Come
ogni nuovo strumento informatico, anche la fatturazione elettronica
viene sfruttata per perpetrare truffe e reati informatici vari.
Sarà
capitato di ricevere per email o Posta Elettronica Certificata messaggi
apparentemente provenienti dal Sistema
di Intercambio dell’Agenzia delle Entrate. Si tratta di
messaggi ben confezionati, che imitano gli originali autentici.
È corretto ricevere fatture via PEC?
Devo
premettere che il fatto di ricevere fatture elettroniche via PEC non
è una prassi standard. Infatti non è ammesso l’invio diretto dal
cessionario al cedente di documenti fiscali elettronici, ma occorre
passare sempre attraverso il sistema di interscambio.
Il
sistema di interscambio NON invia PEC al destinatario, a meno che
questi non abbia espressamente attivato questa opzione nell’apposita
sezione. Se non si è attivata questa opzione non ci si deve attendere alcuna PEC di consegna fattura dal SdI.
Messaggi con allegato infetto
In
alcuni casi al messaggio è allegato un file che presumibilmente
dovrebbe essere il documento fiscale. Ma osservando bene si noterà
che la sua estensione non è la dovuta .XML ma potrebbe essere un
.XLS (ingannevolmente somigliante) oppure .ZIP , .VBS o anche .DOC.
In
questo tipo di truffe lo scopo è semplicemente quello di installare
un Virus nel computer, probabilmente un ramsonware, ovvero un sistema
in grado di “sequestrare” i dati dell’utente al fine di
chiedere un riscatto. (https://it.wikipedia.org/wiki/Ransomware)
Prevenzione:
-Diffidare
di messaggi di questo tipo anche se provenienti da corrispondenti
conosciuti, anche se si hanno avuti scambi epistolari recenti, anche
se ricevuti attraverso la Posta Certificata,
-Diffidare
a maggior ragione se gli allegati presenti sono diversi da due file
entrambi con estensione .XML,
-Evitare
di aprire l’allegato e/o cliccare sui link eventualmente presenti,
-Verificare
sul Sistema di Interscambio o sul proprio sistema di fatturazione
elettronica se effettivamente è arrivata una fattura e scaricarla
solo da li.
Comunicato stampa dell’AdE del 13 settembre 2019:
Messaggi di phishing senza allegato infetto
Altri
messaggi invece non hanno alcun allegato attivo come sopra descritto.
Possono essere presenti allegati .XML di aspetto conforme.
Nel
testo sono presenti istruzioni che invitano ad utilizzare per i
successivi invii di fatture in formato .XML un nuovo indirizzo PEC.
Ecco
un esempio:
Invio file IT6107048106_abcde.XML.p7m, con identificativo 5243567809. In allegato il file contenente la fattura ed il file contenente i metadati.
La mail e' inviata dal Sistema di Interscambio per la fatturazione elettronica (L. 244/2007).
Se il file allegato presenta estensione .xml.p7m vuol dire che e' stato firmato digitalmente con firma Cades; per aprirlo e' necessario installare sul proprio computer un apposito software.
Tali software sono facilmente reperibili sul web sia a pagamento che gratuitamente (licenza open source). Il file xml ottenuto dopo aver 'decifrato' la firma puo' essere agevolmente visualizzato
in formato PDF utilizzando la funzionalita` 'Visualizza PDF Fattura' dell'area 'Fatturazione elettronica' del sito Fatture e Corrispettivi.
Per qualsiasi necessita' di chiarimenti non rispondere a questa mail, ma utilizzare i tradizionali canali di assistenza presenti sul sito www.fatturapa.gov.it.
Il nuovo indirizzo da utilizzare per inviare le prossime fatture al Sistema di Interscambio, fino ad un eventuale nuovo avviso, e' xxxxxx.xxxxxx@pec.it. L'utilizzo di un indirizzo diverso non garantisce il buon esito del recapito al destinatario.
Quale
è lo scopo di questa minaccia? Come può installare Virus?
Semplicemente
non lo fa. In base a quanto ho potuto osservare ritengo che il
meccanismo di azione è il seguente:
1.
Si induce il soggetto che lecitamente emette una fattura ad un suo
cliente ad inviare la stessa ad un indirizzo controllato dal
truffatore invece di quello del Sistema di Interscambio (si tratta
probabilmente di un indirizzo PEC violato mediante furto di
credenziali),
2.
Il truffatore riceve la fattura e la modifica, sostituendo l’IBAN
del creditore con uno di appoggio,
3.
La fattura viene recapitata al legittimo destinatario attraverso il
regolare sistema di interscambio (Ciò è fattibile perché è
possibile inviare un documento con contenuto del tutto arbitrario,
purché coerente con le specifiche tecniche, anche nelle sezioni
“cedente” e “cessionario”),
4.
Il debitore riceve una fattura, perfettamente regolare ed attesa,
attraverso il canale ufficiale, per cui effettua il bonifico sul
conto truffaldino di appoggio.
Prevenzione:
In
aggiunta alle precauzioni precedentemente indicate:
-Non
inviare mai un documento fiscale ad un indirizzo PEC che non sia
nella forma prevista dall’Agenzia delle Entrate, solitamente
sdi..@pec.fatturapa.it, oppure utilizzare altri canali di
invio quali generatore online dell’AdE, l’upload oppure i sistemi
di fatturazione elettronica di terze parti.
Il rischio esiste anche se non si è il bersaglio diretto del phishing!
Dalla
dinamica appena esposta si può capire che anche un ignaro
destinatario di fattura elettronica può rimanere truffato: può
accadere se a diventare bersaglio del phishing è un suo fornitore.
Come prevenire:
Il
comportamento più efficace contro questo particolare meccanismo di
truffa è quello di verificare sempre il codice IBAN prima del
pagamento, contattando direttamente il soggetto emittente (non
prestare fede nemmeno ai contatti presenti nella fattura stessa).