Da gennaio a metà giugno 2026 il Cert-Agid ha gestito oltre 650 eventi di abuso di caselle PEC, più di sei volte il totale registrato in tutto il 2025. In cinque mesi e mezzo i criminali hanno bruciato la velocità di compromissione che era stata necessaria per riempire dodici mesi dell'anno precedente.
Sei volte il 2025 in cinque mesi
Nel 2025 il Report annuale Cert-Agid sulle campagne malevole 2025 aveva censito 103 eventi PEC malevoli in tutto l'anno, già in crescita di circa l'80% sul 2024 e usati soprattutto per phishing bancario e distribuzione del malware MintsLoader. Nei primi cinque mesi e mezzo del 2026 il conteggio è salito oltre quota 650, con una media di circa 118 eventi al mese contro gli 8-9 dell'anno scorso. La cadenza mensile è cresciuta di tredici volte. L'istogramma settimanale pubblicato dall'agenzia mostra una curva in salita continua, senza un mese di rallentamento: con questa traiettoria il 2026 chiuderà oltre quota 1.400. Per ogni caso rilevato il Cert-Agid chiede al gestore PEC il reset della casella compromessa o la dismissione di quelle registrate ad hoc dai criminali, ma il volume sta saturando il canale di risposta.
Le credenziali rubate altrove
Le caselle bruciate non vengono violate forzando il protocollo PEC, che resta certificato. Gli aggressori entrano con credenziali sottratte altrove e riusate dai titolari. Lo conferma il caso FortiBleed segnalato dal Cert-Agid il 18 giugno 2026: un dataset di credenziali SSL VPN e pannelli amministrativi Fortinet esposti in chiaro, che ha interessato anche la PA italiana. Quando un'azienda subisce un data breach, le password riutilizzate per la PEC finiscono nei database criminali. Il messaggio di notifica dell'avvenuta violazione arriva spesso proprio via PEC e viene archiviato senza essere letto. L'account legittimo si trasforma in veicolo di infezione verso clienti, fornitori e pubbliche amministrazioni che a loro volta ricevono comunicazioni con valore legale.
La nuova campagna di false fatture
Il 17 giugno 2026 l'Avviso dell'Agenzia delle Entrate sulle false fatture via PEC ha disconosciuto una serie di messaggi inviati da caselle PEC compromesse. L'allegato è un archivio compresso con un file HTML: aperto su Windows scarica ed esegue uno script PowerShell che compromette il sistema. Sugli altri sistemi operativi appare una schermata di errore costruita per spingere la vittima a riaprire il file da un PC vulnerabile. Il link dentro il pulsante 'Scarica Fattura' non è in chiaro nel codice, ma viene generato al passaggio del puntatore: così elude l'analisi statica e i filtri automatici dei gestori PEC.
Cosa cambia per chi usa la PEC
Per professionisti, studi e PMI la PEC resta giuridicamente affidabile ma operativamente esposta. Il Cert-Agid ricorda che la posta certificata garantisce solo la consegna, non il contenuto. Tre comportamenti cambiano l'esito concretamente: verificare il dominio del mittente prima di aprire allegati, non riutilizzare la password della casella su altri servizi, leggere le notifiche di data breach invece di archiviarle senza aprirle. L'integrazione dell'intelligenza artificiale nei kit di phishing, già censita dal Cert-Agid nel report 2025, rende i testi indistinguibili dalle comunicazioni autentiche e fa sparire gli errori grammaticali su cui si reggevano gli avvisi di sicurezza tradizionali. Lo stesso schema si sta consolidando anche su altri canali, come mostra la nuova rilevazione automatica delle truffe nei messaggi di testo introdotta da Google.
Cosa fare prima del prossimo bilancio
Il bilancio semestrale renderà il quadro definitivo, ma la cadenza attuale spinge il 2026 oltre quota 1.400 abusi PEC. Conviene non aspettare: cambiare la password della casella, attivare l'autenticazione a due fattori se offerta dal gestore e controllare le proprie credenziali nei database pubblici di password esposte. La segnalazione di abusi al proprio gestore e alla mail [email protected] accelera il reset delle caselle violate. Lo scenario delle minacce digitali si sta riconfigurando intorno all'AI generativa, come emerso anche dall'inquinamento dei modelli linguistici con campagne di disinformazione, e la posta certificata è ormai uno dei vettori più sfruttati in Italia.
Domande frequenti
Perché si è registrato un aumento così significativo degli abusi delle caselle PEC nel 2026?
L'aumento è dovuto principalmente al riutilizzo di credenziali rubate in altri data breach e alla crescente sofisticazione delle campagne malevole, spesso potenziate dall'uso dell'intelligenza artificiale.
Come avvengono le compromissioni delle caselle PEC?
Le compromissioni non avvengono forzando il protocollo PEC, ma tramite l'accesso con credenziali sottratte altrove e riutilizzate dagli utenti.
Quali sono i rischi principali per chi riceve email da caselle PEC compromesse?
I principali rischi includono il phishing bancario, la distribuzione di malware e la ricezione di allegati dannosi, come archivi compressi contenenti script che possono compromettere i sistemi.
Che cosa devono fare professionisti, studi e PMI per proteggere le proprie caselle PEC?
Devono evitare il riutilizzo delle password, verificare sempre il dominio del mittente prima di aprire allegati, leggere attentamente le notifiche di data breach e, se possibile, attivare l'autenticazione a due fattori.
Cosa fare se si sospetta che la propria casella PEC sia stata compromessa?
È consigliato cambiare immediatamente la password, segnalare l'abuso al proprio gestore e a [email protected], e controllare nei database pubblici se le proprie credenziali risultano esposte.
In che modo l’intelligenza artificiale sta influenzando le campagne malevole via PEC?
L'intelligenza artificiale rende i testi delle campagne di phishing molto più credibili e privi di errori grammaticali, rendendo più difficile distinguere le comunicazioni autentiche da quelle malevole.
