Rapporto sull'adozione di DMARC e MTA-STS in Italia 2025

L'Italia è stata riconosciuta come leader nella preparazione alla cybersecurity a livello globale, ottenendo un punteggio perfetto di 100/100 nella classifica dell'ITU. 100/100 nell'Indice Indice globale di cibersicurezza 2024. Grazie a un CSIRT nazionale dedicato, a una solida legislazione e all'Agenzia Nazionale Italiana per la Cybersecurity (ACN), il Paese si posiziona come modello per l'Europa.

Ma dietro questa posizione decisa si nasconde una grave vulnerabilità: la sicurezza delle e-mail.
Si stima che l’Italia abbia perso 66 miliardi di dollari a causa della criminalità informatica nel 2023, in gran parte a causa di attacchi di phishing e spoofing. La scarsa adozione dei protocolli di autenticazione delle e-mail (DMARC, SPF, MTA-STS, DNSSEC) continua a mettere a rischio le organizzazioni nei settori sanitario, finanziario, pubblico e in molti altri ambiti.

  • Questo rapporto analizza 693 domini italiani in 9 settori chiaveevidenziando dove

Prenota una dimostrazione

In sintesi: Risultati chiave in tutta Italia

Logo BIMI

SPF:
91% corretto, ma 1 dominio su 11 rischia di essere rifiutato a causa di errori.

Logo BIMI

DMARC:
Il 26% dei domini non ha alcun record, il che li rende aperti allo spoofing. Solo 16,7% applica il "rifiuto.

Logo BIMI

MTA-STS:
Uno scioccante 99% dei domini non lo adottalasciando il traffico e-mail vulnerabile all'intercettazione.

Logo BIMI

DNSSEC:
Solo il 3,5% è abilitato: la maggior parte dei domini non è protetta dal DNS hijacking.

Quasi 1 organizzazione su 4 in Italia non è in grado di impedire agli aggressori di inviare e-mail fraudolente a loro nome.

Analisi settoriale

Finanziario: Un obiettivo primario per le frodi

Il settore finanziario è uno degli obiettivi più redditizi della criminalità informatica in Italia. Le banche e le istituzioni finanziarie godono della fiducia di milioni di persone, il che rende le e-mail spoofed molto efficaci per i truffatori.

Logo BIMI

Statistiche sulle adozioni (Finanza)

  • SPF: 93,1% corretto, ma 1 banca su 14 rischia il rifiuto dell'e-mail a causa di errori.

  • DMARC: il 41,7% applica il "rifiuto" (forte progresso), ma l'11,1% delle banche non ha alcuna protezione.

  • MTA-STS: mancanza al 100% — il che significa che le e-mail bancarie crittografate possono essere intercettate.

  • DNSSEC: Solo il 2,8% è abilitato.

Perché è importante

Le false e-mail bancarie possono indurre i clienti a trasferire denaro su conti fraudolenti. Anche una sola campagna di spoofing potrebbe provocare milioni di perdite e danni alla reputazione.

Soluzione in primo piano per la finanza

PowerDMARC consente alle banche italiane di:

  • Applicare rapidamente p=rifiuta senza alcun errore di configurazione.

  • Ottieni una visione chiara dei tentativi di frode grazie ai report DMARC intuitivi.

  • Implementazione MTA-STS in hosting per garantire la sicurezza delle comunicazioni finanziarie crittografate.

Iniziare 15 giorni di prova

Assistenza sanitaria: La fiducia del paziente è a rischio

Ospedali e cliniche gestiscono i dati personali più sensibili, ma l'autenticazione delle e-mail è pericolosamente bassa.

Logo BIMI

Statistiche sulle adozioni (sanità)

  • SPF: 88,5% corretto, ma 1 dominio sanitario su 8 rischia di rifiutare della posta legittima.

  • DMARC: solo il 12,8% di "rifiuto". 1 dominio sanitario su 4 manca completamente di DMARC.

  • MTA-STS: 98,1% mancante, lasciando esposte le e-mail mediche.

  • DNSSEC: 5,8% abilitato.

Perché è importante

Un'e-mail ospedaliera contraffatta che chiede ai pazienti di cliccare su un link o di pagare una fattura potrebbe compromettere non solo le finanze, ma anche la sicurezza e la fiducia dei pazienti. Anche le multe del GDPR sono un rischio incombente.

Soluzioni in primo piano per il settore sanitario

Con PowerDMARC, le aziende sanitarie italiane possono distribuire:

  • DMARC e SPF ospitati per evitare che le e-mail false raggiungano i pazienti.

  • TLS-RPT e MTA-STS per garantire la crittografia dei dati medici in transito.

I media: I guardiani della fiducia del pubblico

I media sono fonti di notizie molto visibili e fidate. I criminali informatici sfruttano questa fiducia per diffondere disinformazione e campagne di phishing.

Logo BIMI

Statistiche sulle adozioni (Media)

  • SPF: 90,1% corretto.

  • DMARC: solo l'11,3% applica il "rifiuto". Quasi 1 punto vendita su 4 non ha il DMARC.

  • MTA-STS: 100% mancante.

  • DNSSEC: 2,8% abilitato.

Perché è importante

Le email di fake news che si spacciano per media italiani potrebbero diffondere disinformazione su larga scala. La mancanza di MTA-STS rende inoltre le comunicazioni dei giornalisti vulnerabili alle intercettazioni.

Soluzione Spotlight per i media

  • PowerDMARC aiuta le testate giornalistiche a difendere la credibilità del marchio garantendo che solo le e-mail autenticate raggiungano il pubblico attraverso l'applicazione guidata dello standard DMARC e l'adozione di MTA-STS.

Governo: Forte SPF, debole altrove

I domini governativi dovrebbero dare l'esempio, ma nonostante la forte adozione di SPF, DMARC e DNSSEC rimangono pericolosamente bassi.

Logo BIMI

Statistiche sulle adozioni (Governo)

  • SPF: 96% corretto.

  • DMARC: solo il 14,4% applica il "rifiuto", mentre 1 dominio su 3 non applica il DMARC.

  • MTA-STS: 0% di adozione.

  • DNSSEC: 0,8% abilitato.

Perché è importante

I cittadini sono i primi bersagli di falsi avvisi governativi. Un'adozione debole rischia di provocare frodi su larga scala, truffe fiscali e danni alla reputazione delle agenzie nazionali.

Soluzioni in primo piano per la pubblica amministrazione

Con PowerDMARC, le agenzie governative possono:

  • Allinearsi alla Conformità alla sicurezza delle e-mail dell'UE requisiti

  • Proteggere i cittadini contro le campagne di phishing che utilizzano il nome .gov.it.

Contattateci

Energia: Infrastruttura critica a rischio

I fornitori di energia fanno funzionare l'Italia, ma la debolezza dell'autenticazione delle e-mail li rende bersagli privilegiati di aggressori di Stati nazionali e gruppi di ransomware.

Logo BIMI

Statistiche di adozione (energia)

  • SPF: 94,8% corretto.

  • DMARC: il 22,1% applica il "rifiuto", ma quasi 1 su 4 non ha il DMARC

  • MTA-STS: 98,7% mancante.

  • DNSSEC: 5,2% abilitato.

Perché è importante

Gli aggressori che utilizzano lo spoofing dei fornitori di energia potrebbero sferrare attacchi alla catena di approvvigionamento o interrompere i servizi, con un rischio diretto per la sicurezza nazionale.

Soluzioni in primo piano per l'energia

  • PowerDMARC assicura una rigorosa applicazione del DMARC e controlli DNSSECproteggendo le infrastrutture critiche italiane.

Trasporto: Vulnerabile ai biglietti e alle fatture spoofate

Dalle compagnie aeree alla logistica, le organizzazioni di trasporto sono esposte a causa di politiche DMARC deboli.

Logo BIMI

Statistiche sulle adozioni (trasporti)

  • SPF: 91,8% corretto.

  • DMARC: solo il 3,3% ha "rifiutato", mentre 1 dominio su 3 non ha il DMARC.

  • MTA-STS: 100% mancante.

  • DNSSEC: 3,3% abilitato.

Perché è importante

Le e-mail fraudolente delle compagnie aeree che offrono rimborsi o fatture false possono provocare frodi finanziarie e sfiducia dei clienti.

Soluzione in primo piano per il trasporto

  • PowerDMARC consente di avere visibilità in tempo reale sui tentativi di spoofing, aiutando le compagnie aeree e logistiche a creare fiducia nei clienti. fiducia dei clienti.

Istruzione: Le università nel mirino

Le università sono bersagli frequenti del phishing a causa delle loro reti aperte e dell'ampia popolazione studentesca.

Logo BIMI

Statistiche sulle adozioni (Istruzione)

  • SPF: 85,8% corretto.

  • DMARC: solo il 10,2% a "rifiuto". 1 università su 4 non ha il DMARC.

  • MTA-STS: 96% mancante.

  • DNSSEC: 2% abilitato.

Perché è importante

Le campagne di phishing che si spacciano per università possono raccogliere credenziali degli studenticon conseguenti violazioni di dati e furti di identità.

Soluzione in primo piano per l'istruzione

  • PowerDMARC fornisce facile applicazione del DMARC anche per le università con configurazioni complesse e multidominio.

Telecomunicazioni: Comunicazioni a rischio

Le telecomunicazioni connettono ogni giorno milioni di italiani. Tuttavia, una debole adozione del DMARC espone i clienti a minacce di impersonificazione.

Logo BIMI

Statistiche di adozione (Telecom)

  • SPF: 87,7% corretto.

  • DMARC: 17,8% con "rifiuto", ma 30,2% mancante.

  • MTA-STS: 98,6% mancante.

  • DNSSEC: 4,1% abilitato.

Perché è importante

Le e-mail di telecomunicazione contraffatte potrebbero indurre i clienti a condividere i dati della SIM o a effettuare pagamenti fraudolenti, portando a scambi di SIM e acquisizione di account.

Soluzioni in primo piano per le telecomunicazioni

  • Con PowerDMARC, i fornitori di servizi di telecomunicazione possono distribuire DMARC ospitato + MTA-STS per mantenere sicure le comunicazioni dei clienti.

Altro: Domini diversi, rischi condivisi

Questo settore abbraccia vari settori con esigenze uniche, dalle piccole imprese alle organizzazioni di nicchia. Nonostante la diversità, una debole autenticazione delle e-mail lascia questi domini aperti al phishing, allo spoofing e all'impersonificazione fraudolenta.

Logo BIMI

Statistiche sulle adozioni (Altro)

  • SPF: 77,8% corretto.

  • DMARC: 33,3% a "rifiuto", 11,1% mancante.

  • MTA-STS: 100% mancante.

  • DNSSEC: 0% abilitato.

Perché è importante

Senza l'applicazione di DMARC e MTA-STS, queste organizzazioni rischiano che le e-mail fraudolente raggiungano i loro clienti e partner. Ciò può comportare perdite finanziarie, danni alla reputazione e interruzioni dell'attività anche per entità piccole o di nicchia.

Soluzione Spotlight per altri

  • PowerDMARC consente a queste organizzazioni di implementare rapidamente DMARC e MTA-STS in hosting, proteggendo i loro canali di posta elettronica e creando fiducia con clienti e partner.

Leader, ritardatari e lezioni: La sicurezza delle e-mail nei settori italiani

Logo BIMI

SPF: il governo è in testa, gli altri
indietro

I domini governativi in Italia sono il punto di riferimento per l'adozione dell'SPF, seguiti da vicino dal settore energetico. Entrambi dimostrano un forte impegno nel garantire che solo i server autorizzati possano inviare e-mail per loro conto. Tuttavia, non tutti i settori stanno tenendo il passo. La categoria "Altro" è notevolmente in ritardo, a dimostrazione di difese più deboli contro gli attacchi di spoofing.

Logo BIMI

DMARC: la finanza si spinge in avanti, il governo resta cauto

Le organizzazioni finanziarie, insieme ai domini del settore "Altro", sono le più proattive nell'implementazione del DMARC. Non solo lo adottano ampiamente, ma applicano anche politiche di rifiuto più severe, dimostrando una forte presa di posizione contro l'impersonificazione. Al contrario, i domini governativi appaiono più esitanti: molti operano ancora senza DMARC, lasciando spazio agli aggressori. Il settore dei trasporti è ancora più conservatore e raramente applica le norme più severe.

Logo BIMI

MTA-STS: L'istruzione mostra il suo slancio iniziale

In tutta Italia, l'adozione dell'MTA-STS è ancora agli inizi. L'istruzione si distingue per essere il primo attore, con alcune università che stanno già testando e applicando il protocollo. Le telecomunicazioni, la sanità e l'energia stanno gradualmente recuperando terreno, ma la maggior parte degli altri settori non ha ancora fatto il salto.
il salto di qualità.

Logo BIMI

DNSSEC: Un'occasione mancata per la sicurezza

Per quanto riguarda il protocollo DNSSEC, l'adozione rimane sorprendentemente bassa in tutti i settori. La sanità e l'energia stanno facendo piccoli passi avanti, ma i domini governativi, e in particolare la categoria "Altro", sono molto indietro. Il quadro suggerisce che il DNSSEC, nonostante la sua importanza, non è ancora una priorità per la maggior parte delle organizzazioni in Italia.

Analizzando il panorama della sicurezza delle e-mail in Italia, sono emerse cinque tendenze chiare: modelli che evidenziano sia i progressi che le lacune persistenti. Ecco cosa è emerso:

1. L'illusione della sicurezza: Record DMARC mal configurati

Tendenza in azione:

Molte organizzazioni italiane pubblicano con orgoglio un record DMARC, ma spesso è lasciato a una debole politica di "solo monitoraggio" (p=nessuno). In questo modo si crea un falso senso di sicurezza, mentre le e-mail contraffatte continuano a passare.

Esempio del mondo reale:

Una catena di negozi italiana pensava di essere protetta dal DMARC, ma gli aggressori continuavano a impersonare il loro marchio nelle campagne di phishing. La loro registrazione era presente ma non applicata.

L'opinione degli esperti

"Un record DMARC di solo monitoraggio è come chiudere la porta ma lasciare la finestra spalancata. La vera protezione arriva quando si applica l'applicazione, non solo quando il record esiste".

Maitham Al Lawati, CEO di PowerDMARC

L'opinione degli esperti

"L'SPF è potente ma fragile. Non ottimizzare correttamente l'SPF può ritorcersi contro di noi, causando errori nella consegna di e-mail legittime. Le soluzioni in hosting prevengono questa insidia gestendo la complessità in modo automatico".

Yunes Tarada, Responsabile della fornitura di servizi, PowerDMARC

2. SPF sbagliato

Tendenza in azione:

Mentre l'adozione di SPF è significativamente alta tra le organizzazioni in Italia, errori fondamentali come il superamento dei limiti di ricerca DNS stanno portando a errori permanenti e problemi di deliverability.

Esempio del mondo reale:

Un'azienda di servizi finanziari di Milano si è trovata a dover affrontare fallimenti nella consegna delle e-mail perché il loro SPF superava il limite di 10 ricerche. Invece di migliorare la sicurezza, questo ha danneggiato il flusso di comunicazione.

3. BIMI senza Fondazione

Tendenza in azione:

I marchi stanno facendo a gara per pubblicare BIMI (Brand Indicators for Message Identification) per mostrare i propri loghi nelle caselle di posta elettronica. Ma senza l'applicazione del DMARC, BIMI semplicemente non funzionerà.

Esempio del mondo reale:

Un'azienda italiana di e-commerce ha implementato BIMI ma non ha applicato il DMARC. Il loro logo non è mai apparso, frustrando il loro team di marketing e sprecando risorse.

L'opinione degli esperti

"Vediamo organizzazioni che si affrettano a scegliere il fascino estetico del BIMI senza costruire prima le fondamenta della sicurezza. È come appendere l'insegna prima di costruire il negozio".

Gegham Hakobyan, esperto di sicurezza e-mail, PowerDMARC

L'opinione degli esperti

"I criminali informatici sfruttano sempre la barriera più bassa. Se un settore si rafforza, si spostano su un altro. L'adozione coerente in tutti i settori è l'unica vera difesa".

Ayan Bhuiya, responsabile del turno operativo e di consegna, PowerDMARC

4. Adozione incoerente nei vari settori

Tendenza in azione:

Alcuni settori italiani, come la finanza e la pubblica amministrazione, si stanno muovendo verso l'adozione, mentre le PMI e la sanità sono in ritardo. Questo crea una protezione disomogenea, con gli aggressori che prendono di mira gli anelli più deboli.

Esempio del mondo reale:

Un'agenzia governativa ha imposto il DMARC, mentre i fornitori di servizi sanitari locali sono rimasti esposti, diventando facile preda di operatori di ransomware che si spacciavano per domini affidabili.

5. Posture di sicurezza reattive, non proattive

Tendenza in azione:

Molte organizzazioni italiane agiscono solo dopo aver subito un incidente di phishing o spoofing. Questa mentalità reattiva mantiene le aziende intrappolate in un ciclo di controllo dei danni.

Esempio del mondo reale:

Uno studio legale di medie dimensioni ha applicato il DMARC solo dopo che un cliente è stato vittima di un'e-mail spoofata che fingeva di essere il suo partner.

L'opinione degli esperti

"L'e-mail è ancora il vettore di attacco numero uno. Aspettare un incidente prima di agire non è più un'opzione. L'autenticazione proattiva è la chiave della resilienza".

Maitham Al Lawati, CEO di PowerDMARC

Il risultato principale è che

Queste tendenze non sono solo statistiche, sono segnali. Le organizzazioni in Italia hanno l'opportunità di passare dall'illusione all'applicazione, dalla lotta antincendio reattiva alla resilienza proattiva.

L'Italia nel contesto: A che punto è nella corsa alla sicurezza delle e-mail in Europa?

Il viaggio dell'Italia nella sicurezza delle e-mail è una storia di progressi costanti e di lacune persistenti. Sebbene il Paese abbia fatto passi da gigante, soprattutto nell'adozione di SPF e DMARC, il percorso per diventare un leader europeo nella protezione dei domini è ancora lungo.

Immaginate il panorama europeo della sicurezza delle e-mail come una staffetta:

Logo BIMI

Il Regno Unito ha iniziato presto, con linee guida governative sul DMARC emanate già nel 2012. Al 2020, il 28% dei domini gov.uk aveva abilitato il DMARC, e più della metà di questi rimaneva con la politica "nessuno", offrendo poca protezione reale.

Logo BIMI

La Germanianonostante sia nella top 5 mondiale per l'adozione del DMARC, vede ancora molti dei suoi domini non protetti. Gli ISP locali accennano a un potenziale aumento futuro, che potrebbe far salire
l'adozione al 75%.

Logo BIMI

I Paesi Bassi mostra progressi promettenti nei settori governativo e dell'istruzione; tuttavia, il 41,5% di tutti i domini non dispone ancora di un record DMARC e l'adozione di MTA-STS rimane trascurabile, pari ad appena lo 0,9%.

Logo BIMI

La Svizzera La Svizzera si trova ad affrontare una crescente minaccia di phishing e criminalità informatica, con oltre il 55% dei domini analizzati privi di DMARC e l'89% di MTA-STS, lasciando altamente vulnerabili settori chiave come l'istruzione, i media e i trasporti.

Logo BIMI

SveziaUn benchmark più recente mostra una forte adozione del DMARC (77,9%), ma solo una minima parte (2,9%) ha implementato l'MTA-STS, rivelando un gap persistente nella sicurezza del trasporto delle e-mail.

In questo contesto, la posizione dell'Italia è incoraggiante ma sfumata. L'adozione dell'SPF è forte (91%), mentre l'applicazione del DMARC sta emergendo con il 16,7% dei domini impostati su "rifiuto". L'MTA-STS, tuttavia, è praticamente assente (0,7%) e l'adozione del DNSSEC è molto bassa (3,5%).

Cosa significa in pratica: I settori della finanza e della pubblica amministrazione in Italia sono in testa alla classifica, dimostrando una precoce consapevolezza dei rischi posti dal phishing e dallo spoofing. Nel frattempo, settori come i trasporti, la sanità e i media rimangono esposti, presentando un panorama in cui è probabile che gli aggressori prendano di mira gli anelli più deboli.

Prospettiva PowerDMARC:

"L'Italia ha le basi per essere leader nella sicurezza delle e-mail. La chiave è passare dalla presenza all'applicazione, trasformando i record DMARC e SPF da caselle di controllo a scudi attivi".. I settori che presentano lacune, come i trasporti e la sanità, possono colmare rapidamente il divario con gli strumenti e le indicazioni giuste".

email sicura powerdmarcCome può aiutare PowerDMARC

PowerDMARC offre il percorso più il percorso più rapido per l'applicazione del DMARC, l'adozione del MTA-STS e la convalida del DNSSECaiutando le organizzazioni italiane a proteggere cittadini, clienti e aziende dalle minacce e-mail più importanti.

Contattaci all'indirizzo [email protected] oppure prenota oggi stesso una sessione individuale con i nostri esperti per proteggere il tuo dominio oggi stesso.

Prova di 15 giorniPrenota una demo