Magazine

Gli allegati a una PEC: rischi e misure di prevenzione

09/09/2021
Gli allegati a una PEC: rischi e misure di prevenzione
La Posta Elettronica Certificata (PEC) è diventata uno strumento essenziale per svolgere molte attività online. Fondamentale per i professionisti e le imprese, viene inoltre oggi utilizzata come mezzo principale per le comunicazioni con la Pubblica Amministrazione e sta mano a mano sostituendo la tradizionale raccomandata con ricevuta di ritorno. Tuttavia, proprio in virtù di questa sua diffusione, specialmente nel contesto di relazioni professionali e istituzionali, ha attirato l’attenzione dei criminali informatici, creando nuovi e importanti rischi rispetto ai quali i gestori hanno dovuto alzare la soglia di attenzione.

Quali sono i rischi principali in una PEC?

Negli ultimi anni le PEC sono state usate in molti casi dai malintenzionati online come veicolo per virus o malware. Questo processo è facilitato dalla mancata comprensione, da parte di una grossa fetta degli utenti, del funzionamento del meccanismo di posta certificata e dei suoi allegati, nonostante il processo sia oggettivamente piuttosto semplice.

In particolare, bisogna tenere presente quale sia la funzione della PEC: garantire l’integrità del contenuto del messaggio, di cui fanno parte gli allegati, data e ora di invio e di consegna, fornendo al mittente uno strumento che legalmente può essere equiparato alla raccomandata con ricevuta di ritorno. La valenza legale del mezzo non va confusa con sicurezza del contenuto del messaggio e dei suoi allegati e questo, purtroppo, è un elemento che rischia di essere trascurato da molti utenti. Niente impedisce, insomma, che questo meccanismo sia utilizzato da un criminale informatico per diffondere virus e malware, tipicamente tramite gli allegati. Tuttavia, la percezione diffusa è che le e-mail ricevute a mezzo PEC siano generalmente comunicazioni formali o addirittura istituzionali, perciò sarà più probabile che i destinatari siano indotti ad aprire gli allegati quando, nel contesto della posta elettronica ordinaria, siamo ormai tutti abituati a diffidare degli allegati a e-mail inviate da indirizzi sconosciuti.

Gli allegati sono il mezzo solitamente usato per il “trasporto” di virus e malware perché consistono in file di vario formato, tra cui anche documenti con contenuto attivo. Un elemento che deve immediatamente far scattare un campanello d’allarme è quando l’allegato è un file cifrato o un file compresso e protetto da password: in questi casi, infatti, il suo contenuto non potrà essere sottoposto a una scansione antivirus.

È fondamentale, insomma, reagire all’arrivo di una PEC da un indirizzo sconosciuto con la stessa attenzione che si presterebbe ai casi in cui ciò avvenisse tramite posta elettronica ordinaria; in particolare, non aprire allegati a tale comunicazione senza aver prima verificato l’attendibilità della stessa (magari, ad esempio, contattando il mittente tramite un diverso canale per chiedergli conferma dell’invio), specialmente se si tratta di file criptati, zippati o con contenuto eseguibile (come quelli con le estensioni .exe, .vsb, .js, .bat).

I rischi non sono di poco conto. L’entrata di un virus o malware nel sistema del nostro PC può comportare:
  • la perdita di informazioni;
  • il blocco totale del suo funzionamento;
  • in alcuni casi, vere e proprie richieste di riscatto per via digitale, con conseguenti ricatti per ottenere nuovamente l’accesso (come avviene con i ransomware);
  • l’ottenimento da parte di soggetti terzi malintenzionati di nostri dati personali, con conseguenze anche piuttosto rilevanti dal punto di vista finanziario e ripercussioni sulla nostra vita privata.

Quali sono i controlli attivi sugli allegati della PEC?

L’articolo 12 del “Regolamento recante disposizioni per l'utilizzo della posta elettronica certificata, a norma dell'articolo 27 della legge 16 gennaio 2003, n. 3” (D.P.R. 11 febbraio 2005, n. 68, pubblicato in Gazzetta Ufficiale il 28 marzo 2005) stabilisce che i gestori di servizi di Posta Elettronica Certificata che ricevano messaggi contenenti virus informatici hanno l’obbligo di non accettarli, qualora si tratti del gestore del mittente, o comunque a non inoltrarli, nel caso del gestore del destinatario, informando il mittente dell’impossibilità di dare corso alla trasmissione.

Inoltre, è previsto un meccanismo di vigilanza da parte dei gestori dei servizi di PEC, che comporta degli obblighi di comunicazione nei confronti dell’Agenzia per l’Italia Digitale (AGID). In particolare, la circolare di vigilanza CR/51/2006, pubblicata in Gazzetta Ufficiale il 21 dicembre 2006, prevede che tali soggetti trasmettano bimestralmente o quadrimestralmente alcune informazioni.

Per quanto riguarda la cadenza bimestrale, devono essere comunicati all’AGID i dati relativi a:
  • numero di caselle in esercizio per ciascun dominio gestito,
  • numero totale giornaliero di messaggi di PEC in ingresso alle caselle gestite ed in uscita dalle stesse,
  • numero totale giornaliero di virus rilevati in ingresso ai sistemi gestiti ed in uscita dagli stessi.
Con cadenza quadrimestrale, invece, devono essere trasmessi i dati relativi ai livelli di servizio erogati.
Nel caso in cui siano rilevati dall’AGID problemi significativi, l’Agenzia sospende l’attività del gestore del servizio di PEC.

L’AGID può inoltre effettuare sopralluoghi presso le strutture operative utilizzate dal gestore per verificare la conformità del sistema PEC.

Questo sistema di condivisione delle informazioni e di azioni comunitarie operate tra i Gestori ha fatto sì che l’Agenzia per l’Italia Digitale (AgID) si sia potuta dotare di un database particolarmente ricco, relativo appunto a informazioni su virus, malware e fenomeni di malspam, tale da permettere di prevenire gli attacchi informatici o quanto meno di bloccarli in fase precoce.

Uno dei risultati a cui ha portato questa intensa attività di controllo e vigilanza, ad esempio, è una lista di estensioni di file non veicolabili tramite PEC, perché ritenuti non sicuri, stilata proprio da AgID.

Come sempre i Gestori accreditati sono tenuti a osservare le linee di indirizzo di AgID, soprattutto in tema di sicurezza.

Per questo Aruba ha aggiunto ai propri sistemi una serie di controlli automatici che consentono di evitare la circolazione di allegati ritenuti rischiosi per la sicurezza.

Sulla webmail PEC di Aruba e sull'APP Aruba PEC, è attivo un controllo automatico sull’estensione dei file che si intende caricare in allegato, sia in fase di invio, sia in fase di inoltro di un messaggio.

Nel caso in cui l’estensione rientri tra quelle mappate da AgID e quindi non sia ritenuta sicura, ne verrà bloccato il caricamento o l’inoltro, impedendone così la diffusione.

Per quanto riguarda invece l’invio di allegati tramite client di posta elettronica (come Outlook, per citare uno dei più conosciuti, o Thunderbird), quando viene verificata la presenza di file non sicuri, il messaggio non viene recapitato al destinatario e al mittente della comunicazione viene inviato un Avviso di Mancata Accettazione per errori formali.

I controlli e le azioni descritte vengono attivati anche nel caso in cui i file con estensioni non sicure siano stati precedentemente rinominati (ad esempio, se l’estensione di un file .exe è stata rinominata in .txt).

Ma non finisce qui. Aruba infatti, applica meccanismi di controllo e avviso anche nel caso di file contenenti macro, file cifrati oppure contenuti in archivi compressi (ad esempio file .rar o file .zip) protetti da password, sui quali quindi non è possibile una scansione dei singoli file.

In questi casi, infatti, il cliente viene avvisato da uno specifico messaggio contenuto nella busta di trasporto del fatto che il messaggio contiene file cifrati che non possono essere scansionati oppure file che contengono macro potenzialmente pericolose, focalizzando quindi l’attenzione del destinatario sull’opportunità o meno di aprire tali allegati.

A cura di Wolters Kluwer