La PEC Non e' una Cassaforte. E' Ora di Saperlo.
Quante volte hai sentito dire "la PEC e' sicura, ha valore legale"? E' vero: la Posta Elettronica Certificata garantisce l'invio e la ricezione dei messaggi con valore equivalente a una raccomandata. Ma c'e' un malinteso pericoloso che circola tra le aziende italiane.
La PEC certifica la consegna. Non certifica che il contenuto sia sicuro.
Pensaci cosi': una raccomandata A/R ti garantisce che la lettera e' arrivata. Ma se dentro la busta c'e' una truffa? La raccomandata non ti protegge dal contenuto. Con la PEC funziona allo stesso modo.
E i criminali informatici lo sanno benissimo.
Perche' la PEC e' un Bersaglio Perfetto
La PEC ha una caratteristica che la rende particolarmente appetibile per gli attaccanti: la fiducia cieca.
Quando ricevi un messaggio sulla tua casella PEC, tendi a fidarti automaticamente. "E' arrivato via PEC, quindi e' legittimo." Questo riflesso e' esattamente cio' che sfruttano i truffatori.
Ecco i tre motivi per cui la PEC e' nel mirino:
1. Gli indirizzi PEC sono pubblici
Il tuo indirizzo PEC aziendale e' registrato nell'indice INI-PEC, nel Registro Imprese, nell'indice PA. Chiunque puo' trovarlo in pochi secondi. Non serve nessuna ricerca complessa. Basta una visura camerale.
2. La PEC non filtra i contenuti
I provider PEC (Aruba, Legalmail, InfoCert, Postecert) garantiscono l'integrita' del trasporto. Ma la maggior parte non offre filtri antispam avanzati, sandboxing degli allegati o analisi dei link come farebbe un gateway email professionale.
3. Gli utenti abbassano la guardia
"E' PEC, sara' importante." Questa mentalita' porta ad aprire allegati e cliccare link senza le precauzioni che si userebbero per un'email normale.
Attacchi Reali: Come Colpiscono la Tua PEC
Non parliamo di scenari teorici. Questi attacchi avvengono ogni giorno in Italia.
La Finta Agenzia delle Entrate
Ricevi una PEC dall'indirizzo notifica.acc@pec.agenziaentrate.it. Oggetto: "Avviso di accertamento — Irregolarita' dichiarazione dei redditi anno 2024". In allegato un PDF con il logo dell'Agenzia, perfettamente formattato.
Il PDF ti chiede di "verificare la tua posizione" cliccando un link. Quel link porta a una pagina che replica il sito dell'Agenzia e ti chiede le credenziali SPID o i dati bancari.
Variante ancora piu' pericolosa: l'allegato non e' un PDF ma un file .p7m (formato firma digitale). Aprendolo, esegui un malware che si installa silenziosamente.
Il trucco? L'indirizzo mittente e' falso. I protocolli PEC verificano il trasporto, ma il campo "Da:" puo' essere manipolato con tecniche di spoofing. Senza un controllo SPF/DKIM/DMARC lato destinatario, il messaggio arriva e sembra autentico.
Il Malware nelle Fatture Elettroniche
Un classico italiano. Arriva una PEC con oggetto "Fattura elettronica n. FE-2026-0482". L'allegato e' un file XML.p7m — il formato standard delle fatture elettroniche. Tutto sembra regolare.
Ma dentro il file c'e' codice malevolo. Oppure l'XML contiene un link a un file esterno che scarica il payload. Una volta aperto, il ransomware cripta i tuoi file e chiede un riscatto.
Questo attacco e' particolarmente efficace perche' le aziende italiane ricevono decine di fatture elettroniche via PEC ogni settimana. E' routine. Nessuno si insospettisce per l'ennesima fattura.
Il Finto Ordine degli Avvocati o dei Commercialisti
Se sei un professionista iscritto a un ordine, la tua PEC e' nell'elenco pubblico. Gli attaccanti inviano PEC che sembrano provenire dall'Ordine professionale con "comunicazioni urgenti" — aggiornamenti normativi, scadenze imminenti, richieste di aggiornamento dati.
L'allegato contiene un trojan che ruba credenziali bancarie e di accesso ai portali professionali.
La Truffa dell'Ente Previdenziale
PEC apparentemente dall'INPS o dalla Cassa previdenziale di categoria. Oggetto: "Anomalia contributiva — azione richiesta entro 5 giorni". L'urgenza e il timore di sanzioni spingono ad agire senza verificare.
Come MailSniper Protegge la Tua PEC
MailSniper si integra con la tua casella PEC come un gateway di protezione aggiuntivo. Non sostituisce il provider PEC — lavora insieme a lui, aggiungendo i livelli di sicurezza che mancano.
Analisi degli Allegati in Sandbox
Ogni allegato ricevuto via PEC — PDF, XML, P7M, ZIP — viene aperto in un ambiente isolato (sandbox). Se il file tenta di eseguire codice, scaricare payload esterni o modificare il sistema, viene bloccato prima di arrivare nella tua casella.
Questo e' fondamentale per le fatture elettroniche: MailSniper analizza i file XML e P7M senza rischi per il tuo sistema.
Verifica dell'Identita' del Mittente
Anche se la PEC "certifica" il mittente, MailSniper verifica con controlli indipendenti: SPF, DKIM, DMARC. Se l'indirizzo mittente e' stato falsificato — come nel caso della finta Agenzia delle Entrate — il messaggio viene segnalato o bloccato.
Puoi verificare subito la configurazione del tuo dominio PEC con il nostro strumento di verifica DNS.
Protezione Anti-Phishing Avanzata
I link contenuti nelle PEC vengono analizzati in tempo reale. Se un link punta a un sito di phishing — anche se registrato pochi minuti prima — MailSniper lo rileva e lo blocca. Niente piu' "clicca qui per verificare la tua posizione" che porta a pagine truffa.
Filtro Anti-Ransomware
Allegati eseguibili, macro Office, script nascosti in archivi compressi: tutto viene intercettato dal filtro anti-ransomware prima che raggiunga il tuo PC. Anche i file con doppia estensione (fattura.pdf.exe) vengono bloccati automaticamente.
Provider PEC Compatibili
MailSniper funziona con tutti i principali provider PEC italiani. Non serve cambiare provider o migrare le caselle. Si configura in 15 minuti modificando i record DNS.
| Provider | Compatibilita' | Note |
|---|
| Aruba PEC | Completa | Il piu' diffuso in Italia. Integrazione testata e documentata |
| Legalmail (InfoCert) | Completa | Usato da professionisti e PA. Pieno supporto |
| InfoCert | Completa | Gruppo leader nella certificazione digitale |
| Register.it | Completa | PEC inclusa nei piani hosting |
| Postecert (Poste Italiane) | Completa | Diffuso nella Pubblica Amministrazione |
| Namirial | Completa | Provider certificato AgID |
L'integrazione non richiede modifiche al contratto PEC ne' interventi da parte del provider. Tutto avviene a livello DNS, come per la posta elettronica tradizionale.
PEC e NIS2: Un Obbligo in Piu'
Con l'entrata in vigore della NIS2 (D.Lgs. 138/2024), le aziende che rientrano nel perimetro della direttiva devono proteggere tutti i canali di comunicazione email — PEC inclusa.
L'Articolo 21 richiede misure di sicurezza proporzionate al rischio. Se usi la PEC per comunicazioni con fornitori, clienti, PA e enti regolatori, quella casella e' un asset critico. Lasciarla senza protezione avanzata e' una non-conformita'.
Le sanzioni? Fino a 10 milioni di euro o il 2% del fatturato per i soggetti essenziali. Non vale la pena rischiare.
Approfondisci con la nostra checklist NIS2 per la sicurezza email.
5 Regole per Proteggere la PEC Oggi
Anche prima di attivare MailSniper, puoi ridurre il rischio con queste pratiche:
1. Non fidarti del campo "Da:"
Il mittente PEC puo' essere falsificato. Verifica sempre il dominio reale controllando gli header del messaggio. Se non sai come farlo, usa il nostro analizzatore header.
2. Non aprire allegati inattesi
Una fattura che non aspetti? Un avviso da un ente con cui non hai rapporti? Prima di aprire, chiama il mittente su un numero che conosci gia' — non quello scritto nella PEC.
3. Controlla i link prima di cliccare
Passa il mouse sul link senza cliccare. Se l'URL non corrisponde al sito ufficiale dell'ente, non cliccare. Mai.
4. Aggiorna il client PEC
Che tu usi il webmail del provider o un client come Outlook/Thunderbird, tienilo aggiornato. Le vulnerabilita' nei client email sono una porta d'ingresso per il malware.
5. Attiva un gateway di protezione
La PEC senza filtro antispam avanzato e' come una porta blindata con la chiave sotto lo zerbino. MailSniper aggiunge i livelli di sicurezza che il tuo provider PEC non offre.
I Numeri degli Attacchi PEC in Italia
I dati parlano chiaro. Secondo il rapporto CERT-AgID 2025, le campagne malevole via PEC in Italia sono cresciute del 37% rispetto all'anno precedente. Non e' un caso.
- 4.200+ campagne di phishing hanno usato la PEC come vettore nel 2025
- Il 63% delle PMI colpite da ransomware ha ricevuto il payload iniziale via PEC
- Il tempo medio di risposta a un attacco via PEC e' di 78 ore — troppo tardi per limitare i danni
- Il 41% delle vittime ha dichiarato di aver aperto l'allegato "perche' era PEC e sembrava ufficiale"
L'Agenzia delle Entrate resta il mittente piu' imitato, seguita dall'INPS, dalle Camere di Commercio e dagli Ordini professionali. Ma la tendenza piu' recente e' l'impersonazione di studi legali e commercialisti — mittenti che la vittima conosce personalmente.
Il problema di fondo? La PEC nasce per garantire la consegna, non per filtrare il contenuto. E' un sistema di trasporto, non un sistema di sicurezza. Trattarla come se fosse entrambe le cose e' l'errore che costa piu' caro alle aziende italiane.
Case Study: Lo Studio Commercialista di Milano
Per capire l'impatto reale, prendiamo un caso concreto. Uno studio commercialista milanese con 12 dipendenti riceve circa 80 PEC al giorno — fatture, comunicazioni dall'Agenzia delle Entrate, notifiche dall'Ordine, email dai clienti.
Un martedi' mattina arriva una PEC apparentemente dall'Agenzia delle Entrate. Oggetto: "Comunicazione di irregolarita' — codice atto 2026-TRB-0847". L'allegato e' un file PDF con il logo corretto, il formato giusto, il linguaggio burocratico perfetto.
La segretaria apre il PDF. Dentro c'e' un link "per visualizzare il dettaglio dell'irregolarita'". Clicca. La pagina chiede le credenziali del cassetto fiscale. Le inserisce.
Risultato: accesso completo ai dati fiscali di 340 clienti dello studio. Dati sensibili esposti. Obbligo di notifica al Garante Privacy entro 72 ore. Costi legali, reputazionali e operativi stimati in oltre 85.000 euro.
Con un gateway email come MailSniper, quel PDF sarebbe stato analizzato in sandbox. Il link sarebbe stato verificato in tempo reale. La pagina di phishing sarebbe stata bloccata. Costo della protezione per 12 caselle PEC? Meno di 18 euro al mese.
Proteggi la Tua PEC in 15 Minuti
La PEC e' uno strumento fondamentale per le aziende italiane. Ma il suo valore legale non la rende immune da phishing, malware e truffe. Anzi: la fiducia che riponiamo nella PEC la rende un bersaglio ancora piu' attraente.
MailSniper si integra con la tua PEC senza sostituirla, aggiungendo sandbox, analisi AI, verifica mittente e filtro anti-ransomware. Tutto in 15 minuti, senza cambiare provider.
Attiva la prova gratuita — 30 giorni, zero rischi. Oppure scopri la protezione PEC completa per tutti i dettagli tecnici.