Guai a fidarsi. Anche la PEC, la Posta Elettronica Certificata teoricamente super-blindata, può essere violata. E se pensiamo che proprio la PEC è il fulcro della nostra identità digitale c’è da preoccuparsi. Correre ai ripari si deve e si può. Mettendo in atto una strategia di difesa che però deve tenere conto di tutti i mezzi telematici che ruotano proprio intorno alla nostra PEC.
Lo scenario che preoccupa e gli attacchi che si moltiplicano
SPID, Carta di Identità elettronica (CIE) e PEC dovevano essere la combinazione vincente del nostro futuro digitale. Anzi del nostro Domicilio Digitale, visto che SPID e CIE (in futuro solo quest’ultima, nei piani del Governo in carica) servono a riconoscerci e a validare ufficialmente i nostri accessi ai portali della pubblica amministrazione e non solo, mentre la PEC è il recipiente telematico dove scambiare informazioni e documenti in maniera teoricamente sicura e blindata.
Tutto sul pc (o sul cellulare, oppure sul tablet), niente spostamenti, nessuna fila, massima sicurezza e tutto immediatamente disponibile. È vero, è il futuro. Ma il presente ci obbliga ad un problematico rodaggio. Le nostre abitudini devono adattarsi, cambiare, modernizzarsi. Ma le tecnologie e del Web hanno i loro fantasmi. E il cammino qualche volta deraglia. Gli hacker, gli spioni, i ladri di dati, di identità e – se gli va bene – dei nostri averi. Le cronache ne sono piene. Sta di fatto che nostro domicilio digitale è a rischio.
È fresca di stampa e di web la notizia che nei giorni scorsi molte utenze Spid italiane sono state violate dagli hacker, che fortunatamente sarebbero riusciti solo a sottrarre dati (comunque sensibili) sui titolari e non le credenziali di accesso. Credenziali comunque protette obbligatoriamente per tutti da un sistema di validazione a due fattori tramite il nostro ormai inseparabile smartphone. E solo su quello, appositamente validato per queste operazioni.
Per la PEC il discorso è diverso, più delicato, ancor più insidioso. Per due motivi. Il primo: le normali utenze PEC ormai in vigore da molti anni sono ancora affidate nella maggioranza dei casi a un sistema di validazione con un singolo passaggio, che va considerato ormai rudimentale, ovvero la semplice digitazione del nome utente e password. Secondo motivo: la PEC è esposta, nonostante qualche sbarramento in più, a molti dei mali della posta elettronica ordinaria.
Quello che inviamo dalla nostra PEC regolarmente attivata è rigorosamente certificato come “equivalente” al contenuto di una raccomandata? Si. Quello che riceviamo lo è altrettanto? Si, ma solo se sappiamo a nostra volta controllare minuziosamente la regolarità delle certificazioni correlate al messaggio e alla relativa documentazione in entrata. Sembra un controsenso ma è così.
Perché, e come, la PEC e può contenere un inganno
Phishing (tentativi di truffa per carpire dati sensibili o, peggio, di dirottare su pratiche commerciali fraudolente), virus informatici (spesso per ottenere quel che si tenta di carpire con il phishing), il tutto per attuare magari veri furti d’identità per altre frodi ancora più gravi. La PEC non può essere considerata indenne. Può infatti soffrire degli stessi mali che colpiscono la posta elettronica ordinaria. Perché si tratta magari di una mail ordinaria mascherata da PEC che ci viene presentata come tale nel nostro indirizzo PEC, oppure perché effettivamente si tratta di una PEC che però è stata attivata in maniera fraudolenta: succede anche questo.
Nel primo caso l’inganno sfrutta l’eventualità che la nostra PEC non sia limitata solo alla ricezione delle altre PEC ma che sia aperta anche alla ricezione di messaggi di posta elettronica ordinari: un’opzione che esiste in praticamente in tutti i servizi PEC, con la possibilità di scegliere l’una o l’altra modalità. Nel secondo caso gli obblighi di fornire i dati essenziali del titolare dell’PEC all’atto di attivazione del servizio possono non essere così rigorosi come sarebbe d’obbligo nonostante le procedure di certificazione dei provider. Anche qui un abile ladro di identità può riuscire ad attivare una casella PEC apparentemente normale, magari a nome di un ignaro cittadino, usandola per scopi fraudolenti.
Sono ormai ciclici, solo per fare un esempio, i messaggi mascherati da PEC che a nome dell’Agenzia delle Entrate chiedono di versare su un conto truffaldino, magari usa e getta allocato all’estero (occhio in questo caso all’IBAN non italiano) somme nella maggior parte dei casi relativamente ridotte, tali da indurci a pagare subito “per non pensarci più”.
Non a caso le nuove procedure per rendere la PEC “europea”, ovvero conforme alle regole comunitarie e interoperabile, consentendo così di scambiare messaggi di posta elettronica certificata in tutta Europa, prevedono accorgimenti di sicurezza ben più rigorosi e aggiuntivi rispetto a quelli della normale PEC.
Per rendere europea la nostra PEC diventa obbligatoria l’autenticazione a due fattori con un nuovo rigoroso riconoscimento dell’identità del titolare, con una procedura da attivare attraverso lo SPID o la CIE. Lo stesso negli altri paesi. Tutto risolto? Niente affatto. La trasformazione dell’PEC in “europea” sarà nei fatti obbligatoria solo nei prossimi mesi e se le procedure italiane di “europeizzazione” della PEC sembrano sufficientemente rigorose siamo sicuri che nella moltitudine degli altri paesi sarà così? Rimane poi il problema della ricezione delle mail normali magari mascherate da PEC nell’intestazione, dal taroccamento che può essere palese per un occhio esperto ma che può sfuggire a chi è meno attento.
Come alzare le barriere della nostra Posta Certificata
Una buona strategia di difesa della PEC prevede una serie di azioni combinate, da aggiungere agli ormai stranoti accorgimenti per proteggere la nostra navigazione Internet e le nostre mail dai pirati informatici.
Innanzitutto disattiviamo nella configurazione della nostra casella PEC la ricezione dei messaggi di posta elettronica ordinaria. È vero che tutti i servizi PEC italiani prevedono un apposito messaggio di allerta se la posta in entrata non proviene a sua volta da una PEC, ma nella confusione dei messaggi in arrivo l’altolà può sfuggire. Disattivare la ricezione delle e-mail ordinarie è la soluzione migliore. D’altra parte che utilità c’è a ricevere una mail ordinaria sulla PEC quando abbiamo uno o più indirizzi e-mail “normali” che forniamo a tutti i nostri interlocutori? La PEC serve per i messaggi in qualche modo “ufficiali” ed è bene limitarne l’uso solo a quelli.
Per riconoscere il possibile imbroglio di una PEC apparentemente autentica innanzitutto esaminiamo bene l’indirizzo di provenienza. Se abbiamo anche il minimo sospetto di irregolarità verifichiamo innanzitutto che si tratta di un indirizzo reale, che corrisponde effettivamente al mittente. Per farlo mandiamo a nostra volta una PEC con la richiesta di conferma al medesimo indirizzo e attendiamo la risposta. A quel punto facciamo un ulteriore controllo inserendo l’indirizzo PEC del mittente in un motore di ricerca per verificare la reale corrispondenza ad un intestatario reale (privato, società, ente, amministrazione pubblica) che esercita l’attività con la quale si presenta. Nel caso facciamo un controllo incrociato via telefono.
Certo, la nostra provvidenziale verifica si presenta a volte agevole, a volte meno. Una sedicente multa stradale può essere non semplice da scandagliare, un sospetto taroccamento della richiesta di pagamento a nome dell’Agenzia delle Entrate piò essere svelata con facilità: è l’occasione buona per attivare comodamente dal pc il nostro Cassetto fiscale, se non lo abbiamo già fatto, seguendo uno dei tutorial proposti da FIRSTonline.
