L’Italia si colloca tra i leader europei nella cybersecurity, ottenendo un punteggio perfetto di 100/100 nel Global Cybersecurity Index 2024 dell’ITU. Tuttavia, mentre le politiche nazionali, la legislazione e le squadre di risposta dimostrano un’elevata prontezza, un ambito continua a rimanere pericolosamente indietro: la sicurezza delle email.

Secondo il nuovo Italy DMARC & MTA-STS Adoption Report 2025 di PowerDMARC, le organizzazioni italiane nei settori sanitario, finanziario, governativo, energetico, mediatico e in altri settori critici restano esposte ad attacchi di phishing e spoofing. Nonostante significativi progressi nell’adozione di SPF, le lacune diffuse in DMARC, MTA-STS e DNSSEC mettono a rischio miliardi di euro e la fiducia del pubblico.

Principali Insights in Sintesi

SPF: Adozione elevata (91%), ma errori di configurazione continuano a interferire con le comunicazioni legittime.



DMARC: Oltre un quarto dei domini italiani non possiede un record; solo il 16,7% applica la protezione al livello più rigoroso.



MTA-STS: Quasi inesistente, con oltre il 99% dei domini incapaci di proteggere il trasporto email cifrato.



DNSSEC: Abilitato solo sul 3,5% dei domini, lasciando la maggior parte delle organizzazioni vulnerabile al DNS hijacking.

Il rapporto mette in luce forti differenze tra i settori: mentre le istituzioni finanziarie stanno compiendo progressi nell’adozione di misure più severe di autenticazione delle email, i settori sanitario, educativo, dei trasporti e dei media restano altamente esposti.

Cosa è in gioco?

Attacchi di phishing mirati alle banche, email ospedaliere contraffatte che richiedono pagamenti, o falsi avvisi governativi potrebbero erodere la fiducia dei cittadini, causare perdite finanziarie e compromettere la resilienza nazionale.



In effetti, il sistema di posta elettronica certificata (PEC) legalmente riconosciuto in Italia è già stato sfruttato in cosiddetti “scam delle fatture”, in cui i criminali hanno utilizzato credenziali PEC rubate per inviare fatture contraffatte. Secondo Spamhaus, questi episodi hanno causato ingenti perdite finanziarie per le aziende, dimostrando come anche i canali di comunicazione ufficiali non siano immuni quando i controlli di autenticazione sono deboli.

La Strada da Seguire

Il rapporto include approfondimenti da parte di esperti del settore e leader della cybersecurity, raccomandando alle organizzazioni italiane di passare da politiche permissive a politiche rigorose, poiché pubblicare record di autenticazione email non basta senza un’effettiva applicazione delle policy. L’adozione urgente di DMARC enforcement, insieme a MTA-STS e DNSSEC, può ridurre drasticamente i rischi di frodi e intercettazioni dei dati.

Come PowerDMARC Supporta le Organizzazioni Italiane

PowerDMARC offre a imprese italiane, enti pubblici e infrastrutture critiche un percorso rapido e guidato verso una sicurezza email completa:

DMARC Enforcement: Implementazione rapida di politiche rigorose (p=reject) senza errori.

MTA-STS Deployment: Protezione del traffico email cifrato per prevenire intercettazioni.

DNSSEC Validation: Garanzia dell’integrità del dominio e protezione contro il hijacking.

Fraud Detection & Reporting: Monitoraggio dei tentativi di spoofing e accesso a informazioni utili per azioni correttive.

"L’Italia ha le basi per diventare un leader nella sicurezza delle email. La sfida ora è passare dal semplice possesso di record DMARC e SPF all’effettiva implementazione e applicazione, trasformando la conformità in una reale protezione contro phishing e frodi." — Maitham Al Lawati, CEO, PowerDMARC

