Redazione MailSniper
Autore
C'e' una convinzione diffusissima tra le aziende italiane: "La PEC e' sicura per definizione." Ne parliamo ogni settimana con imprenditori, commercialisti, responsabili IT. E ogni volta la reazione e' la stessa: sorpresa.
No, la PEC non e' sicura per definizione. La PEC certifica la consegna. Punto. Non certifica che il mittente sia chi dice di essere. Non certifica che l'allegato non contenga un ransomware. Non certifica che il link nel messaggio non porti a una pagina di phishing.
Nel 2026 questa illusione di sicurezza e' diventata un'arma. Gli attaccanti lo sanno: quando arriva una PEC, la gente abbassa la guardia. Apre gli allegati senza pensarci. Clicca sui link perche' "e' una PEC, sara' importante." Ed e' esattamente cosi' che vengono fregati.
Quello che segue non sono scenari ipotetici. Sono casi documentati. Successi in Italia. Nel 2026.
Gennaio 2026. Migliaia di caselle PEC italiane ricevono un messaggio dall'aspetto perfetto. Oggetto: "Comunicazione esito controllo fiscale — Rif. 2025/CF/38291". Il mittente sembra un indirizzo PEC dell'Agenzia delle Entrate.
Il messaggio e' scritto in italiano impeccabile. Nessun errore grammaticale. Nessuna formattazione strana. Cita un numero di riferimento credibile e un anno fiscale reale.
In allegato: un file PDF chiamato "Esito_Controllo_2025.pdf". Ma non e' un PDF. E' un file con doppia estensione che, una volta aperto, esegue un downloader. In 8 secondi il malware contatta un server esterno e scarica un payload che si installa in memoria.
Commercialisti, studi legali, PMI con partita IVA. Chiunque abbia una casella PEC e riceva comunicazioni dall'Agenzia delle Entrate — cioe' praticamente tutti.
La campagna ha colpito almeno 12.000 caselle PEC in tre settimane. I filtri base dei provider PEC non l'hanno bloccata perche' il malware era una variante nuova. Non esisteva ancora in nessun database di firme.
Nei casi peggiori: esfiltrazione di documenti fiscali, credenziali bancarie rubate tramite keylogger, accesso remoto persistente ai sistemi. Per almeno 200 studi professionali colpiti, il danno e' stato operativo: sistemi bloccati per giorni, obbligo di notifica al Garante Privacy, clienti da avvisare.
Il costo medio per studio? Tra 15.000 e 40.000 euro. Senza contare la reputazione.
Febbraio 2026. Il responsabile amministrativo di un'azienda manifatturiera brianzola riceve una PEC dal fornitore abituale di materie prime. Tutto normale: stesso indirizzo PEC, stessa firma in calce, stesso stile di comunicazione.
La PEC contiene una fattura in allegato e un messaggio: "In allegato fattura 2026/0147. Nota bene: abbiamo cambiato coordinate bancarie a seguito del passaggio a nuovo istituto. Trovate i nuovi dati in fattura."
L'amministrativo apre la fattura. Sembra autentica. L'IBAN e' diverso dal solito, ma il messaggio spiega il perche'. Paga 47.000 euro.
Due settimane dopo, il vero fornitore chiama per sollecitare il pagamento. La fattura originale non e' mai stata saldata. I 47.000 euro sono finiti su un conto intestato a una societa' fantasma in Romania.
Le credenziali PEC del fornitore erano state rubate un mese prima con una campagna di phishing mirata. L'attaccante aveva accesso completo alla casella PEC: leggeva le comunicazioni, conosceva i clienti, sapeva gli importi delle fatture.
Quando e' arrivato il momento giusto, ha inviato una PEC perfetta — dalla casella reale del fornitore, con una fattura quasi identica a quella vera. L'unica differenza: l'IBAN.
Questo e' un attacco BEC (Business Email Compromise) via PEC. Ed e' devastante perche' la PEC viene dalla casella legittima. Non c'e' spoofing. Non c'e' impersonificazione. E' proprio quella casella. SPF, DKIM, DMARC — passano tutti i controlli.
I filtri tradizionali non possono fare nulla. L'email arriva da un mittente legittimo, da un server legittimo, con autenticazione valida. Solo un sistema con analisi comportamentale puo' notare l'anomalia: "Questo fornitore non ha mai chiesto un cambio di coordinate bancarie. L'IBAN non corrisponde ai pattern storici. La richiesta e' insolita."
Senza quella analisi, sei nella mani del fattore umano. E il fattore umano, quando vede una PEC dal fornitore abituale, si fida.
Marzo 2026. Studi legali in tutta Italia ricevono PEC che simulano comunicazioni da tribunali. Oggetto: "Notifica telematica atto — Proc. N. 2026/1847 — URGENTE."
Il messaggio cita un numero di procedimento, un tribunale specifico, un termine di scadenza ravvicinato. In fondo: un link per "scaricare l'atto completo dal portale del tribunale."
Il link porta a una pagina identica al portale PST (Processo Telematico). L'avvocato inserisce le credenziali PEC per "autenticarsi." In quel momento, username e password finiscono all'attaccante.
Una volta ottenute le credenziali PEC dello studio legale, l'attaccante:
E' un attacco a catena. La prima vittima — lo studio legale — diventa il trampolino per colpire decine di clienti.
Almeno 35 studi legali compromessi nei primi tre mesi del 2026 solo in Lombardia. Il danno economico totale stimato: oltre 2 milioni di euro, distribuiti tra gli studi e i loro clienti.
Il Consiglio Nazionale Forense ha emesso un avviso urgente a febbraio 2026. Ma la campagna continua tuttora.
Analizziamo i tre casi. Cosa hanno in comune?
1. Fiducia cieca nello strumento
La PEC ha valore legale. Le persone la trattano come un documento ufficiale. Questa fiducia diventa una vulnerabilita' quando il contenuto non e' quello che sembra.
2. Filtri insufficienti
I provider PEC offrono antivirus di base. Bloccano le minacce note. Ma le campagne mirate usano malware nuovo, costruito apposta per passare. Zero-day. Varianti custom. Payload offuscati.
3. Nessuna analisi comportamentale
Nessun provider PEC analizza se una comunicazione e' coerente con il comportamento storico del mittente. Nessuno segnala un cambio IBAN sospetto o un messaggio con tono diverso dal solito.
4. L'urgenza come arma
Le PEC di attacco usano quasi sempre l'urgenza: scadenze, accertamenti fiscali, atti giudiziari. L'urgenza spegne il pensiero critico. Quando hai 5 giorni per rispondere a un accertamento, non ti fermi a verificare se l'email e' autentica.
MailSniper tratta le caselle PEC come qualsiasi altro canale email: con il massimo livello di protezione.
Come funziona in pratica:
Tutti i dati restano in Europa. Nessuna informazione esce dal perimetro.
I dati confermano il trend:
In quei 23 giorni, l'attaccante legge tutto. Impara tutto. E colpisce quando e' pronto.
1. Controlla la tua casella PEC adesso
Accedi al pannello del tuo provider PEC. Cerca regole di inoltro che non hai creato tu. Cerca sessioni attive da IP sconosciuti. Cambia la password se non lo fai da piu' di 6 mesi.
2. Verifica i tuoi record DNS
SPF, DKIM e DMARC configurati correttamente sono la prima linea di difesa. Non per la PEC in se', ma per impedire che il tuo dominio venga usato in campagne di spoofing. Puoi verificare tutto in 30 secondi con il nostro strumento gratuito.
3. Valuta una protezione dedicata
Se gestisci comunicazioni sensibili via PEC — e quale azienda italiana non lo fa? — un filtro base non basta piu'. I casi del 2026 lo dimostrano ogni settimana.
MailSniper si attiva in 10 minuti. La prova e' gratuita per 14 giorni. Nessuna carta di credito, nessun impegno. Provalo con le tue PEC reali e vedi la differenza.
La PEC e' uno strumento utile. Ha valore legale. Certifica la consegna. Per queste cose funziona benissimo.
Il problema non e' la PEC. Il problema e' credere che la PEC ti protegga. Non lo fa. Non e' il suo lavoro.
Il suo lavoro e' certificare che un messaggio e' stato consegnato. La sicurezza del contenuto, del mittente e degli allegati e' un lavoro diverso. E nel 2026, quel lavoro richiede strumenti all'altezza delle minacce.
I casi che abbiamo visto non sono eccezioni. Sono la nuova normalita'. E l'unica domanda che conta e': la tua PEC e' protetta, oppure stai aspettando di essere il prossimo caso?
Redazione MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoAlle 3:47 di una notte qualsiasi, un analista scopre i dati di AstraZeneca su un forum underground. Dietro c'è TeamPCP, con una tattica rara: il doppio ransomware. Ecco come funziona l'attacco alla supply chain che ha messo in ginocchio due colossi
LeggiQuarantotto ore senza nuovi host compromessi. Per la campagna TeamPCP non è un segnale positivo: significa che il gruppo ha smesso di espandersi e ha iniziato a raccogliere. Analisi della fase di monetizzazione, TTPs e raccomandazioni operative per i team di sicurezza.
LeggiUn add-in malevolo per Microsoft Outlook ha sottratto oltre 4.000 credenziali aziendali. Analizziamo come funziona questo nuovo vettore di attacco, perché sfugge ai controlli tradizionali e quali contromisure adottare per proteggere la tua organizzazione.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.