Per molti utenti la posta elettronica certificata è stata a lungo percepita come uno spazio sicuro, quasi impermeabile alle truffe online. Oggi questa convinzione si sta rivelando pericolosa: una nuova ondata di phishing veicolato tramite PEC sta dimostrando che anche questo canale può essere sfruttato dai criminali informatici. Secondo le segnalazioni della Polizia Postale, stanno circolando messaggi che imitano alla perfezione comunicazioni ufficiali, avvisi fiscali e notifiche amministrative, al punto da risultare convincenti anche per chi è abituato a prestare attenzione.
Queste email non arrivano con toni neutri o rassicuranti, ma fanno leva sulla fretta e sulla paura. Oggetto e testo possono contenere espressioni come “intervento urgente richiesto”, “scadenza a breve” o richiami a presunti pagamenti arretrati, con l’intento di mettere pressione al destinatario. In questo stato di urgenza costruita ad arte, è più facile che qualcuno apra un allegato o segua un link malevolo senza pensarci due volte. Spesso si tratta di documenti in formato PDF o archivi compressi, dietro i quali possono nascondersi malware o strumenti per sottrarre dati sensibili.
A rendere il tutto ancora più insidioso è la cura con cui questi messaggi sono confezionati. I truffatori riproducono loghi di enti pubblici, banche e grandi aziende di servizi, utilizzano un linguaggio pseudo-istituzionale e strutturano le email in modo molto simile alle comunicazioni autentiche. Di conseguenza, l’errore più pericoloso è credere che, solo perché una comunicazione arriva tramite PEC, sia automaticamente affidabile. In realtà la certificazione della PEC garantisce unicamente la tracciabilità di invio e ricezione, non la reale identità di chi scrive. Il mittente può aver compromesso una casella legittima oppure creato un indirizzo ad hoc usando dati fittizi.
La Polizia Postale insiste su un punto cruciale: la PEC non certifica la veridicità del contenuto del messaggio, ma solo il fatto che esso è stato recapitato. Per questo invita a controllare sempre l’indirizzo completo del mittente, e non limitarsi al nome visualizzato nella casella di posta, che può essere facilmente camuffato. È fondamentale mantenere un atteggiamento lucido soprattutto in presenza di toni drammatici o minacciosi: prima di reagire, è utile fermarsi, rileggere con calma e chiedersi se ciò che viene richiesto abbia davvero senso.
Un’altra abitudine salvavita è quella di evitare di cliccare sui link presenti nelle comunicazioni sospette. Anche se l’interfaccia sembra quella di un sito istituzionale, potrebbe trattarsi di una pagina clone studiata per sottrarre credenziali di accesso, dati bancari o numeri di carte di credito. Lo stesso vale per gli allegati: un file che appare innocuo può contenere ransomware o altri malware in grado di criptare i dati del computer e renderli inaccessibili, con possibili richieste di riscatto.
Per verificare la genuinità di un messaggio, il metodo più sicuro resta quello di contattare direttamente l’ente che risulta come mittente, ma usando canali autonomi. Questo significa non rispondere alla PEC sospetta né utilizzare i contatti in essa riportati, bensì cercare il sito ufficiale dell’istituzione e recuperare da lì numeri di telefono o indirizzi certificati. Una semplice telefonata di conferma può evitare danni molto seri ai propri dati personali e al conto corrente.
Nel caso in cui sorgano dubbi o si tema di essere già caduti in un tentativo di frode – perché si è cliccato su un link, inserito credenziali o aperto un allegato sospetto – è importante non minimizzare. La linea indicata dalle autorità è quella di segnalare l’accaduto alla Polizia Postale, utilizzando in particolare il portale del Commissariato di PS Online, dove è possibile descrivere quanto successo. Su questo sito sono disponibili anche indicazioni aggiornate sulle principali minacce informatiche e sui comportamenti da adottare per ridurre il rischio di nuove esposizioni.
In sintesi, la PEC va considerata per ciò che è: uno strumento utile e tracciabile, ma non un baluardo assoluto contro l’inganno. Solo combinando prudenza, verifica delle informazioni e segnalazione tempestiva dei sospetti si può ridurre l’efficacia di queste campagne e proteggere davvero i propri dati digitali.
