News

Phishing via PEC nel 2026: l’attacco che sfrutta la fiducia

Carlo Coppola · 20 Giugno 2026 · 5 min di lettura
Phishing via PEC nel 2026: l'attacco che sfrutta la fiducia
Immagine: SmartWorld.it

I criminali informatici hanno individuato il tallone d’Achille della sicurezza digitale italiana: la fiducia riposta nella PEC. L’Agenzia delle Entrate ha segnalato una campagna di phishing che utilizza caselle di Posta Elettronica Certificata compromesse per distribuire malware, sfruttando esattamente quella percezione di sicurezza che rende la PEC uno strumento affidabile. Il meccanismo è sofisticato e rivela una conoscenza approfondita del comportamento degli utenti.

Phishing via PEC nel 2026: l'attacco che sfrutta la fiducia
Crediti immagine: SmartWorld.it

Come funziona l’attacco tecnico

La campagna segue uno schema preciso. I messaggi arrivano da indirizzi PEC reali—non falsificati, ma effettivamente compromessi—e contengono un allegato compresso. All’interno c’è un file HTML costruito appositamente per colpire i sistemi Windows: su macOS o Linux mostra semplicemente un messaggio d’errore. Questo dettaglio rivela che l’attacco non è indiscriminato, ma targetizzato.

Quando la vittima apre il file su Windows, visualizza quello che sembra essere il pulsante di una fattura. Il link sottostante non è visibile a occhio nudo: compare solo passando il mouse, un espediente che inganna persino chi controlla gli URL prima di cliccare. Una volta premuto, lo script PowerShell si attiva e compromette il dispositivo. Ecco la sequenza operativa:

Perché la PEC è bersaglio privilegiato

La PEC rappresenta un paradosso della sicurezza italiana. È certificata, lascia traccia legale, proviene da mittenti identificati. Proprio per questi motivi, abbassa istintivamente la guardia. Un indirizzo PEC che riconosciamo—magari di un’azienda con cui lavoriamo—non genera sospetto. L’utente medio aprirà l’allegato senza esitare, convinto che un canale ufficiale non possa veicolare minacce.

Il fatto che il mittente sia un indirizzo reale appartenente a qualcuno che potremmo effettivamente conoscere amplifica ulteriormente il rischio. Non si tratta di una falsa identità evidente, ma di una casella compromessa. Questo rende il riconoscimento visivo quasi impossibile senza verifiche aggiuntive.

Le contromisure indicate dall’Agenzia

L’Agenzia delle Entrate ha diffuso un set di precauzioni operative piuttosto esplicite:

L’Agenzia mette a disposizione la sezione “Focus sul phishing” sul sito ufficiale per consultazioni specifiche. Anche i canali di supporto dedicati rimangono la risorsa più affidabile in caso di sospetto.

Cosa cambia nel 2026

Non è la prima volta che i criminali sfruttano la fiducia in canali istituzionali, ma la sofisticazione di questo attacco segna un’evoluzione. L’uso di caselle PEC reali (non falsificate), la personalizzazione per Windows, l’invisibilità del link—questi elementi mostrano un livello di ricerca considerevole. Chi ha orchestrato la campagna conosce bene le abitudini degli utenti italiani e il funzionamento della PEC.

La vera vulnerabilità non risiede nella tecnologia, bensì nella psicologia dell’utente. Una fattura attesa, un mittente certificato, un file che sembra legittimo: è il cocktail perfetto per bypassare il controllo razionale. In questo scenario, la difesa tecnica (antivirus, firewall) rimane importante, ma la consapevolezza comportamentale diventa il primo strato di protezione.

Su SpazioiTech:

La regola rimane invariata: di fronte a una richiesta inattesa, anche su PEC, vale sempre la pena fermarsi un secondo prima di cliccare. Quel secondo potrebbe evitare compromissioni gravi. Ma come riuscite a riconoscere una PEC sospetta tra le decine che ricevete ogni settimana?

Fonte: SmartWorld.it

#Cybersecurity #malware #PEC #phishing #Windows