare il livello di guardia. Si tratta infatti di uno strumento associato a comunicazioni ufficiali, notifiche amministrative, documenti fiscali e rapporti professionali.

I criminali informatici hanno compreso perfettamente questo comportamento e stanno sfruttando account certificati violati per inviare contenuti apparentemente legittimi. Il risultato è che la vittima è più propensa ad aprire allegati o a seguire istruzioni senza effettuare le necessarie verifiche preventive.

In altre parole, il bersaglio principale non è il computer, ma il meccanismo di fiducia che accompagna l’utilizzo della posta certificata.

Il funzionamento dell’attacco

L’operazione segue una sequenza studiata nei minimi dettagli.

All’interno del messaggio è presente un archivio compresso che sembra contenere una normale documentazione amministrativa. Una volta aperto, l’utente trova un file in formato HTML che, a prima vista, appare innocuo.

La particolarità emerge nel momento in cui il documento viene eseguito su un sistema Windows. In quel caso compare un pulsante che invita a scaricare la presunta fattura allegata. Su altri sistemi operativi, invece, viene visualizzato un messaggio di errore o comunque il meccanismo non produce gli stessi effetti.

Questo dettaglio evidenzia come l’azione sia stata progettata in maniera selettiva, concentrandosi esclusivamente sui dispositivi Windows, ancora oggi i più diffusi in ambito professionale e aziendale.

L’utente, convinto di dover visualizzare un documento fiscale, viene quindi indotto a cliccare sul pulsante presente nella pagina. Solo passando il cursore del mouse è possibile accorgersi della presenza di un collegamento nascosto.

Il click conduce verso una piattaforma controllata dagli aggressori che avvia il download di componenti malevoli. In alcuni casi vengono eseguiti script PowerShell, strumenti normalmente utilizzati dagli amministratori di sistema ma che, se sfruttati impropriamente, possono consentire l’installazione di software dannosi e compromettere il funzionamento del dispositivo.

Un fenomeno che cresce insieme alla digitalizzazione

L’episodio rappresenta un segnale importante in una fase storica caratterizzata da una crescente dipendenza dagli strumenti digitali.

Professionisti, imprese e amministrazioni pubbliche utilizzano la PEC quotidianamente per scambi documentali, notifiche e comunicazioni ufficiali. Questo rende il canale particolarmente appetibile per chi cerca nuove modalità per diffondere malware o sottrarre informazioni sensibili.

La trasformazione digitale ha senza dubbio migliorato efficienza e rapidità dei processi, ma ha anche ampliato la superficie di attacco a disposizione della criminalità informatica.

Le tecniche utilizzate oggi non puntano più soltanto a sfruttare vulnerabilità tecnologiche. Sempre più spesso vengono studiate per colpire il comportamento umano, facendo leva su abitudini consolidate, automatismi e percezioni di sicurezza.

È proprio questo l’aspetto che rende le campagne moderne così efficaci: la tecnologia viene utilizzata per manipolare la fiducia dell’utente.

Le precauzioni da adottare

Di fronte a minacce di questo tipo, la prudenza resta il primo strumento di difesa.

Gli esperti raccomandano innanzitutto di diffidare delle fatture inattese o di documenti ricevuti senza un contesto chiaro. Anche quando il mittente appare affidabile, è opportuno verificare con attenzione la natura del messaggio prima di aprire allegati o seguire collegamenti.

Particolare cautela dovrebbe essere riservata ai file compressi e ai documenti che richiedono ulteriori download per essere consultati. Una fattura autentica, nella maggior parte dei casi, può essere visualizzata direttamente senza passaggi intermedi.

È inoltre consigliabile eliminare immediatamente le comunicazioni sospette e non interagire con pulsanti o link contenuti nei documenti ricevuti.

Quando emergono dubbi sulla legittimità di una comunicazione, la scelta più sicura consiste nel contattare direttamente il soggetto che avrebbe inviato il documento, utilizzando canali indipendenti rispetto a quelli presenti nel messaggio.

La sicurezza passa dalla verifica

La nuova campagna individuata dimostra come la sicurezza informatica non possa più basarsi esclusivamente sulla fiducia riposta in uno strumento o in un canale di comunicazione.

Anche sistemi considerati affidabili possono diventare veicoli di attacco quando finiscono nelle mani sbagliate. Per questo motivo la verifica preventiva deve diventare un’abitudine quotidiana, soprattutto in un contesto nel quale le tecniche di inganno sono sempre più sofisticate.

La regola fondamentale rimane semplice: fermarsi qualche secondo prima di cliccare. In un ecosistema digitale dove le truffe diventano sempre più credibili, spesso è proprio quel breve momento di attenzione a fare la differenza tra una normale comunicazione e un incidente informatico dalle conseguenze potenzialmente molto serie.