La PEC viene spesso percepita come una cassaforte digitale, lo spazio dove arrivano comunicazioni di lavoro, scadenze fiscali e documenti importanti. Eppure proprio questa fiducia rappresenta il punto debole su cui ha fatto leva l’ultima truffa via PEC che sta circolando in questi giorni. A lanciare l’allarme è l’Agenzia delle Entrate, che attraverso il proprio portale ha dedicato un approfondimento al raggiro, spiegando come funziona e perché tanti professionisti rischiano di cascarci.
Il ragionamento dei truffatori è semplice quanto efficace. Davanti a un messaggio che arriva su una casella di posta certificata, la maggior parte delle persone abbassa la guardia, convinta che da lì possano transitare solo comunicazioni autentiche. È esattamente in quel momento di leggerezza che scatta la trappola. Le segnalazioni ricevute dall’Agenzia delle Entrate negli ultimi giorni sono parecchie, segno che la mail sospetta si sta diffondendo velocemente e che conviene alzare il livello di attenzione il prima possibile.
Come funziona il meccanismo del phishing
Il cuore della questione è il cosiddetto phishing, una tecnica vecchia ma sempre attuale. In pratica i malintenzionati provano a sottrarre credenziali, password e dati personali facendo credere alla vittima di inserire quelle informazioni dentro un servizio legittimo e affidabile. Tutto ruota attorno all’inganno, alla capacità di imitare un contesto che sembra autentico fino a quando non è troppo tardi.
La campagna messa in piedi dai criminali si muove da una casella PEC compromessa all’altra, come una catena che si autoalimenta. I messaggi incriminati contengono in allegato un file zip, dentro il quale si nasconde un documento in formato HTML. Ed è proprio quel file il vero motore della frode. Una volta aperto compare a schermo una grande scritta blu con la dicitura Fattura elettronica, accompagnata da un invito esplicito a scaricare il documento attraverso un pulsante ben visibile, dello stesso colore.
Il colpo d’occhio è costruito apposta per sembrare tutto regolare. La grafica richiama quella di una comunicazione ufficiale, il linguaggio è quello degli adempimenti quotidiani, e chi gestisce ogni giorno decine di fatture potrebbe non accorgersi della differenza. Proprio per questo l’insidiosità del meccanismo è elevata e impone di tenere gli occhi aperti, soprattutto quando un allegato arriva da un mittente che a prima vista sembra conosciuto.
Perché i professionisti sono i bersagli preferiti
Il bersaglio non è casuale. I professionisti e chi lavora con partita IVA usano la posta certificata praticamente ogni giorno, gestiscono documenti fiscali e si fidano dello strumento. Questa abitudine, unita alla sensazione di trovarsi in un ambiente protetto, abbassa naturalmente le difese. Ricevere una presunta fattura elettronica via PEC rientra nella normale routine lavorativa, e qui sta tutta la pericolosità del raggiro.
La regola pratica resta quella di sempre. Diffidare degli allegati zip che contengono file HTML, soprattutto quando spingono a cliccare su pulsanti per scaricare documenti. La fattura elettronica autentica segue percorsi ben precisi e non richiede di seguire link sospetti o di inserire credenziali su pagine raggiunte da un allegato. Davanti al minimo dubbio, meglio fermarsi e verificare prima di compiere qualsiasi azione.
