Phishing: la falsa PEC dell’Agenzia delle Entrate

Cos'è il "phishing"? Cosa dice il comunicato dell'Agenzia delle Entrate?

Il DPR n.68 dell’11 febbraio del 2005, il cosiddetto “Regolamento recante disposizioni per l'utilizzo della posta elettronica certificata”, è una delle leggi che regola la cosiddetta Posta Elettronica Certificata (PEC). La PEC non è altro che un sistema di posta elettronica che permette di inviare e di ricevere email con valore legale, molto simile a una raccomandata con ricevuta di ritorno, con cui si ha la certezza sia dell’invio che della consegna del messaggio.

Questo sistema ha il vantaggio di essere molto più rapido di una raccomandata e dà la possibilità di poter inviare documenti con valore legale alla Pubblica Amministrazione o ad altri destinatari. Nonostante i grandi vantaggi di essere in possesso di un indirizzo di Posta Elettronica Certificata, negli ultimi mesi ci sono stati problemi con la ricezione di alcune PEC false che sembravano provenire dall’Agenzia delle Entrate.

Cos’è il cosiddetto “phishing”? Si tratta di una frode informatica che ha come obiettivo quello di rubare i dati dell’utente che ne è vittima, acquisendo, ad esempio, i numeri della sua carta di credito. Solitamente, questo furto avviene attraverso l’uso di email che, all’apparenza possono essere state inviate da un mittente affidabile (la propria banca, la posta, ecc.), ma che in realtà nascondono la truffa. Chi invia l’email infetta cerca di far inserire all’utente alcuni dei suoi dati, con la scusa, ad esempio, della scadenza della password o della presenza di un’offerta inimitabile.

Il 13 settembre scorso, l’Agenzia delle Entrate, in un comunicato stampa, ha informato la cittadinanza del pericolo di phishing proprio attraverso la PEC a nome della stessa agenzia. Sul sito si può leggere che:

“Attenzione alle false comunicazioni di posta elettronica certificata. Negli ultimi giorni sono state infatti segnalate delle false email indirizzate a privati e professionisti provenienti da indirizzi Pec validi, non legati in alcun modo all’Agenzia.

I messaggi, tuttavia, hanno un oggetto che assomiglia a un numero di protocollo utilizzato per le classiche comunicazioni dell’Agenzia (COMUNICAZIONE XXXXXXXXXX [ENTRATE|AGEDCXXX|REGISTRO) e includono in allegato un file in formato zip che contiene a sua volta un documento pdf non valido ed un file vbs. Quest’ultimo, se lanciato, scarica sul computer un software dannoso per ottenerne il controllo.

L’Agenzia è estranea a tali comunicazioni e raccomanda ai cittadini che hanno ricevuto queste Pec di cestinarle senza aprirne gli allegati”.

Come difendersi in generale dal phishing? Fra i sistemi più efficaci troviamo quelli, ad esempio, di controllare sempre la veridicità della mail del mittente e di evitare di cliccare su link senza aver prima verificato l’URL . In generale, queste email non sono personalizzate (ad esempio non appare il vostro nome) e hanno al loro interno un messaggio piuttosto allarmante (scadenza o chiusura del conto, problemi tecnici, ecc.). In più, è bene ricordare che, solitamente, le banche o altri enti di questo tipo non chiedono mai dati sensibili attraverso la mail.

Se vuoi ricevere maggiori informazioni sul tema, puoi consultare il nostro elenco di professionisti esperti in diritto dell’informatica.