Non aprite quella PEC! Non sempre la posta elettronica certificata è sicura.

Chi non aprirebbe un allegato da una mail PEC? D’altronde il pensiero comune è quello che tra tutti i sistemi di posta elettronica la PEC sia quello più sicuro a prova di spam, virus e malware.

La triste verità invece è che la Posta elettronica certificata può diventare anch’essa un mezzo di attacco e che in molti casi le PEC sono più esposte agli attacchi degli altri sistemi di posta elettronica.


I malware che riescono a infettare la Posta Elettronica Certificata hanno inoltre vita facile per due ragioni: le caselle PEC non filtrano questi messaggi e non li segnalano come SPAM; gli utenti danno per scontato che un messaggio della PEC sia sicuro, sopratutto dato che i domini dai quali arrivano le mail malevole sono apparentemente ufficiali, come l’Agenzia delle entrate o le Poste Italiane, ma così non è.

Cosa succede se un utente apre, scarica o clicca su un contenuto malevolo? Gli attacchi malware hanno gli scopi più svariati: reperire credenziali bancarie, password varie ed indirizzi mail, controllare un computer e riuscire ad infettarne altri, la totale cancellazione dei dati del computer.

In particolare se il virus scaricato è della tipologia criptolocker una volta cliccato nell’allegato o nel link della mail malevola viene attivato il malware che inizia a criptare i file e lascia all’utente un messaggio con le istruzioni per decifrare i dati: nel 100% dei casi si chiederà di pagare un riscatto tramite monete elettroniche virtuali (quasi sempre Bitcoin) e quindi difficilmente tracciabili in seguito.


Ci preme ricordare che in base alla normativa vigente, qualsiasi illecito di questo tipo deve essere denunciato alle autorità competenti e inoltre, nel caso in cui vi sia stata una violazione dei dati, dovranno essere fatte tutte le segnalazioni previste dalla normativa GDPR.

Premesso che procedere al pagamento del riscatto richiesto significa commettere un illecito, vogliamo inoltre precisare che il pagamento di tale riscatto non vi darà alcuna garanzia dell’effettivo recupero dei vostri dati in quanto dopo aver effettuato il trasferimento di denaro la controparte potrebbe inviarvi una chiave di sblocco non funzionante oppure potrebbe non inviarvi nulla.

Le aziende ed i professionisti devono per legge essere dotati di PEC e quindi vediamo cosa si può fare per cercare di tutelarsi da eventuali attacchi alla propria casella di posta elettronica certificata:

  • aggiornare costantemente i sistemi operativi di tutti gli smartphone, tablet o PC
  • non memorizzare le credenziali di accesso alla mail su dispositivi/computer
  • dotarsi di password robuste e cambiarle periodicamente
  • verificare l’attendibilità delle mail e non aprire allegati di dubbia natura che contengono file eseguibili (.exe) oppure file office (.doc, .xls…)
  • diffidare dalle email di istituzioni finanziarie o piattaforme di pagamento online che chiedono di cliccare un link per aggiornare dati personali
  • prestare attenzione a mail che segnalano virus su PC o dispositivi mobili
  • affidare la protezione della propria rete aziendale a professionisti del settore che offrono servizi di outsourcing di “Sicurezza Gestita” (Managed Security)

Contattaci per qualsiasi informazione su come rendere sicura la propria casella di posta elettronica certificata e se vuoi maggiori informazioni sui nostri servizi sistemistici visita la sezione dedicata nel nostro sito web.