La posta elettronica certificata rappresenta un importante strumento tecnologico a disposizione di professionisti ed aziende, la cui sempre maggiore diffusione ha portato enormi benefici nell'ambito dei rapporti professionali e commerciali.

Oggi, però, la diffusione di tali strumenti porta con sé alcune minacce legate alla sicurezza informatica: sono sempre maggiori, infatti, gli attacchi effettuati tramite spam e operazioni di phishing anche alle caselle PEC. Occorre quindi fare attenzione.

Con le Circolari n. 224402 e n. 3645/c del 2011, il Ministero dello Sviluppo Economico ha reso obbligatorio, per tutte le società iscritte al Registro delle Imprese, comunicare la propria PEC in attuazione dell’art. 16, comma 6 del D.Lgs. n. 185/2008.

La PEC, oltre ad essere un obbligo di legge, è uno strumento di lavoro che ha la caratteristica, tramite opportune tecnologie quali la crittografia e la marca temporale, di garantire l'integrità del messaggio e di impedire quindi eventuali manomissioni o alterazioni del contenuto e del destinatario, così come la riservatezza dei dati sia nella fase di invio che di ricezione della mail. La PEC, avendo la stessa valenza giuridica di una raccomandata con ricevuta di ritorno, ha semplificato in modo radicale il rapporto fra aziende e Pubblica Amministrazione, tanto che oggi è entrata nella cultura lavorativa quotidiana degli imprenditori, che ripongono fiducia completa in questa tecnologia. Proprio su questa fiducia, a partire dalla fine dello scorso anno, hanno fatto leva gli hacker per estorcere denaro ai malcapitati utenti.

Sono note a tutti, infatti, le cosiddette e-mail spam, messaggi indesiderati che vengono ricevuti in gran numero e che, tipicamente, pubblicizzano siti o servizi. Meno note, ma più pericolose, sono le e-mail di phishing (gioco di parole inglese che ricorda la parola fishing, pescare): tali comunicazioni appaiono come ricevute da mittenti legittimi, quali Pubbliche Amministrazioni, Gestori di Servizi, Corrieri ecc, e contengono allegati o link che, qualora attivati, procedono ad infettare il pc. L’infezione più comune consiste nel crittografare i file del computer e della rete a cui appartiene, rendendoli inaccessibili se non tramite una password conosciuta solo dall’hacker, per la quale, ovviamente, viene richiesto il pagamento di importi più o meno consistenti. In altri casi, vengono mostrati falsi siti di banche o di e-commerce noti, inducendo ad inserire password o numeri di carte di credito, che vengono usati poi per fare acquisti o prelevare direttamente denaro.

Il concetto alla base di questo tipo di attacco sta nella buona fede del destinatario della comunicazione, e proprio per questo motivo la ricezione di questo tipo di virus sulle PEC è particolarmente preoccupante, dato che comunemente si ritiene questo mezzo infallibile e inattaccabile. Nell’ultimo anno, invece, gli hacker sono riusciti a trovare alcune falle che hanno permesso di inviare PEC infette che, nei casi più elaborati, vengono addirittura ricevute in risposta ad un proprio messaggio inviato in precedenza.

Il problema è di grande rilievo, tanto che è divenuto uno dei principali ambiti di lavoro del CERT-PA (Computer Emergency Response Team Pubblica Amministrazione) l’organo che, all’interno di AgID (l’Agenzia per l’Italia Digitale), ha il compito di supportare le Amministrazioni nella prevenzione e nella risposta agli incidenti di sicurezza informatica e che segnala prontamente sul proprio sito tutte le tipologie di attacco rilevate (https://www.cert-pa.it/tag/pec/). Può essere quindi utile, alla ricezione di un messaggio sospetto, andare a controllare su questo strumento se il messaggio ha le caratteristiche delle frodi in corso.

Altri accorgimenti che possono essere adottati per proteggersi, oltre a dotarsi di un buon software antivirus aggiornato, sono di:

• leggere con attenzione il testo del messaggio, che solitamente contiene errori grammaticali o forme lessicali non comuni, in quanto tradotti automaticamente dall’inglese;
• verificare che il sito internet che si sta visitando sia verificato (il browser deve mostrare un’icona verde od un lucchetto chiuso vicino all’indirizzo internet);
• non aprire mai link o allegati da mittenti non noti, e dubitare anche dei mittenti che si conoscono, in quanto in molti casi può essere contraffatto.

Nulla può comunque sostituire l’intuito e il buon senso dell’utente, che deve sempre stare attento e sospettare di ogni messaggio ricevuto. Se si ritiene poi di essere vittime di questo tipo di truffa, è necessario rivolgersi prontamente alla Polizia Postale sporgendo regolare denuncia. Maggiori informazioni possono essere trovate sul sito https://www.commissariatodips.it/.