Questo sito contribuisce alla audience di Il Messaggero

Come riconoscere una PEC falsa

di

La PEC, cioè la posta elettronica certificata, viene utilizzata sempre più da aziende e privati per le comunicazioni importanti, come per esempio l’invio di fatture a un cliente. Questo, però, ha dato vita anche a un fenomeno preoccupante: l’aumento di comunicazioni PEC false che possono arrecare danno a chi le riceve.

Se in questo momento stai leggendo, è perché probabilmente hai ricevuto una PEC da un indirizzo che non conosci e ti stai chiedendo se si tratti di un indirizzo legittimo o se invece è una PEC fasulla. Innanzitutto, ti consiglio di non aprirla, prenditi invece qualche minuto di tempo per leggere tutta la mia guida, dove ti mostrerò tutti i passaggi necessari per capire come riconoscere una PEC falsa (o almeno per dissipare tali dubbi entro i limiti del possibile).

Non indugiare quindi: armati di pazienza e inizia a leggere. Scoprirai il miglior corso d’azione in casi del genere e riuscirai a stroncare sul nascere eventuali tentativi da parte di malintenzionati. Sei pronto? Allora ti auguro una buona lettura!

Indice

Informazioni preliminari

informazioni sul phishing

Il Web è sempre stato un luogo estremamente utile per trovare informazioni e accedere a servizi, tuttavia le insidie sono dietro l’angolo e le e-mail che tentano di estorcere informazioni ai privati esistono praticamente da sempre e gli utenti hanno imparato in molti casi a difendersi da esse. Quando si effettuano degli scambi telematici tramite posta elettronica certificata, invece, si tende ad abbassare la guardia, poiché si dà per scontato che gli account che ne fanno uso siano tutti di persone o azienda con un’identità verificata: ciò è tecnicamente vero, ma 1) non è impossibile destinare degli account PEC all’invio di spam o tentativi di truffe telematiche (magari entrando abusivamente in possesso di account legittimi di altre persone) 2) molti servizi di PEC consentono la ricezione di email da indirizzi non certificati, il che li espone al rischio spam/truffe tanto quanto quelli di posta elettronica “ordinaria”.

A mio modesto avviso è un errore di cui prendere nota perché anche le caselle PEC possono finire nel mirino di malintenzionati, che tentano di inviare spam o – peggio ancora – applicare tecniche di phishing. Se non hai mai sentito parlare di phishing, devi sapere che si tratta di un tentativo di estorsione, volto a ottenere dati personali, password e altre informazioni sensibili al malcapitato.

Il funzionamento di solito prevede l’invio di una e-mail con all’interno un link che rimanda a una piattaforma che assomiglia a quella di un istituto specifico, che può essere quindi bancario, aziendale o istituzionale. In questa pagina viene chiesto di inserire i propri dati personali per aggiornare la banca dati o per effettuare l’accesso, tuttavia, i dati inseriti verranno inviati a terzi, che avranno così le informazioni necessarie per agire indisturbati.

In altri casi, invece, come per alcune PEC false, potrebbe essere presente un file da scaricare, spacciato come una fattura o un documento importante. L’utente, scaricandolo e aprendolo, mette in moto script malevoli che possono dare accesso al proprio computer da remoto. Per questo motivo, prima di scaricare qualsiasi file proveniente da una PEC sospetta, bisogna investigare sul mittente, ed è proprio ciò che ho intenzione di illustrarti nei capitoli successivi.

Come riconoscere una PEC falsa

Se gli indirizzi e-mail generici non possono essere sempre verificati e bisogna quindi adottare degli stratagemmi e indagare in modo attento, lo stesso non si può dire della PEC. Dal momento che le e-mail certificate delle aziende e degli istituti governativi devono essere inseriti in registri accessibili online, verificarli è un’operazione semplice, che non richiede troppo tempo e può immediatamente restituire le informazioni di cui si ha bisogno.

Come si fa? Ad esempio avvalendosi di siti come INIPEC e Registro delle Imprese, il primo messo a disposizione dal Ministero dello Sviluppo Economico, il secondo dalle Camere di Commercio. Attenzione però, ottenere un risultato negativo su questi servizi non significa automaticamente che l’e-mail ricevuta sia riconducibile a un tentativo di phishing o truffa: potrebbe trattarsi di una PEC di privati cittadini (i cui indirizzi non sono contemplati nei suddetti elenchi pubblici). Cosa si può fare in questo caso? Te ne parlerò nel capitolo dedicato. Ma andiamo con ordine.

Come riconoscere una PEC falsa con INIPEC

verificare pec con inipec

INIPEC è il sito messo a disposizione degli utenti da parte del Ministero dello Sviluppo Economico e contiene tutti gli indirizzi di professionisti e imprese italiane. Questo viene aggiornato regolarmente e può essere utilizzato senza alcuna registrazione.

Per scoprire se l’indirizzo della PEC che hai ricevuto è falso o meno, recati quindi sul sito ufficiale di INIPEC, dopodiché devi scegliere se ricercare la PEC di Professionisti o Imprese, facendo clic sull’opzione che preferisci.

In entrambi i casi, inserendo l’indirizzo PEC nell’apposito riquadro e mettendo la spunta alla voce Non sono un robot, potrai cliccare sul pulsante Cerca PEC in basso, ottenendo un risultato positivo, con tutte le informazioni del mittente, oppure un risultato negativo (che come detto non determina automaticamente la manca autenticità dell’indirizzo cercato).

Come riconoscere una PEC falsa con Registro delle Imprese

verificare pec registro imprese

Sfruttando il sito ufficiale con i dati delle Camere di Commercio, gli utenti possono reperire PEC e informazioni su aziende che si trovano sul territorio italiano. Anche in questo caso, come accade per INIPEC, non è necessaria alcuna registrazione per usufruire del servizio. Devo avvertirti, però, che tramite il Registro delle Imprese non è possibile inserire l’indirizzo PEC per risalire all’azienda ma la ricerca sarà un po’ più laboriosa.

Devi innanzitutto cercare il nome dell’azienda all’interno della PEC che hai ricevuto e, se questo non è presente, dovrai estrapolarlo dalle informazioni in essa contenute. Per trovarlo ti consiglio di dare un’occhiata all’indirizzo e-mail o verificare i dati presenti in chiusura. Se c’è il nome del responsabile che ti ha contattato, potrai effettuare una ricerca dell’individuo online, magari su LinkedIn, per risalire all’azienda per cui questi lavora.

Quando sei riuscito a ottenere il nome dell’azienda, recati dunque sul sito ufficiale di Registro delle Imprese e troverai immediatamente il campo di ricerca dove inserire il nome dell’impresa o attività. Dopo averlo digitato ti basta fare clic sul pulsante Cerca per avere una lista di aziende con quello specifico nome.

Per trovare la PEC, fai clic sul risultato che ti interessa e, nella pagina successiva, alla voce Domicilio digitale/PEC troverai un pulsante con scritto Mostra: cliccandoci sopra si aprirà una finestra pop-up con l’indirizzo e potrai così confrontarlo con quello della PEC ricevuta. Se l’azienda non dispone di una PEC, alla voce Domicilio digitale/PEC troverai scritto Non presente (anche in questo caso, un risultato negativo non determinerà automaticamente la non autenticità dell’indirizzo cercato).

Come riconoscere una PEC falsa proveniente da privati

pec privata

Se la tua ricerca tramite INIPEC e Registro delle Imprese non ha dato frutti, non cedere al panico: non è ancora detto che l’e-mail ricevuta sia davvero una PEC falsa, potrebbe infatti appartenere a un privato cittadino.

Al momento non esiste ancora un registro governativo ufficiale che raccolga le caselle PEC di tutti i cittadini italiani, quindi non è possibile effettuare una ricerca semplice e immediata tramite portali specifici come INIPEC o Registro delle Imprese. Dovrai pertanto vestire i panni di detective e iniziare a investigare utilizzando il Web.

Innanzitutto, prova a cercare su Google l’indirizzo PEC su cui hai dei sospetti. Tra i risultati potresti ottenere profili ufficiali, magari di Facebook o LinkedIn, per risalire immediatamente alla persona che ti ha inviato l’e-mail. Se questo tentativo si rivela un buco nell’acqua e non riesci a trovare informazioni in merito, dovrai leggere attentamente la PEC per cercare di estrapolare quanti più dettagli possibile.

Verifica la presenza di nomi e cognomi nonché indirizzi, tramite i quali potrai effettuare ricerche mirate su Google o sui social network. Per ulteriori dettagli ti invio a dare un’occhiata alle mie guida su come cercare una persona su Internet e come cercare un indirizzo PEC.

Cosa fare in caso di ricezione di e-mail da una PEC falsa

ricezione email falsa

Dopo aver tentato di tutto, non sei riuscito a trovare una fonte attendibile e sei quindi giunto alla conclusione che l’e-mail ricevuta sia una PEC falsa. Come devi comportarti in questo caso? Prima di prendere decisioni drastiche, ti consiglio di contattare privatamente aziende e persone con cui hai interagito recentemente, chiedendo delucidazioni su eventuali comunicazioni inviate tramite indirizzo PEC.

Qualora anche questi si rivelassero all’oscuro di tutto, allora puoi prendere tutte le precauzioni del caso. Innanzitutto, ti consiglio di bloccare il mittente, in questo modo non riceverai più e-mail provenienti da quell’indirizzo. Se non sai come fare, puoi trovare la procedura in base al tuo provider nella guida che ti ho linkato poc’anzi. A questo punto, non ti resta altro da fare che eliminare l’e-mail ricevuta e, se necessario, svuotare anche il cestino della posta elettronica certificata per essere sicuro di non cliccarci nuovamente sopra in modo accidentale.

Non scaricare o aprire l’allegato presente nella PEC per nessun motivo. Generalmente si pensa che solo i file con estensione .exe o .dmg siano applicazioni malevole, tuttavia, i criminali informatici possono nascondere codici e script in qualsiasi tipo di file, anche un semplice documento Word.

Dopo aver appurato che la PEC è falsa, devi considerare i file al suo interno come potenzialmente dannosi, quindi, pur comprendendo la tua curiosità, ti invito a non interagire con tali documenti. Per ulteriori informazioni, vedi la mia guida su come controllare allegati e link.

Nel caso tu abbia cliccato sull’allegato e pensi che ora il computer sia stato infettato da un virus, ti invito a dare un’occhiata ai tutorial specifici su come eliminare virus dal PC e come segnalare una truffa online.

Salvatore Aranzulla

Autore

Salvatore Aranzulla

Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.