L’allarme arriva da Cert-Agid e Agenzia delle Entrate che lanciano una campagna contro la nuova truffa phishing che viaggia su PEC per diffondere malware attraverso false fatture da scaricare
Una nuova truffa viaggia su PEC. Da strumento sicuro per eccellenza, la Posta elettronica certificata non è più una garanzia contro le truffe, anzi sta diventando un’arma in mano ai cybercriminali. L’allarme arriva da Cert-Agid, la struttura dell’Agenzia per l’Italia digitale che monitora la sicurezza delle comunicazioni via PEC, e dall’Agenzia delle Entrate che insieme lanciano una nuova campagna contro il phishing che utilizza caselle PEC compromesse per diffondere malware attraverso false fatture.
Come funziona la truffa via PEC
I messaggi vengono inviati da caselle PEC legittime, ma finite nelle mani dei truffatori oppure create appositamente per scopi illeciti. Proprio questo elemento rende l’inganno particolarmente insidioso: chi riceve la comunicazione è portato a fidarsi del mittente e ad abbassare le difese. L’email contiene un archivio compresso allegato. All’interno si trova un file Html che, una volta aperto su un computer Windows, mostra una schermata che invita a scaricare una fattura tramite un pulsante denominato “Scarica fattura“.
È proprio quel clic a dare il via all’attacco. Premendo il pulsante, l’utente viene reindirizzato verso un sito malevolo che avvia la compromissione del computer attraverso il download e l’esecuzione di script PowerShell.
Secondo gli esperti di Cert-Agid, i criminali hanno adottato tecniche particolarmente sofisticate per rendere più difficile l’individuazione della minaccia.
Tra queste:
- l’utilizzo di caselle PEC apparentemente affidabili per aumentare la credibilità del messaggio;
- l’invio di un archivio compresso, che può sfuggire ai controlli automatici;
- il riconoscimento del sistema operativo della vittima: se il file viene aperto su un dispositivo diverso da Windows compare una schermata di errore, sia per spingere l’utente a utilizzare un computer vulnerabile sia per ridurre le possibilità di individuazione del malware;
- la creazione dinamica del collegamento fraudolento, che non è visibile all’interno del codice del file Html e compare solo al passaggio del mouse, rendendo più difficile la sua rilevazione da parte dei software di analisi.
L’Agenzia delle Entrate ha preso le distanze dalla campagna fraudolenta e invita i cittadini a non fidarsi di messaggi sospetti. In caso di dubbi, è consigliabile verificare la comunicazione consultando la sezione “Focus sul phishing” del portale dell’Agenzia delle Entrate o contattando direttamente gli uffici competenti. La raccomandazione è semplice: se si riceve una mail con caratteristiche analoghe, non aprire l’allegato e cancellare immediatamente il messaggio.
Oltre 650 casi di PEC abusate in pochi mesi
Il fenomeno è tutt’altro che marginale. Da gennaio 2026 Cert-Agid ha già gestito oltre 650 episodi riguardanti caselle PEC compromesse o registrate esclusivamente per finalità fraudolente. Il numero è in costante aumento e dimostra come i cybercriminali stiano concentrando sempre più l’attenzione sulla posta certificata, un canale tradizionalmente percepito come sicuro. “La PEC non certifica la sicurezza del contenuto del messaggio, ma esclusivamente l’avvenuta consegna” ricorda l’Agenzia per l’Italia digitale. In altre parole, una comunicazione proveniente da una casella PEC può comunque contenere allegati infetti, collegamenti a siti pericolosi o tentativi di phishing.
Le regole per non cadere nella trappola
Gli esperti consigliano alcune semplici precauzioni:
- diffidare delle PEC inattese che contengono allegati compressi (.zip o .rar);
- non aprire file Html ricevuti tramite posta elettronica, soprattutto se associati a richieste di pagamento o fatture;
- non cliccare su pulsanti o link presenti in messaggi sospetti;
- verificare sempre eventuali comunicazioni direttamente sui siti ufficiali o contattando l’ente interessato;
- mantenere aggiornati sistema operativo e software di sicurezza.
