Microsoft 365 a rischio, nuova truffa via email della Pubblica Amministrazione

Furto di credenziali Microsoft 365 con email della PA

Email istituzionali sotto attacco

I nuovi schemi di truffa sfruttano caselle di posta appartenenti a enti pubblici per colpire dipendenti e fornitori, con l’obiettivo di sottrarre credenziali di accesso a servizi cloud professionali.
Secondo gli esperti del CERT-AgID, i criminali informatici riescono prima a violare alcune caselle istituzionali, spesso attraverso tecniche di ingegneria sociale e scarsa consapevolezza di sicurezza da parte del personale.
Una volta ottenuto il controllo delle caselle, i messaggi fraudolenti appaiono perfettamente coerenti con le normali comunicazioni amministrative, aumentando drasticamente il tasso di successo.

Le email vengono inviate con il destinatario apparente uguale al mittente, mentre gli indirizzi reali delle vittime sono nascosti nel campo CCN, tecnica che rende difficile comprendere la portata della campagna malevola.
In allegato compaiono file PDF che rimandano a un collegamento esterno, apparentemente dedicato alla consultazione di documenti contabili o amministrativi, come fatture o comunicazioni ufficiali.
I truffatori puntano sulla fiducia implicita verso domini governativi e sulla routine lavorativa di chi, ogni giorno, gestisce grandi volumi di documenti digitali senza poter verificare nel dettaglio ogni singolo contenuto.

L’escalation di questi attacchi dimostra la crescente attenzione del cybercrimine verso la Pubblica Amministrazione italiana e la necessità di politiche di sicurezza centralizzate, con formazione obbligatoria e controlli stringenti su accessi e dispositivi.

Catena tecnica del raggiro

Il meccanismo fraudolento si sviluppa su più livelli, sfruttando piattaforme esterne legittime per aggirare i filtri antispam e accrescere la credibilità del messaggio.
Cliccando sul link presente nell’email o nel PDF, l’utente viene indirizzato a una risorsa ospitata su Figma, servizio di collaborazione grafica usato abitualmente anche da aziende e uffici pubblici.
La presenza di un ambiente noto e di un’interfaccia curata induce la vittima a considerare normale la procedura, riducendo la soglia di allerta e favorendo il proseguimento del percorso di phishing.

All’interno della risorsa caricata è presente un ulteriore collegamento, presentato come accesso a un documento “urgente” o “importante”, spesso collegato a pagamenti, contratti o atti amministrativi.
Il clic porta a una pagina di autenticazione che riproduce in modo quasi perfetto l’aspetto della schermata di login di Microsoft 365, con loghi, campi e testi simili all’originale.
Inserendo username e password, l’utente consegna di fatto le chiavi del proprio account a chi ha organizzato l’attacco, consentendo accesso a email, file, rubriche e altri dati sensibili.

Una volta in possesso delle credenziali, i criminali possono proseguire la propagazione della campagna utilizzando ulteriori caselle istituzionali compromesse, rendendo la truffa sempre più difficile da distinguere da una comunicazione lecita e aumentando il rischio di danni economici e reputazionali.

Difese per uffici e cittadini

Per ridurre l’efficacia di questi attacchi è fondamentale potenziare la sicurezza degli account, combinando tecnologie, procedure e formazione continua del personale.
L’attivazione della autenticazione a più fattori su tutti gli accessi alla suite cloud limita notevolmente il rischio che la sola password rubata sia sufficiente per compromettere un profilo istituzionale.
Le amministrazioni dovrebbero adottare policy che impongano il cambio periodico delle credenziali, monitoraggio proattivo degli accessi anomali e log centralizzati per la rilevazione di comportamenti sospetti.

Sul fronte organizzativo, è necessario stabilire linee guida chiare su come devono essere condivisi documenti sensibili, evitando link generici e privilegiando portali certificati con accesso diretto dall’intranet.
Ogni dipendente dovrebbe essere formato a riconoscere indicatori di rischio: mittenti anomali, richieste insolite di login, richieste urgenti di pagamento o consultazione documenti tramite piattaforme esterne.
In presenza del minimo dubbio, la verifica va effettuata attraverso canali ufficiali interni, senza rispondere direttamente al messaggio sospetto né cliccare su link o allegati non previsti.

Il ruolo degli organismi nazionali di cybersicurezza, come CERT-AgID e le strutture di sicurezza digitale delle singole amministrazioni, resta centrale per coordinare allerta tempestive, fornire indicatori di compromissione e supportare gli uffici tecnici negli interventi di bonifica delle caselle violate.

FAQ

D: Cosa rende queste email particolarmente insidiose?
R: Provengono da caselle istituzionali realmente compromesse e imitano perfettamente comunicazioni amministrative ordinarie.

D: Perché viene usata una piattaforma esterna come Figma?
R: Per sfruttare un servizio legittimo, eludere i filtri antispam e aumentare la fiducia dell’utente durante il percorso di phishing.

D: Qual è l’obiettivo finale dei criminali?
R: Ottenere credenziali di accesso a Microsoft 365 per controllare email, documenti e contatti, e ampliare la campagna di attacco.

D: Come posso accorgermi che la pagina di login è falsa?
R: Verificando sempre l’URL nel browser, evitando di inserire credenziali dopo aver cliccato link contenuti in messaggi inattesi o sospetti.

D: Cosa devono fare le Pubbliche Amministrazioni per proteggersi?
R: Implementare autenticazione a più fattori, formazione obbligatoria sul phishing e monitoraggio costante degli accessi alle caselle istituzionali.

D: Un cittadino che riceve un’email sospetta cosa deve fare?
R: Non cliccare sui link, contattare direttamente l’ente tramite canali ufficiali e segnalare il messaggio all’ufficio competente o al proprio provider.

D: Qual è il ruolo del CERT-AgID in questi episodi?
R: Il CERT-AgID rileva le campagne, avvisa le amministrazioni coinvolte, fornisce indicatori tecnici e supporta le attività di contenimento.

D: Qual è la fonte giornalistica originale che ha segnalato questa campagna?
R: La descrizione degli attacchi è stata inizialmente riportata nelle comunicazioni ufficiali del CERT-AgID, riprese dalla stampa specializzata di cybersicurezza.

Michele Ficara Manganelli ✿∴♛🌿🇨🇭

Direttore Editoriale Assodigitale.it Phd, MBA, CPA

About the Author Latest Posts

Storico esperto di Digital Journalism e creatore di Immediapress la prima Digital Forwarding Agency italiana poi ceduta al Gruppo ADNkronos, evangelista di Internet dai tempi di Mozilla e poi antesignano (ora pentito) dei social media in italia, Bitcoiner Evangelist, portatore sano di Ethereum e Miner di crypto da tempi non sospetti. Sono a dir poco un entusiasta della vita, e già questo non è poco. Intimamente illuminato dalla Cultura Life-Hacking, nonchè per sempre ed indissolubilmente Geek, giocosamente Runner e olisticamente golfista. #senzatimore è da decenni il mio hashtag e significa il coraggio di affrontare l'ignoto. Senza Timore. Appunto

Areas of Expertise: Digital Marketing, SEO, Content Strategy, Crypto, Blockchain, Fintech, Finance, Web3, Metaverse, Digital Content, Journalism, Branded Content, Digital Transformation, AI Strategy, Digital Publishing, DeFi, Tokenomics, Growth Hacking, Online Reputation Management, Emerging Tech Trends, Business Development, Media Relations, Editorial Management.

• Motor Valley Fest chiusura trionfale tra numeri record, innovazione e nuove sfide globali 1 Giugno 2026
• Ferrari tra reputazione minacciata e scommessa sull’innovazione, investitori temono contraccolpo sul titolo in borsa 1 Giugno 2026
• Affitti, scadenza imposta di registro: ecco chi deve pagare e come mettersi in regola 1 Giugno 2026
• Mercato smartphone in caduta libera, analisti spiegano le cause del peggior crollo nelle vendite globali 1 Giugno 2026
• Wikipedia verso lo stop, centinaia di editor insorgono contro i licenziamenti improvvisi 1 Giugno 2026

michele.ficara@assodigitale.it

Facebook Twitter LinkedIn Instagram YouTube Telegram

Fact Checked & Editorial Guidelines

Our Fact Checking Process

We prioritize accuracy and integrity in our content. Here's how we maintain high standards:

1. Expert Review: All articles are reviewed by subject matter experts.
2. Source Validation: Information is backed by credible, up-to-date sources.
3. Transparency: We clearly cite references and disclose potential conflicts.

Reviewed by: Subject Matter Experts

Our Review Board

Our content is carefully reviewed by experienced professionals to ensure accuracy and relevance.

• Qualified Experts: Each article is assessed by specialists with field-specific knowledge.
• Up-to-date Insights: We incorporate the latest research, trends, and standards.
• Commitment to Quality: Reviewers ensure clarity, correctness, and completeness.

Look for the expert-reviewed label to read content you can trust.