Il settore sanitario rappresenta un ambito particolarmente vulnerabile all'interno dell'ecosistema digitale italiano. Solo il 12,8% dei domini sanitari applica il DMARC con impostazione "reject", mentre il 25%, ovvero un quarto del settore, non dispone di alcuna architettura DMARC. A ciò si aggiunge l'assenza di MTA-STS nel 98,1% dei casi, il che rende le cartelle cliniche dei pazienti e i canali di comunicazione clinica interni estremamente esposti al rischio di intercettazioni dolose e spoofing dei domini.
Gli istituti bancari e finanziari italiani sono all'avanguardia nel Paese in termini di maturità delle politiche di sicurezza, con il 41,7% che applica una rigorosa politica di "reject". Tuttavia, questa difesa a più livelli è notevolmente compromessa da un tasso di mancata implementazione del 100% per il protocollo MTA-STS. Ciò significa che, mentre lo spoofing in entrata è fortemente limitato, il traffico transazionale in uscita, i registri interni dei messaggi SWIFT e le istruzioni di bonifico vengono trasmessi senza crittografia obbligatoria a livello di transito.
I domini della pubblica amministrazione italiana mostrano un eccellente livello di conformità di base, con il 96% che implementa profili SPF funzionanti. Tuttavia, solo un esiguo 14,4% applica una politica di protezione di tipo "reject". Fondamentalmente, il 33,3% (1 su 3) dei settori pubblici è completamente privo di difese DMARC. In combinazione con un tasso di adozione dello 0% per MTA-STS e un basso tasso dello 0,8% per DNSSEC, i canali di comunicazione rivolti ai cittadini rimangono altamente vulnerabili allo spoofing.
Le reti accademiche e di ricerca presentano superfici di attacco estese e distribuite. Pur mantenendo un punteggio di correttezza nella configurazione SPF pari all'85,8%, solo il 10,2% degli istituti di istruzione ha raggiunto il livello "p=reject". Inoltre, il 25% ha completamente tralasciato l'implementazione di DMARC, mentre ben il 96% non dispone di MTA-STS, esponendo la proprietà intellettuale della ricerca universitaria e i dati degli studenti a un esfiltrazione sistematica.
In quanto principali custodi del dibattito pubblico, le reti mediatiche italiane si trovano ad affrontare una grave minaccia alla loro credibilità. Attualmente, solo l'11,3% dei domini del settore opera con un livello di sicurezza "p=reject", mentre quasi il 25% è del tutto privo di un framework DMARC. Se a ciò si aggiunge l'assenza totale dell'implementazione di MTA-STS, i malintenzionati possono facilmente falsificare le identità di importanti testate giornalistiche per lanciare campagne coordinate di disinformazione o di phishing.
Gli operatori di telecomunicazioni gestiscono infrastrutture di fatturazione dei clienti sempre più estese. Mentre il 17,8% ha adottato una politica di rifiuto, il 30,2% non dispone di una voce DMARC nei propri record DNS. A ciò si aggiunge un divario MTA-STS del 98,6%, per cui gli avvisi di convalida degli abbonati, le comunicazioni di fatturazione e gli account amministrativi rimangono altamente vulnerabili alle manomissioni.
Le reti logistiche costituiscono la spina dorsale del commercio locale, eppure registrano i punteggi di sicurezza più bassi in Italia. È allarmante che il 3,3% dei domini utilizzi una configurazione "p=reject" funzionante, mentre il 33,3% sia completamente privo di parametri DMARC. A ciò si aggiunge una carenza totale di MTA-STS, per cui le operazioni di fatturazione della catena di approvvigionamento rimangono gravemente esposte a schemi di intercettazione delle fatture.
I settori energetici forniscono servizi nazionali fondamentali, ma presentano notevoli lacune a livello normativo. Sebbene il 94,8% abbia implementato misure di sicurezza di base (SPF), solo il 22,1% applica attivamente il p=reject e il 25% non dispone affatto di un'architettura DMARC. Inoltre, il 98,7% non dispone della crittografia MTA-STS, creando così vette di accesso per notifiche di ingegneria malevola che prendono di mira le risorse periferiche.
