Hai appena ricevuto una fattura elettronica via PEC? Attento: potrebbe essere una trappola. L’allarme arriva dall’Agenzia delle Entrate, che ha segnalato un’impennata di truffe a danno di professionisti, imprese e titolari di partita IVA. Le email sembrano autentiche, spesso con documenti fiscali allegati o link che promettono regolarità , ma sotto la superficie si nascondono insidie. La posta elettronica certificata, considerata una garanzia di sicurezza, in questo caso diventa un’arma a doppio taglio. Un clic sbagliato e si apre la porta a virus, furti di dati e danni ben più gravi.
Truffa via PEC: come funziona il raggiro sulle false fatture
La truffa si basa su email PEC che imitano comunicazioni dell’Agenzia delle Entrate o di altri enti fiscali. All’interno delle mail c’è un archivio compresso che contiene un file HTML. Attenzione: il trucco funziona solo su sistemi Windows. Chi prova ad aprire il file da Mac, smartphone o tablet riceve un messaggio di errore. Nel testo, i truffatori invitano esplicitamente a «usare un PC per aprire e scaricare il documento» e dicono che una versione per dispositivi mobili è «in lavorazione».
Aprendo il file HTML su Windows, compare un pulsante per scaricare la fattura elettronica. Il link però resta nascosto finché non si sposta il cursore sopra il pulsante. Cliccandoci, la vittima viene indirizzata a un sito che avvia automaticamente il download e l’esecuzione di uno script PowerShell. Questo script infetta il computer con un malware che può rubare dati, spiare l’utente o prendere il controllo del sistema. Il pericolo sta nel fatto che tutto sembra una semplice operazione fiscale, ma in realtà è un attacco ben studiato.
PEC: uno strumento sicuro, ma non infallibile contro il phishing
La PEC garantisce la consegna, l’integrità e la tracciabilità delle email, ma non assicura che il mittente sia davvero chi dice di essere. Account PEC possono essere violati o creati apposta per truffe. Negli ultimi mesi si è visto un aumento delle campagne di phishing che sfruttano caselle PEC compromesse per diffondere malware. La posta elettronica certificata certifica solo l’invio e la ricezione, non il contenuto o la reale identità del mittente.
Spesso gli utenti si fidano troppo delle email PEC, considerate automaticamente sicure. Questo abbassa la guardia e facilita il lavoro dei truffatori, che così riescono a far circolare virus e a rubare dati riservati. Per questo è fondamentale stare sempre all’erta, soprattutto quando si ricevono email con allegati o link inattesi legati a questioni fiscali.
Riconoscere una mail falsa che si spaccia per l’Agenzia delle Entrate
Ci sono alcuni segnali da non sottovalutare. Prima regola: diffidare sempre di email con allegati strani o non richiesti. Attenzione anche alle richieste di dati personali o bancari via mail o link. Un altro campanello d’allarme sono i messaggi che spingono a risolvere problemi fiscali con urgenza o minacciano conseguenze immediate.
L’Agenzia delle Entrate ricorda che non chiede mai password, coordinate bancarie, codici di accesso o informazioni sensibili via posta ordinaria o PEC. Sul sito ufficiale c’è una sezione aggiornata con le segnalazioni di phishing, utile per confrontare e riconoscere le truffe. Fare un controllo incrociato con fonti ufficiali può evitare guai seri.
Cosa fare se arriva una PEC sospetta
Il primo consiglio è non aprire allegati né cliccare su link sospetti. Se un’email lascia dubbi, conviene subito verificarla sul sito dell’Agenzia delle Entrate. Se non corrisponde a comunicazioni ufficiali o è segnalata come phishing, meglio eliminarla senza interagire.
Chi lavora con la fatturazione elettronica — professionisti, studi associati, aziende — deve restare particolarmente vigile. Sono proprio loro il bersaglio preferito degli hacker, per la quantità e il valore delle informazioni in gioco. Tenere aggiornati antivirus e software, usare password robuste e controllare sempre le comunicazioni fiscali sono le armi migliori per difendersi da minacce che diventano sempre più sofisticate.