18 Giugno 2026, di Anna Fabi – PMI.it
L’Agenzia delle Entrate, con l’avviso del 17 giugno 2026, segnala una nuova campagna di phishing via PEC che usa false fatture come esca. I messaggi arrivano da caselle PEC compromesse, così da sembrare affidabili, e contengono in allegato un archivio compresso con un file che, una volta aperto, porta a scaricare codice malevolo sul computer. L’Agenzia disconosce queste comunicazioni e invita a non aprire allegati né link e a cestinare il messaggio.
In sintesi
- l’Agenzia delle Entrate, con l’avviso del 17 giugno 2026, segnala una campagna di phishing via PEC con false fatture in allegato;
- i messaggi arrivano da caselle PEC compromesse e contengono un archivio compresso con un file HTML;
- su Windows compare un pulsante “Scarica Fattura” che porta a un sito malevolo, su altri sistemi una schermata di errore;
- le vere PEC del Sistema di Interscambio arrivano da indirizzi del tipo sdiNN@pec.fatturapa.it con allegati conformi alle specifiche tecniche.
La truffa delle false fatture via PEC
La campagna sfrutta la posta elettronica certificata per recapitare una falsa fattura. Il messaggio arriva da una casella PEC compromessa e porta in allegato un archivio compresso; al suo interno si trova un file HTML che, aperto su Windows, mostra una schermata con un pulsante per scaricare la fattura. Il pulsante non apre alcun documento: conduce a un dominio malevolo che avvia il tentativo di compromettere il computer. Sugli altri sistemi operativi compare invece una schermata di errore.
Il valore legale della PEC sfruttato dai truffatori
La PEC ha valore legale e per questo trasmette un falso senso di sicurezza, che la rende un veicolo particolarmente efficace per chi gestisce ogni giorno fatture e scadenze reali. L’invio da una casella compromessa, in apparenza verosimile, e il richiamo a un adempimento urgente spingono il destinatario ad agire senza verifiche. Per imprese, partite IVA e studi professionali il rischio è più alto, perché un messaggio nocivo può confondersi con la corrispondenza di routine.
Come distinguere una vera PEC del Sistema di Interscambio
Le comunicazioni autentiche legate alla fatturazione elettronica hanno caratteristiche riconoscibili, diverse da quelle della truffa. Una vera PEC del Sistema di Interscambio si riconosce da alcuni elementi:
- il mittente è del tipo sdiNN@pec.fatturapa.it, dove NN è un progressivo numerico a due cifre;
- gli allegati sono conformi alle specifiche tecniche sulla fatturazione elettronica e non sono archivi compressi con file da aprire;
- non viene mai chiesto di scaricare una fattura premendo un pulsante che rimanda a un sito esterno.
L’Agenzia delle Entrate non invia fatture da scaricare tramite link e non recapita documenti fiscali fuori dai canali ufficiali: ogni messaggio che lo fa va trattato come sospetto.
Cosa fare quando arriva una PEC sospetta
Davanti a un messaggio di questo tipo la regola è non interagire. In concreto conviene muoversi così:
- non aprire l’archivio allegato e non avviare i file contenuti;
- non cliccare su pulsanti o link e non inserire dati o credenziali in pagine raggiunte dal messaggio;
- cestinare la comunicazione, dato che l’Agenzia si dichiara estranea a questi invii;
- verificare l’autenticità nella sezione Focus sul phishing del portale agenziaentrate.gov.it o presso l’ufficio territorialmente competente;
- segnalare il messaggio ai canali indicati dall’Agenzia, per aiutare a bloccare la diffusione della truffa.
Chi temesse di aver già aperto l’allegato dovrebbe far controllare il dispositivo e cambiare le credenziali della posta e dei servizi più sensibili.
Come proteggere PC e credenziali in azienda
La difesa più efficace è organizzativa. Tenere l’antivirus e il sistema operativo sempre aggiornati, evitare di aprire allegati o eseguire macro provenienti da mittenti non verificati, attivare l’autenticazione a due fattori su ogni casella e account aziendale riduce in modo netto il rischio. In uno studio o in un’impresa conta anche la formazione dei collaboratori al controllo del mittente e alla gestione dei messaggi sospetti, perché basta un singolo clic per compromettere l’intera rete. Per orientarsi tra le diverse ondate in corso è utile sapere come riconoscere le false email a nome dell’Agenzia delle Entrate.