Sicurezza della posta elettronica in America Latina: lo stato del DMARC e dell'autenticazione delle e-mail in America Latina nel 2026

Nel 2025, l’America Latina ha registrato unaumento del 108% degli attacchi informaticirispetto all’anno precedente. Il Brasile è attualmente il mercato più preso di mira della regione, seguito a ruota dal Messico al secondo posto. Oggi, le organizzazioni di tutta la regione devono affrontare in media 2.640 attacchi a settimana.

Per valutare l’efficacia con cui le organizzazioni difendono i propri domini, PowerDMARC ha analizzato l’adozione delle misure di autenticazione delle e-mail in cinque mercati principali nel 2026 (Brasile, Messico, Argentina, Ecuador e Perù) e ha condotto un’analisi separata relativa al Cile nel 2024. I risultati rivelano un sorprendente paradosso regionale: sebbene le configurazioni tecniche di base siano solide, l’effettiva applicazione delle misure di sicurezza è pericolosamente in ritardo. In tutti i mercati del 2026 analizzati, l’adozione dello Sender Policy Framework (SPF) è piuttosto elevata (dall’86% al 96%), mentre i tassi di applicazione del Domain-based Message Authentication, Reporting, and Conformance (DMARC) (p=reject) oscillano tra un minimo del 16,2% in Messico e un massimo del 24,9% in Ecuador. In breve, le aziende dimostrano la propria identità, ma non riescono a impedire agli aggressori di spacciarsi per loro.

Questa guida esaustiva analizza in dettaglio le principali vulnerabilità presenti in questi mercati. Per consultare le mappe termiche complete del settore e le roadmap di conformità dettagliate, scarica il rapporto completo sulla sicurezza della posta elettronica in America Latina (LATAM) 2026.

Perché la sicurezza delle e-mail in America Latina è costantemente sotto attacco?

Il rapido ritmo della trasformazione digitale in tutta l’America Latina, alimentato dalla crescita esplosiva del fintech, dall’espansione delle piattaforme di e-government e dall’adozione del cloud, ha ampliato la superficie di attacco digitale a un ritmo molto più veloce rispetto all’evoluzione dei controlli difensivi. Questo divario ha reso la sicurezza della posta elettronica in America Latina una priorità assoluta per i responsabili della sicurezza.

I mercati analizzati da PowerDMARC presentano tre vulnerabilità strutturali comuni:

• Le organizzazioni configurano correttamente i record di base, ma non riescono ad attuare politiche DMARC rigorose. Si identificano, ma lasciano la porta aperta alla falsificazione del marchio.
• Il protocollo MTA-STS( Mail Transfer Agent Strict Transport Security ) è praticamente inesistente in tutta la regione.
• L'incoerenza dei sistemi di conformità comporta un'applicazione disomogenea delle norme a livello transfrontaliero e tra i vari settori.

Secondo i dati di Kaspersky, in Argentina si è registrato un aumento del 44% degli attacchi di phishing rispetto allo stesso periodo dell'anno precedente, mentre il 43% degli attacchi informatici contro le organizzazioni messicane è riuscito a violarne i perimetri di sicurezza.

Sicurezza della posta elettronica in America Latina: analisi comparativa su 5 paesi (dati del 2026)

Il seguente benchmark illustra lo stato della sicurezza della posta elettronica in America Latina nei cinque paesi analizzati nel nostro campione del 2026. Questa tabella esclude il Cile, che viene valutato separatamente a causa del suo set di dati storico relativo al 2024 e di una metodologia di test alternativa.

Risultati principali: per paese (dati del 2026)

Brasile: leader nel campo del DNSSEC, crisi mediatica

Il Brasile è il mercato più preso di mira dell’America Latina, eppure solo il 20,7% delle sue organizzazioni applica una rigorosa politica DMARC di tipo “reject”. Il lato positivo è che il tasso di adozione delle estensioni di sicurezza del sistema dei nomi di dominio (DNSSEC), pari al 21,9%, è il più alto della regione e supera quello di mercati globali come la Polonia (15,7%) e il Giappone (16,4%). Tuttavia, il tasso di adozione di MTA-STS, pari allo 0,7%, significa che praticamente tutto il traffico e-mail rimane vulnerabile all’intercettazione durante il trasporto.

• Finanza: è al primo posto a livello nazionale con il 39,2% di p=reject enforcement, ma presenta un divario di copertura MTA-STS pari al 100% nel settore bancario.
• Settore pubblico: raggiunge un impressionante tasso di adozione del protocollo DNSSEC pari al 57,3% (il più alto tra tutti i settori oggetto dello studio), ma il 53,7% dei domini continua ad applicare una politica di quarantena meno rigorosa, anziché bloccare completamente le minacce.
• Media: ben il 41,8% dei domini del settore dei media non presenta alcun record DMARC, mentre solo un esiguo 6,4% applica il parametro p=reject.

Leggi l'analisi approfondita nel Rapporto sull’adozione del DMARC in Brasile 2026.

Messico: SPF più alto, applicazione delle norme più scarsa

Il Messico presenta un forte contrasto nella classifica della sicurezza delle e-mail in America Latina: vanta la più alta precisione nella configurazione SPF della regione, pari al 96,2%, ma si colloca all’ultimo posto per quanto riguarda l’applicazione del DMARC, con solo il 16,2% di p=reject. Ben il 34,9% dei domini analizzati è bloccato in modalità di monitoraggio (p=none).

• Livello di minaccia elevato: questa scarsa efficacia nell’applicazione delle misure di sicurezza persiste nonostante un tasso di successo degli attacchi ransomware pari al 74% in un ciclo di 12 mesi di picco e un tasso di successo delle violazioni del perimetro pari al 43%.
• Settore finanziario: supera gli altri settori locali con il 29,1% (p=rifiuto), ma continua a registrare un deficit MTA-STS del 99%.
• Esposizione commerciale: il settore dei trasporti si attesta al 9,5% (p=rifiuto), con il 28,6% privo di DMARC, mentre quello dei media scende al 5,2% (p=rifiuto) e il 31,1% risulta del tutto privo di protezione.

Leggi il testo completo del Rapporto sull'adozione del DMARC in Messico 2026.

Argentina: SPF di livello mondiale, gravi lacune nell’applicazione delle norme

Il tasso di adozione dell’SPF in Argentina, con un’accuratezza del 95,2%, eguaglia quello degli Stati Uniti e supera quello dell’Australia, quindi le basi ci sono. Tuttavia, la protezione effettiva dei domini crolla drasticamente, con solo il 18,5% che applica il parametro p=reject. Complessivamente, il 56,9% dei domini argentini rimane completamente esposto agli attacchi di spoofing (il 35,9% con p=none e il 21,0% privo di un record DMARC).

• Sanità: il 52,2% dei domini del settore sanitario presenta un valore p=nessuno, il livello più elevato di esposizione “solo monitoraggio” tra tutti i singoli settori della coorte del 2026, a cui si aggiunge uno 0% di MTA-STS.
• Deficit DNSSEC: l’Argentina registra il tasso nazionale di adozione del DNSSEC più basso della regione, pari all’1,8%, con i settori della pubblica amministrazione e dell’istruzione che scendono a uno 0% assoluto.
• Obiettivi del settore pubblico: nel 2024 il CERT.ar ha registrato 438 incidenti gravi; il 61% di questi ha preso di mira esplicitamente le infrastrutture governative.

Leggi l'analisi approfondita nella versione completa del Rapporto sull'adozione del DMARC in Argentina 2026.

Ecuador: responsabile dell’applicazione delle norme di LATAM

L’Ecuador si aggiudica il primato di leader regionale in materia di DMARC, con un tasso di applicazione nazionale del 24,9% (p=reject).

• Finanza: il settore finanziario dell’Ecuador registra un tasso di non conformità del 43,7%, il valore più elevato mai registrato per un singolo settore tra tutti i paesi analizzati.
• Analisi settoriale: il settore sanitario presenta una situazione completamente opposta, con un esiguo 4,4% (p=rifiuto); inoltre, il 47,8% è completamente privo di record DMARC e l’adozione sia di MTA-STS che di DNSSEC è pari allo 0%.
• Urgenza della minaccia: vettori di minaccia avanzati come il gruppo APT Blind Eagle sfruttano attivamente campagne localizzate e personalizzate in quest’area, mentre le esche di phishing basate sull’intelligenza artificiale generativa a livello regionale hanno determinato un aumento del 60% nei tassi di clic dei destinatari.

Leggi l'analisi approfondita nella versione completa del Rapporto sull'adozione del DMARC in Ecuador 2026.

Perù: il tasso di adozione di standard di base più basso

Il Perù registra il tasso di utilizzo dei filtri solari più basso della regione, pari all’86,1%, 10 punti percentuali in meno rispetto al Messico e all’Ecuador.

• Rischi a più livelli: sebbene il tasso nazionale di applicazione del DMARC, pari al 17,9% (p=reject), superi tecnicamente quello del Messico, gli errori e le lacune sottostanti a livello di SPF rendono l’infrastruttura complessiva del Perù altamente vulnerabile.
• Lacune nella crittografia: gli standard di crittografia e integrità seguono l'andamento generale della regione, che rimane stabile; l'MTA-STS si attesta allo 0,6%, mentre il DNSSEC è fermo al 4,6%.

Leggi l'analisi approfondita nella versione completa del Rapporto sull'adozione del DMARC in Perù 2026.

Scarica il rapporto completo Rapporto sulla sicurezza della posta elettronica in America Latina 2026 con tutte e cinque le analisi per paese relative al 2026.

Focus sul Cile: dati storici del 2024

• Nota metodologica importante: l’analisi di PowerDMARC relativa al Cile si basa sui dati raccolti nel febbraio 2024 su 1.004 domini. Tali dati non includono le analisi dettagliate relative ai moderni protocolli MTA-STS o DNSSEC e non possono essere confrontati direttamente con i valori di riferimento del 2026.

A febbraio 2024, il Cile registrava un ritardo significativo rispetto agli altri paesi della regione. Il 63,8% dei domini cileni non presentava alcun record DMARC e solo il 9,9% applicava una politica rigorosa di tipo “p=reject”, il livello di applicazione più basso rilevato in America Latina. L’adozione dell’SPF si attestava al 70%.

• Il settore dell'energia ha registrato i risultati peggiori, con il 77,4% dei domini completamente privi di protezione DMARC. Il settore dei media lo ha seguito da vicino, con un divario complessivo del 74,6%.
• Oltre la metà (51,0%) dei domini bancari cileni era completamente priva di protezioni DMARC, nonostante fossero obiettivi finanziari di prim’ordine.
• Si noti che questo set di dati è antecedente ai principali aggiornamenti normativi del Cile. La Legge 21.663 (Legge quadro sulla sicurezza informatica) è entrata pienamente in vigore nel marzo 2025, introducendo l’Agenzia Nazionale per la Sicurezza Informatica (ANCI), la prima agenzia nazionale dedicata alla sicurezza informatica in America Latina. In base a tale quadro normativo, gli Operatori di Importanza Vitale (OIV) sono tenuti per legge a segnalare gli incidenti al CSIRT Nacional entro 3 ore. A causa di queste rigide pressioni in materia di conformità, è probabile che l’effettivo panorama della sicurezza in Cile nel 2026 mostri progressi significativi.

Vedi la pagina DMARC di PowerDMARC pagina dedicata al Cile su DMARC.

Confronto tra paesi: quattro modelli regionali chiave

Il panorama generale della sicurezza della posta elettronica in America Latina evidenzia quattro tendenze innegabili che i responsabili della sicurezza devono affrontare al più presto.

1. Il paradosso dell’applicazione dell’SPF

Le organizzazioni considerano l’autenticazione delle e-mail come un’operazione di configurazione da eseguire una volta sola, piuttosto che come un modello di protezione strategico. Mentre la configurazione corretta dell’SPF varia dall’86% al 96% nella coorte del 2026, il tasso massimo di applicazione del DMARC è quello dell’Ecuador, pari al 24,9%, quasi la metà rispetto ai valori di riferimento internazionali, come il 46,7% dell’Australia.

2. L’MTA-STS è un vero e proprio punto cieco

La crittografia per la sicurezza del trasporto è gravemente carente in tutto il continente. I dati del 2026 mostrano un tasso di adozione a una cifra ovunque: l’Ecuador è in testa con l’1,4%, seguito da Argentina (1,2%), Brasile (0,7%), Perù (0,6%) e Messico (0,4%). Circa il 99% delle e-mail aziendali in uscita dall’America Latina viaggia senza misure di sicurezza applicate durante il trasporto; non dovrebbe quindi sorprendere il successo degli attacchi «man-in-the-middle» (MitM) e di downgrade SMTP.

3. Il settore dei media è quello più vulnerabile sotto ogni punto di vista

In tutti i mercati analizzati, il settore dei media e dell’intrattenimento rappresenta l’anello più debole della regione.

I canali mediatici dell'America Latina continuano a essere particolarmente esposti al fenomeno dello spoofing dei domini.

4. Il DNSSEC evidenzia il Brasile come un caso a sé stante

A parte il Brasile, che con il 21,9% di adozione del protocollo DNSSEC è leader a livello regionale (grazie soprattutto al tasso di adozione del 57,3% nel settore pubblico), il nucleo del DNS dell’America Latina rimane in gran parte non protetto. Il tasso nazionale di adozione del protocollo DNSSEC in Argentina, pari all’1,8%, unito a un 0% assoluto sia nel settore pubblico che in quello dell’istruzione, lascia i suoi servizi digitali esposti al rischio di cache poisoning del DNS.

Orientarsi nel panorama normativo regionale

• Cile: In base alla Legge n. 21.663 (marzo 2025), l’ANCI esercita un’ampia autorità di controllo sulle infrastrutture nazionali critiche, supportata da rigide norme che impongono la notifica degli incidenti entro tre ore. La Legge n. 21.719 (LPPD sulla protezione dei dati) entrerà pienamente in vigore nel dicembre 2026.
• Brasile: L’Autorità nazionale per la protezione dei dati (ANPD) applica con rigore la LGPD. Poiché la posta elettronica costituisce uno dei principali canali di trasmissione dei dati, qualsiasi violazione derivante dallo spoofing dei domini comporta gravi responsabilità in materia di conformità. La Banca centrale del Brasile (BACEN) esercita una pressione parallela sui gruppi finanziari.
• Messico e Argentina: il Messico si avvale della norma NOM-151, affiancata dalla supervisione dell’INAI, mentre l’Argentina applica la Legge 25.326 tramite l’AAIP. Sebbene nessuno dei due paesi disponga di un mandato nazionale specifico per l’autenticazione delle e-mail, i rispettivi quadri normativi considerano sempre più le e-mail non autenticate come una responsabilità aziendale inaccettabile.
• Ecuador e Perù: l’Ecuador applica la LOPDP tramite la propria autorità garante della protezione dei dati, la SPDP, mentre il Perù applica la Ley 29733 tramite l’ANPDP, con la SBS che svolge funzioni di vigilanza sul settore bancario. Nessuno dei due paesi impone ancora in modo esplicito l’autenticazione delle e-mail, ma entrambi considerano le e-mail non autenticate come un rischio per la protezione dei dati.
• Requisiti globali: oltre alle normative locali, le disposizioni globali stabilite dai provider di posta elettronica Google, Yahoo e Microsoft si applicano a qualsiasi azienda che invii grandi volumi di e-mail a livello internazionale.

Cosa dovrebbero fare ora le organizzazioni dell’America Latina?

Ecco cosa puoi fare adesso:

1. Verifica subito lo stato di implementazione dei tuoi protocolli DMARC, SPF e DomainKeys Identified Mail (DKIM) utilizzando uno strumento automatizzato come il nostro DMARC Record Checker.
2. Applicate politiche DMARC rigorose. Oltre un terzo dei domini in Messico (34,9%) e in Argentina (35,9%) rimane ancora impostato su p=none. Passate sistematicamente dal monitoraggio (p=none) alla quarantena temporanea (p=quarantine); il vostro obiettivo finale dovrebbe essere l'applicazione completa dell'impostazione p=reject.
3. Implementare MTA-STS insieme al sistema di segnalazioneTLS(Transport Layer Security) per eliminare la vulnerabilità derivante da un tasso di adozione pressoché nullo, che espone i dati e-mail regionali agli attacchi di downgrade.
4. Se vi occupate della gestione delle infrastrutture o dei rapporti con i fornitori nei settori sanitario o dei media, adottate immediatamente misure di mitigazione. Questi settori presentano costantemente i fattori di rischio più elevati in ogni paese.
5. Implementa strumenti di analisi basati sul cloud tramite il nostro DMARC Analyzer per monitorare le fonti di invio a livello globale, tenere traccia delle metriche di allineamento e individuare rapidamente i tentativi di spoofing.

Scarica il rapporto completo sulla sicurezza di 16 pagine

Non lasciare che il dominio della tua azienda rimanga un bersaglio facile per i malintenzionati che praticano il phishing. Scarica il rapporto completo “LATAM Email Security Report 2026: DMARC e autenticazione delle e-mail in 6 paesi”.

Domande frequenti

Perché la sicurezza delle e-mail in America Latina è costantemente sotto attacco?

La rapida trasformazione digitale della regione, caratterizzata da una crescita esplosiva del settore fintech, dall’espansione dell’e-government e dalla rapida diffusione del cloud, ha ampliato la superficie di attacco digitale delle aziende a un ritmo molto più veloce rispetto all’evoluzione dei controlli di sicurezza della posta elettronica. Ciò ha determinato un aumento del 108% degli attacchi informatici nella regione nell’ultimo anno.

Qual è la questione principale evidenziata nel rapporto sulla sicurezza della posta elettronica in America Latina del 2026?

Il problema principale è il grave divario tra la configurazione di base e l'effettiva applicazione delle misure di sicurezza. La maggior parte degli utenti lascia le proprie politiche DMARC impostate su p=none oppure non dispone affatto di DMARC.

Perché i dati relativi al Cile del 2024 sono separati dal resto dei dati di riferimento del 2026?

Il set di dati relativo al Cile è stato raccolto nel febbraio 2024 utilizzando una metodologia diversa che non prevedeva il monitoraggio dei dati MTA-STS o DNSSEC. Poiché riflette uno stato di sicurezza precedente alla piena applicazione delle principali normative locali, come la Legge quadro sulla sicurezza informatica del Cile (Ley 21.663), non è possibile effettuare un confronto accurato con i dati del 2026.

Quali settori industriali sono esposti al rischio maggiore di usurpazione di dominio?

I settori dei media e della sanità registrano costantemente i risultati peggiori in tutta l’America Latina. Le organizzazioni del settore dei media presentano spesso i tassi più elevati di mancanza di protezione DMARC, mentre il settore sanitario argentino rappresenta un grave punto critico a livello regionale, con il 52,2% dei suoi domini che rimangono privi di protezione a causa di una politica “p=none”.

Quali sono le misure immediate che un’organizzazione LATAM dovrebbe adottare per proteggere il proprio dominio?

Le organizzazioni dovrebbero innanzitutto effettuare una verifica esterna utilizzando uno strumento di controllo dei record DMARC. Successivamente, devono portare attivamente avanti la propria politica DMARC, passando dalla fase di monitoraggio (p=none) a quella di applicazione (p=reject), implementare MTA-STS per garantire la crittografia del trasporto delle e-mail e monitorare costantemente la situazione con uno strumento di analisi DMARC.

• Informazioni su
• Ultimi messaggi

Milena Baghdasaryan

Specialista dei contenuti presso PowerDMARC

Milena è un'abile scrittrice e creatrice di contenuti con oltre 7 anni di esperienza nella creazione di contenuti coinvolgenti su IT, cybersicurezza, eventi virtuali e altro. Ha una comprovata esperienza nella realizzazione di lavori di alta qualità per riviste internazionali e si è laureata in istituzioni prestigiose come la New York University Abu Dhabi, l'UWC China e il College of Europe.

Ultimi messaggi di Milena Baghdasaryan (vedi tutti)

• Sicurezza della posta elettronica in America Latina: lo stato del DMARC e dell’autenticazione delle e-mail in America Latina nel 2026 - 30 giugno 2026
• Abuso legittimo delle infrastrutture: la tecnica di phishing che aggira l’autenticazione delle e-mail - 30 giugno 2026
• Come vendere servizi di sicurezza e-mail: una guida per gli MSP - 24 giugno 2026