Redazione MailSniper
Autore
Quante volte hai sentito dire "la PEC e' sicura, ha valore legale"? E' vero: la Posta Elettronica Certificata garantisce l'invio e la ricezione dei messaggi con valore equivalente a una raccomandata. Ma c'e' un malinteso pericoloso che circola tra le aziende italiane.
La PEC certifica la consegna. Non certifica che il contenuto sia sicuro.
Pensaci cosi': una raccomandata A/R ti garantisce che la lettera e' arrivata. Ma se dentro la busta c'e' una truffa? La raccomandata non ti protegge dal contenuto. Con la PEC funziona allo stesso modo.
E i criminali informatici lo sanno benissimo.
La PEC ha una caratteristica che la rende particolarmente appetibile per gli attaccanti: la fiducia cieca.
Quando ricevi un messaggio sulla tua casella PEC, tendi a fidarti automaticamente. "E' arrivato via PEC, quindi e' legittimo." Questo riflesso e' esattamente cio' che sfruttano i truffatori.
Ecco i tre motivi per cui la PEC e' nel mirino:
Il tuo indirizzo PEC aziendale e' registrato nell'indice INI-PEC, nel Registro Imprese, nell'indice PA. Chiunque puo' trovarlo in pochi secondi. Non serve nessuna ricerca complessa. Basta una visura camerale.
I provider PEC (Aruba, Legalmail, InfoCert, Postecert) garantiscono l'integrita' del trasporto. Ma la maggior parte non offre filtri antispam avanzati, sandboxing degli allegati o analisi dei link come farebbe un gateway email professionale.
"E' PEC, sara' importante." Questa mentalita' porta ad aprire allegati e cliccare link senza le precauzioni che si userebbero per un'email normale.
Non parliamo di scenari teorici. Questi attacchi avvengono ogni giorno in Italia.
Ricevi una PEC dall'indirizzo notifica.acc@pec.agenziaentrate.it. Oggetto: "Avviso di accertamento — Irregolarita' dichiarazione dei redditi anno 2024". In allegato un PDF con il logo dell'Agenzia, perfettamente formattato.
Il PDF ti chiede di "verificare la tua posizione" cliccando un link. Quel link porta a una pagina che replica il sito dell'Agenzia e ti chiede le credenziali SPID o i dati bancari.
Variante ancora piu' pericolosa: l'allegato non e' un PDF ma un file .p7m (formato firma digitale). Aprendolo, esegui un malware che si installa silenziosamente.
Il trucco? L'indirizzo mittente e' falso. I protocolli PEC verificano il trasporto, ma il campo "Da:" puo' essere manipolato con tecniche di spoofing. Senza un controllo SPF/DKIM/DMARC lato destinatario, il messaggio arriva e sembra autentico.
Un classico italiano. Arriva una PEC con oggetto "Fattura elettronica n. FE-2026-0482". L'allegato e' un file XML.p7m — il formato standard delle fatture elettroniche. Tutto sembra regolare.
Ma dentro il file c'e' codice malevolo. Oppure l'XML contiene un link a un file esterno che scarica il payload. Una volta aperto, il ransomware cripta i tuoi file e chiede un riscatto.
Questo attacco e' particolarmente efficace perche' le aziende italiane ricevono decine di fatture elettroniche via PEC ogni settimana. E' routine. Nessuno si insospettisce per l'ennesima fattura.
Se sei un professionista iscritto a un ordine, la tua PEC e' nell'elenco pubblico. Gli attaccanti inviano PEC che sembrano provenire dall'Ordine professionale con "comunicazioni urgenti" — aggiornamenti normativi, scadenze imminenti, richieste di aggiornamento dati.
L'allegato contiene un trojan che ruba credenziali bancarie e di accesso ai portali professionali.
PEC apparentemente dall'INPS o dalla Cassa previdenziale di categoria. Oggetto: "Anomalia contributiva — azione richiesta entro 5 giorni". L'urgenza e il timore di sanzioni spingono ad agire senza verificare.
MailSniper si integra con la tua casella PEC come un gateway di protezione aggiuntivo. Non sostituisce il provider PEC — lavora insieme a lui, aggiungendo i livelli di sicurezza che mancano.
Ogni allegato ricevuto via PEC — PDF, XML, P7M, ZIP — viene aperto in un ambiente isolato (sandbox). Se il file tenta di eseguire codice, scaricare payload esterni o modificare il sistema, viene bloccato prima di arrivare nella tua casella.
Questo e' fondamentale per le fatture elettroniche: MailSniper analizza i file XML e P7M senza rischi per il tuo sistema.
Anche se la PEC "certifica" il mittente, MailSniper verifica con controlli indipendenti: SPF, DKIM, DMARC. Se l'indirizzo mittente e' stato falsificato — come nel caso della finta Agenzia delle Entrate — il messaggio viene segnalato o bloccato.
Puoi verificare subito la configurazione del tuo dominio PEC con il nostro strumento di verifica DNS.
I link contenuti nelle PEC vengono analizzati in tempo reale. Se un link punta a un sito di phishing — anche se registrato pochi minuti prima — MailSniper lo rileva e lo blocca. Niente piu' "clicca qui per verificare la tua posizione" che porta a pagine truffa.
Allegati eseguibili, macro Office, script nascosti in archivi compressi: tutto viene intercettato dal filtro anti-ransomware prima che raggiunga il tuo PC. Anche i file con doppia estensione (fattura.pdf.exe) vengono bloccati automaticamente.
MailSniper funziona con tutti i principali provider PEC italiani. Non serve cambiare provider o migrare le caselle. Si configura in 15 minuti modificando i record DNS.
| Provider | Compatibilita' | Note |
|---|---|---|
| Aruba PEC | Completa | Il piu' diffuso in Italia. Integrazione testata e documentata |
| Legalmail (InfoCert) | Completa | Usato da professionisti e PA. Pieno supporto |
| InfoCert | Completa | Gruppo leader nella certificazione digitale |
| Register.it | Completa | PEC inclusa nei piani hosting |
| Postecert (Poste Italiane) | Completa | Diffuso nella Pubblica Amministrazione |
| Namirial | Completa | Provider certificato AgID |
L'integrazione non richiede modifiche al contratto PEC ne' interventi da parte del provider. Tutto avviene a livello DNS, come per la posta elettronica tradizionale.
Con l'entrata in vigore della NIS2 (D.Lgs. 138/2024), le aziende che rientrano nel perimetro della direttiva devono proteggere tutti i canali di comunicazione email — PEC inclusa.
L'Articolo 21 richiede misure di sicurezza proporzionate al rischio. Se usi la PEC per comunicazioni con fornitori, clienti, PA e enti regolatori, quella casella e' un asset critico. Lasciarla senza protezione avanzata e' una non-conformita'.
Le sanzioni? Fino a 10 milioni di euro o il 2% del fatturato per i soggetti essenziali. Non vale la pena rischiare.
Approfondisci con la nostra checklist NIS2 per la sicurezza email.
Anche prima di attivare MailSniper, puoi ridurre il rischio con queste pratiche:
Il mittente PEC puo' essere falsificato. Verifica sempre il dominio reale controllando gli header del messaggio. Se non sai come farlo, usa il nostro analizzatore header.
Una fattura che non aspetti? Un avviso da un ente con cui non hai rapporti? Prima di aprire, chiama il mittente su un numero che conosci gia' — non quello scritto nella PEC.
Passa il mouse sul link senza cliccare. Se l'URL non corrisponde al sito ufficiale dell'ente, non cliccare. Mai.
Che tu usi il webmail del provider o un client come Outlook/Thunderbird, tienilo aggiornato. Le vulnerabilita' nei client email sono una porta d'ingresso per il malware.
La PEC senza filtro antispam avanzato e' come una porta blindata con la chiave sotto lo zerbino. MailSniper aggiunge i livelli di sicurezza che il tuo provider PEC non offre.
I dati parlano chiaro. Secondo il rapporto CERT-AgID 2025, le campagne malevole via PEC in Italia sono cresciute del 37% rispetto all'anno precedente. Non e' un caso.
L'Agenzia delle Entrate resta il mittente piu' imitato, seguita dall'INPS, dalle Camere di Commercio e dagli Ordini professionali. Ma la tendenza piu' recente e' l'impersonazione di studi legali e commercialisti — mittenti che la vittima conosce personalmente.
Il problema di fondo? La PEC nasce per garantire la consegna, non per filtrare il contenuto. E' un sistema di trasporto, non un sistema di sicurezza. Trattarla come se fosse entrambe le cose e' l'errore che costa piu' caro alle aziende italiane.
Per capire l'impatto reale, prendiamo un caso concreto. Uno studio commercialista milanese con 12 dipendenti riceve circa 80 PEC al giorno — fatture, comunicazioni dall'Agenzia delle Entrate, notifiche dall'Ordine, email dai clienti.
Un martedi' mattina arriva una PEC apparentemente dall'Agenzia delle Entrate. Oggetto: "Comunicazione di irregolarita' — codice atto 2026-TRB-0847". L'allegato e' un file PDF con il logo corretto, il formato giusto, il linguaggio burocratico perfetto.
La segretaria apre il PDF. Dentro c'e' un link "per visualizzare il dettaglio dell'irregolarita'". Clicca. La pagina chiede le credenziali del cassetto fiscale. Le inserisce.
Risultato: accesso completo ai dati fiscali di 340 clienti dello studio. Dati sensibili esposti. Obbligo di notifica al Garante Privacy entro 72 ore. Costi legali, reputazionali e operativi stimati in oltre 85.000 euro.
Con un gateway email come MailSniper, quel PDF sarebbe stato analizzato in sandbox. Il link sarebbe stato verificato in tempo reale. La pagina di phishing sarebbe stata bloccata. Costo della protezione per 12 caselle PEC? Meno di 18 euro al mese.
La PEC e' uno strumento fondamentale per le aziende italiane. Ma il suo valore legale non la rende immune da phishing, malware e truffe. Anzi: la fiducia che riponiamo nella PEC la rende un bersaglio ancora piu' attraente.
MailSniper si integra con la tua PEC senza sostituirla, aggiungendo sandbox, analisi AI, verifica mittente e filtro anti-ransomware. Tutto in 15 minuti, senza cambiare provider.
Attiva la prova gratuita — 30 giorni, zero rischi. Oppure scopri la protezione PEC completa per tutti i dettagli tecnici.
Redazione MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoIl GDPR impone obblighi specifici sulla sicurezza delle comunicazioni email. Ecco cosa devono sapere le aziende italiane per essere conformi e protette.
LeggiIl social engineering ha aggirato l'autenticazione a due fattori di Odido, esponendo milioni di clienti. Un caso che insegna alle PMI italiane quanto vale davvero il fattore umano nella sicurezza aziendale.
LeggiRimborsi falsi, cartelle esattoriali urgenti, PEC compromesse: le truffe via email che sfruttano il nome dell'Agenzia delle Entrate sono sempre piu' sofisticate. Ecco i 5 tipi piu' comuni nel 2026, i 7 segnali per riconoscerle e cosa fare per proteggerti.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.