La PEC e' quella cosa che usiamo tutti per mandare raccomandate digitali. Ha valore legale, e' obbligatoria per professionisti e aziende, e soprattutto — cosi' dicono tutti — e' sicura.
Spoiler: non e' cosi'.
La sicurezza PEC e' uno dei falsi miti piu' pericolosi nel mondo della cybersecurity italiana. E proprio perche' e' un mito cosi' diffuso, diventa una porta d'ingresso perfetta per gli attaccanti.
La Posta Elettronica Certificata certifica una cosa sola: che il messaggio e' stato consegnato. Punto.
Non certifica che il mittente e' chi dice di essere. Non certifica che il contenuto e' sicuro. Non certifica che l'allegato non sia un ransomware.
E' come la raccomandata con ricevuta di ritorno: sai che e' arrivata, ma non sai se dentro c'era davvero quello che ti aspettavi.
I provider PEC in Italia (come Aruba, Register, Legalmail) offrono filtri antivirus di base. Ma "di base" vuol dire che bloccano le minacce note, quelle gia' catalogate. Le minacce nuove, quelle zero-day, quelle costruite apposta per i target italiani? Le lasciano passare.
Pensa a come tratti una email PEC quando arriva nella tua casella.
La leggi con attenzione. La prendi sul serio. Probabilmente apri l'allegato senza troppi dubbi, perche' "e' una PEC, dovra' essere importante".
Gli attaccanti lo sanno benissimo. Ed e' esattamente per questo che la PEC e' diventata uno dei vettori di attacco piu' efficaci in Italia.
Quando abbassi la guardia, diventi vulnerabile. E con la PEC, le persone abbassano la guardia sempre.
Non stiamo parlando di scenari teorici. Questi attacchi sono gia' avvenuti.
Una delle campagne piu' comuni simula comunicazioni ufficiali dell'Agenzia delle Entrate via PEC. L'email arriva con oggetto urgente — "Notifica di accertamento fiscale" — e un allegato PDF che in realta' e' un file malevolo.
L'utente apre l'allegato perche' e' una PEC, perche' sembra ufficiale. Risultato: il sistema viene compromesso in pochi secondi.
Altro classico: email PEC apparentemente da un tribunale italiano, con intimazioni di pagamento o citazioni a comparire. L'allegato contiene malware o rimanda a pagine di phishing dove vengono rubate credenziali bancarie.
Chi riceverebbe una lettera dal tribunale senza aprirla subito? Nessuno. E gli attaccanti lo sfruttano.
Il BEC non colpisce solo le email ordinarie. Anche le caselle PEC vengono compromesse e usate per inviare richieste fraudolente di bonifici. Quando arriva una richiesta da una PEC aziendale reale — non falsificata, ma proprio da quella casella — e' quasi impossibile distinguerla da una comunicazione legittima.
Ci sono tre scenari principali.
L'attaccante invia un'email che finge di essere il provider PEC. Il messaggio dice che la casella e' bloccata, che c'e' un problema con il rinnovo, che bisogna verificare le credenziali.
L'utente clicca, inserisce user e password su un sito falso, e da quel momento le credenziali sono in mano all'attaccante.
Le PEC che ricevi possono contenere allegati infetti. Word con macro, PDF con exploit, file ZIP con eseguibili nascosti. I filtri base dei provider PEC non rilevano le varianti nuove.
Se le credenziali vengono rubate (via phishing o data breach), l'attaccante ha accesso completo alla casella PEC. Puo' leggere tutte le comunicazioni legali, rispondere fingendosi te, inviare richieste fraudolente a clienti e partner.
I provider PEC rispettano la normativa AgID. Ma non offrono:
Non e' colpa loro: il mandato dei provider PEC e' la certificazione, non la sicurezza avanzata. Ma la sicurezza PEC devi costruirtela tu.
Hai configurato DMARC e SPF? Ottimo, e' il primo passo.
Ma anche con DMARC a p=reject, un attaccante puo':
Per verificare come stai messo, usa il nostro strumento gratuito di verifica DNS.
La buona notizia: la soluzione esiste e non e' complicata.
Non sei sicuro di quanto sei esposto? Fai il nostro quiz sulla sicurezza email — ci vogliono 5 minuti.
MailSniper tratta la PEC come qualsiasi altra casella email: con la massima attenzione.
Tutto il traffico PEC in ingresso passa attraverso l'analisi avanzata prima di arrivare nella tua casella ufficiale:
Tieni la PEC per la certificazione legale e aggiungi il livello di sicurezza che i provider PEC non ti danno.
Rispondi a queste domande. Se dici "no" a piu' di due, hai un problema:
Se hai risposto "no" a tre o piu' domande, la tua casella PEC e' un bersaglio facile. La buona notizia e' che puoi sistemare tutto in una giornata. Inizia dal quiz di sicurezza per capire dove sei piu' esposto.
C'e' un aspetto che va oltre la tecnologia, ed e' il piu' pericoloso.
La PEC gode di una reputazione di strumento ufficiale e affidabile. Questa reputazione e' meritata per la certificazione della consegna. Ma le persone estendono questa fiducia anche al contenuto — e qui sta il problema.
"E' arrivato via PEC, quindi e' autentico." Questo pensiero e' sbagliato, e gli attaccanti lo sfruttano consapevolmente.
La PEC e' pec sicura come strumento legale. Non e' uno scudo di sicurezza informatica. Trattala con lo stesso livello di attenzione di qualsiasi altra email.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoUna nuova campagna di attacco sfrutta OAuth per rubare token di accesso a Microsoft 365, bypassando completamente l'autenticazione a più fattori. Ecco l'analisi tecnica completa con indicatori MITRE ATT&CK e mitigazioni prioritarie.
LeggiTA446 (SEABORGIUM/ColdRiver) sta sfruttando DarkSword per prendere di mira iPhone aziendali via phishing email. Ecco cosa fare lato server di posta e MDM per non ritrovarti a fare incident response il venerdì sera.
LeggiPer anni 'ho un iPhone' è sembrata una risposta sufficiente a qualsiasi preoccupazione sulla sicurezza. Poi è arrivato DarkSword — e quella certezza ha cominciato a scricchiolare.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.