24 Settembre 2021
Gli allegati di una PEC: minacce e misure di prevenzione
La Posta Elettronica Certificata (PEC) è diventata uno strumento essenziale per svolgere molte attività online. Tuttavia, ha attirato l’attenzione dei criminali informatici, creando nuovi ed importanti rischi rispetto ai quali i gestori hanno dovuto alzare la soglia di attenzione.
Questo processo è facilitato dalla mancata comprensione del funzionamento del meccanismo di posta certificata e dei suoi allegati, nonostante sia piuttosto semplice.
La PEC ha la funzione di garantire l’integrità del contenuto del messaggio fornendo al mittente uno strumento che legalmente può essere equiparato alla raccomandata con ricevuta di ritorno.
La valenza legale non va confusa con la sicurezza del contenuto del messaggio e dei suoi allegati. Niente impedisce, quindi, che questo meccanismo sia utilizzato da un criminale informatico per diffondere virus e malware.
La percezione diffusa è che le e-mail ricevute a mezzo PEC siano generalmente comunicazioni formali o addirittura istituzionali, perciò sarà più probabile che i destinatari siano indotti ad aprire gli allegati quando, nel contesto della posta elettronica ordinaria, siamo ormai tutti abituati a diffidare degli allegati a e-mail inviate da indirizzi sconosciuti.
È fondamentale, insomma, reagire all’arrivo di una PEC con la stessa attenzione che si presterebbe ai casi in cui ciò avvenisse tramite posta elettronica ordinaria; in particolare, non aprire allegati a tale comunicazione senza aver prima verificato l’attendibilità della stessa, specialmente se si tratta di file criptati, zippati o con contenuto eseguibile.
I rischi non sono di poco conto. L’entrata di un virus o malware nel sistema del nostro PC può comportare:
Inoltre, è previsto un meccanismo di vigilanza da parte dei gestori dei servizi di PEC, che comporta degli obblighi di comunicazione nei confronti dell’Agenzia per l’Italia Digitale (AGID). In particolare, è previsto che tali soggetti trasmettano bimestralmente o quadrimestralmente alcune informazioni.
Per quanto riguarda la cadenza bimestrale, devono essere comunicati all’AGID i dati relativi a:
Con cadenza quadrimestrale, invece, devono essere trasmessi i dati relativi ai livelli di servizio erogati.
Nel caso in cui siano rilevati dall’AGID problemi significativi, l’Agenzia sospende l’attività del gestore del servizio di PEC.
L’AGID può inoltre effettuare sopralluoghi presso le strutture operative utilizzate dal gestore per verificare la conformità del sistema PEC.
Uno dei risultati a cui ha portato questa intensa attività di controllo e vigilanza, ad esempio, è una lista di estensioni di file non veicolabili tramite PEC, perché ritenuti non sicuri.
Quali sono i rischi principali di una PEC?
Negli ultimi anni le PEC sono state usate dai malintenzionati online come veicolo per virus o malware.Questo processo è facilitato dalla mancata comprensione del funzionamento del meccanismo di posta certificata e dei suoi allegati, nonostante sia piuttosto semplice.
La PEC ha la funzione di garantire l’integrità del contenuto del messaggio fornendo al mittente uno strumento che legalmente può essere equiparato alla raccomandata con ricevuta di ritorno.
La valenza legale non va confusa con la sicurezza del contenuto del messaggio e dei suoi allegati. Niente impedisce, quindi, che questo meccanismo sia utilizzato da un criminale informatico per diffondere virus e malware.
La percezione diffusa è che le e-mail ricevute a mezzo PEC siano generalmente comunicazioni formali o addirittura istituzionali, perciò sarà più probabile che i destinatari siano indotti ad aprire gli allegati quando, nel contesto della posta elettronica ordinaria, siamo ormai tutti abituati a diffidare degli allegati a e-mail inviate da indirizzi sconosciuti.
È fondamentale, insomma, reagire all’arrivo di una PEC con la stessa attenzione che si presterebbe ai casi in cui ciò avvenisse tramite posta elettronica ordinaria; in particolare, non aprire allegati a tale comunicazione senza aver prima verificato l’attendibilità della stessa, specialmente se si tratta di file criptati, zippati o con contenuto eseguibile.
I rischi non sono di poco conto. L’entrata di un virus o malware nel sistema del nostro PC può comportare:
- la perdita di informazioni;
- il blocco totale del suo funzionamento;
- in alcuni casi, vere e proprie richieste di riscatto per via digitale, con conseguenti ricatti per ottenere nuovamente l’accesso (come avviene con i ransomware);
- l’ottenimento da parte di soggetti terzi malintenzionati di nostri dati personali, con conseguenze anche piuttosto rilevanti dal punto di vista finanziario e ripercussioni sulla nostra vita privata.
Quali sono i controlli attivi sugli allegati della PEC?
Il “Regolamento recante disposizioni per l'utilizzo della posta elettronica certificata” stabilisce che i gestori di servizi di Posta Elettronica Certificata che ricevano messaggi contenenti virus informatici hanno l’obbligo di non accettarli, qualora si tratti del gestore del mittente, o comunque a non inoltrarli, nel caso del gestore del destinatario, informando il mittente dell’impossibilità di dare corso alla trasmissione.Inoltre, è previsto un meccanismo di vigilanza da parte dei gestori dei servizi di PEC, che comporta degli obblighi di comunicazione nei confronti dell’Agenzia per l’Italia Digitale (AGID). In particolare, è previsto che tali soggetti trasmettano bimestralmente o quadrimestralmente alcune informazioni.
Per quanto riguarda la cadenza bimestrale, devono essere comunicati all’AGID i dati relativi a:
- numero di caselle in esercizio per ciascun dominio gestito,
- numero totale giornaliero di messaggi di PEC in ingresso alle caselle gestite ed in uscita dalle stesse,
- numero totale giornaliero di virus rilevati in ingresso ai sistemi gestiti ed in uscita dagli stessi.
Con cadenza quadrimestrale, invece, devono essere trasmessi i dati relativi ai livelli di servizio erogati.
Nel caso in cui siano rilevati dall’AGID problemi significativi, l’Agenzia sospende l’attività del gestore del servizio di PEC.
L’AGID può inoltre effettuare sopralluoghi presso le strutture operative utilizzate dal gestore per verificare la conformità del sistema PEC.
Uno dei risultati a cui ha portato questa intensa attività di controllo e vigilanza, ad esempio, è una lista di estensioni di file non veicolabili tramite PEC, perché ritenuti non sicuri.
Richiedi informazioni