Rapporto sull'adozione di DMARC e MTA-STS nel Regno Unito 2026

PowerDMARC ha accettato la sfida di analizzare la situazione del Regno Unito in termini di pratiche di autenticazione delle e-mail nel 2026. Il risultato è un rapporto che esamina l’adozione da parte del Paese di DMARC, SPF, MTA-STS e DNSSEC a livello nazionale, settore per settore e nel contesto globale. 875 domini britannici, 22 pagine, con informazioni che indicano che oltre il 50% del Paese deve proteggersi da violazioni della sicurezza immediate e costose.

Ciò assume un’importanza sempre maggiore in considerazione del fatto che il Centro nazionale per la sicurezza informatica del Regno Unito (NCSC) ha ufficialmente dismesso i propri servizi Mail Check e Web Check il 31 marzo 2026. Ora le aziende e le organizzazioni si stanno orientando verso strumenti privati come PowerDMARC per l’implementazione e l’applicazione dei protocolli di autenticazione. 

Il nostro rapporto mette in luce una nazione che è pronta solo in parte, con delle lacune che possono essere facilmente sfruttate dagli hacker. Le organizzazioni hanno soddisfatto i requisiti relativi all’“autenticazione” (SPF), ma hanno in gran parte ignorato i livelli relativi alla “crittografia” (MTA-STS) e all’“integrità” (DNSSEC).

Ecco una breve panoramica di alcuni dei risultati emersi dal rapporto di PowerDMARC sull’adozione di DMARC e MTA-STS nel Regno Unito del 2026. Per informazioni ancora più approfondite, è possibile consultare il rapporto completo.

Panoramica nazionale del Regno Unito: storia di due difese

Facciamoci un’idea della situazione complessiva del Regno Unito prima di passare ai diversi settori e alla loro analisi.

SPF del Regno Unito

Correttezza SPF – 93,7%

DMARC nel Regno Unito

Adozione DMARC – 86,4%

DMARC p=rifiuta – 44,1%

Regno Unito MTA-STS

Adozione MTA-STS – 20,6%

Nessun MTA-STS – 79,4%

Test MTA-STS – 4,5%

MTA-STS Enforce – 16,1%

Logo BIMI

Adozione del protocollo DNSSEC – 3,8%

Iniziare 15 giorni di prova

1. Settore bancario e finanziario: il perimetro sicuro con tunnel aperti

Il settore più performante del Regno Unito continua a lasciare oltre il 95% del traffico e-mail finanziario non crittografato, basterebbe un solo attacco di downgrade per rendere visibili le conferme SWIFT

Metrico Tasso di adozione
Correttezza SPF 93.5%
DMARC p=rifiuta 61.3%
Adozione MTA-STS 4.8%
Adozione dell'SPF nel settore bancario nel Regno Unito

❌ Il rischio critico: l'intercettazione di transazioni di alto valore.

Un elevato livello di applicazione delle norme non protegge le banche del Regno Unito durante il trasporto dei dati attraverso canali non crittografati. Dati recenti indicano che le frodi nei pagamenti e le truffe hanno causato perdite per oltre 629,3 milioni di sterline solo nella prima metà del 2025, spesso innescate da comunicazioni e-mail manipolate.

✅ La soluzione di PowerDMARC:

Con Hosted MTA-STS, forziamo tutto il transito delle e-mail finanziarie su canali crittografati TLS 1.2+, riducendo in modo significativo il rischio di "attacchi di downgrade" in cui i criminali rimuovono la crittografia per leggere le comunicazioni sensibili tra banca e cliente durante il transito.

2. Governo: guida per mandato, fallimento per mancanza di supervisione dell'identità

Il governo è all’avanguardia nell’adozione dello standard MTA-STS, ma è sufficiente? Oltre il 60% delle comunicazioni via e-mail avviene ancora senza protezione.

Metrico Tasso di adozione
Correttezza SPF 94.8%
DMARC p=rifiuta 57.1%
Adozione MTA-STS 39.9%
Adozione del DMARC da parte del governo britannico

❌ Il rischio critico: l'usurpazione dell'identità dei cittadini e la fuga di dati personali.

I dati dimostrano che iniziative concrete, come i mandati dell’NCSC, hanno reso l’autenticazione delle e-mail una necessità, ma c’è ancora molto da fare. La violazione dei dati del Ministero della Difesa del 2024, che ha compromesso i dati relativi alle buste paga di 272.000 dipendenti, evidenzia quanto le infrastrutture del settore pubblico rimangano vulnerabili agli attacchi basati sull’identità. 

✅ La soluzione di PowerDMARC:

La nostra piattaforma automatizza il percorso verso p=reject per i sottodomini governativi, garantendo che soddisfino i più elevati standard di sicurezza senza il rischio di interrompere i flussi di comunicazione critici con i cittadini.

3. Assistenza sanitaria: rischi di livello HIPAA sul suolo britannico

Due terzi degli operatori sanitari del Regno Unito non sono in grado di bloccare un’e-mail contraffatta e, dato che il 13,2% non dispone affatto di un record DMARC, basta un solo link di phishing per compromettere la sicurezza dei dati dei pazienti.

Metrico Tasso di adozione
DMARC p=rifiuta 34.0%
Nessun record DMARC 13.2%
Adozione MTA-STS 9.4%
Adozione dell'MTA-STS nel settore sanitario nel Regno Unito

❌ Il rischio critico: fughe di dati relativi alle informazioni sanitarie protette (PHI).

Il settore sanitario rimane uno degli obiettivi principali per i gruppi di ransomware come Qilin, che recentemente ha preso di mira il Servizio Sanitario Nazionale (NHS) e ha divulgato 400 GB di dati riservati. A causa della scarsa applicazione del protocollo DMARC e dell’uso quasi nullo del DNSSEC, gli hacker possono facilmente falsificare le credenziali ospedaliere per diffondere malware o accedere a cartelle cliniche riservate.

✅ La soluzione di PowerDMARC:

Forniamo un percorso gestito verso la piena DMARC e MTA-STS, garantendo che ogni cartella clinica in uscita sia crittografata e che ogni avviso sanitario ufficiale sia verificato.

Prenota una dimostrazione

4. Trasporti e logistica: il punto debole della catena di approvvigionamento

Le reti di trasporto del Regno Unito sono un invito a nozze per le frodi, con il più alto tasso di "No-DMARC" del Paese.

Metrico Tasso di adozione
DMARC p=rifiuta 32.8%
Nessun record DMARC 26.7%
Adozione MTA-STS 6.2%

❌ Il rischio critico: dirottamento delle fatture e interruzione del servizio.

L'attacco informatico del 2024 contro Transport for London (TfL), che ha compromesso i dati finanziari di 5.000 clienti, dimostra che i sistemi di trasporto pubblico sono obiettivi di grande valore. Gli autori degli attacchi utilizzano «avvisi relativi ad apparecchiature critiche» contraffatti o manifesti di carico falsi per colmare il divario tra la casella di posta aziendale e la logistica fisica.

✅ La soluzione di PowerDMARC:

Ottimizziamo i record SPF complessi per rimanere entro i limiti di limiti di ricerca DNS e applichiamo rigide politiche DMARC per proteggere i canali logistici dalle frodi relative alle fatture.

5. Istruzione: il campo della raccolta della proprietà intellettuale

Le università del Regno Unito presentano il livello più basso di applicazione del protocollo DMARC a livello nazionale, nonostante circa il 91% degli istituti di istruzione superiore abbia segnalato una violazione informatica nel 2025.

Metrico Tasso di adozione
Correttezza SPF 94.6%
DMARC p=rifiuta 23.9%
Nessun record DMARC 4.3%
Istruzione Adozione SPF Regno Unito

❌ Il rischio critico: ricerca e raccolta dei dati di accesso.

Un basso livello di applicazione del protocollo DMARC (23,9%) consente agli hacker di falsificare le credenziali di accesso all'università, ottenendo così l'accesso a banche dati di ricerca del valore di svariati milioni di sterline e ai dati finanziari degli studenti.

✅ La soluzione di PowerDMARC:

Aiutiamo le università a gestire migliaia di sottodomini dipartimentali da un'unica dashboard, riducendo drasticamente i tentativi di phishing riusciti in tutto il campus.

6. Media: l'amplificatore della disinformazione

Le redazioni combattono le fake news, ma i loro domini e-mail rimangono vulnerabili alle firme contraffatte e alla diffusione di deepfake.

Metrico Tasso di adozione
Correttezza SPF 98.4%
Adozione MTA-STS 1.6%
Adozione del protocollo DNSSEC 1.6%
Logo BIMI

❌ Il rischio critico: furto di identità alla fonte e frodi tramite deepfake.

Sebbene il settore dei media presenti un elevato livello di conformità agli standard SPF, l’adozione di MTA-STS e DNSSEC è pressoché nulla. Ciò significa che le comunicazioni dei giornalisti sono visibili a chi monitora la rete e che le loro credenziali possono essere falsificate per diffondere notizie deepfake o indurre i dipendenti a effettuare trasferimenti fraudolenti.

✅ La soluzione di PowerDMARC:

Spostiamo i domini multimediali su p=reject, assicurando che solo il personale verificato possa inviare e-mail, preservando la fiducia nel marchio in un'era di guerre informative guidate dall'intelligenza artificiale.

Iniziare 15 giorni di prova

7. Telecomunicazioni: calamita per le truffe agli abbonati

Gli operatori di telecomunicazioni proteggono la rete ma non la casella di posta elettronica, consentendo così ai truffatori di inviare avvisi di fatturazione falsi a milioni di abbonati.

Metrico Tasso di adozione
Correttezza SPF 91.0%
DMARC p=rifiuta 32.8%
Nessun record DMARC 11.9%
Logo BIMI

❌ Il rischio critico: frodi nella fatturazione e appropriazione indebita degli account.

Elevati tassi di “No-DMARC”, uniti a una configurazione DMARC errata, consentono ai truffatori di inviare falsi avvisi di fatturazione che sembrano autentici, indurre gli utenti a rivelare i codici 2FA necessari per lo swap della SIM o il furto d’identità.

✅ La soluzione di PowerDMARC:

La nostra piattaforma applica p=reject su tutti i domini dei gestori e ospita MTA-STS per proteggere i flussi di fatturazione automatizzati, rendendo impossibile ai truffatori utilizzare il nome del gestore contro i propri abbonati.

Sotto il cofano: quattro punti deboli strutturali

Il divario di implementazione p=none

Il 18,9% dei domini britannici dispone di DMARC ma non lo applica.

L'opinione degli esperti:

"Una politica DMARC impostata su p=none fornisce solo segnalazioni e visibilità sui tentativi di spoofing, senza bloccarli. Sebbene l'elevato tasso di adozione nel Regno Unito sia incoraggiante, è necessario passare a una politica DMARC di p=reject per prevenire attivamente l'uso non autorizzato delle e-mail".

Maitham Al Lawati, amministratore delegato di PowerDMARC

L'opinione degli esperti:

"Il limite di 10 ricerche è un limite massimo rigido nel DNS. Senza tecniche di ottimizzazione SPF come l'appiattimento o le macro per comprimere questi record, l'espansione del tuo stack digitale compromette inevitabilmente la deliverability delle tue e-mail."

Yunes Tarada, responsabile dell'erogazione dei servizi , PowerDMARC

Complessità SPF su larga scala

Il 6,3% dei domini britannici presenta configurazioni errate critiche, spesso dovute al "limite di 10 lookup".

MTA-STS: Il deficit di crittografia

Il 79,4% dei domini del Regno Unito presenta una lacuna totale in materia di sicurezza dei trasporti.

L'opinione degli esperti:

"La crittografia standard delle e-mail (STARTTLS) è opportunistica. MTA-STS è un modo per applicare il blocco del trasporto. Con quasi tutto il traffico del Regno Unito esposto, è banale per un aggressore rimuovere la crittografia e leggere le comunicazioni aziendali sensibili in transito".

Ayan Bhuiya, Responsabile operativo e dei turni di consegna, PowerDMARC

L'opinione degli esperti:

"Il protocollo DNSSEC funge da custode della tua identità digitale. Non è più solo un protocollo IT, ma è diventato un elemento fondamentale nella gestione della reputazione del marchio. Un singolo episodio di dirottamento DNS può distruggere la fiducia nel marchio in pochi secondi."

Ahona Rudra, responsabile marketing , PowerDMARC

DNSSEC: le fondamenta deboli

Abilitato solo sul 3,8% dei domini del Regno Unito.

Contattateci

Benchmarking globale: il Regno Unito nel contesto

Questa tabella mette a confronto la posizione del Regno Unito in materia di protocolli di sicurezza fondamentali con quella di paesi come gli Stati Uniti, la Norvegia e il Giappone.

PaeseSPF CorrettoDMARC (p=rifiuta)MTA-STSDNSSEC
Stati Uniti 🇺🇸95.7%49.0%1.7%18.0%
Australia 🇦🇺92.3%46.7%5.8%6.8%
Regno Unito 🇬🇧93.7%44.1%20.6%3.8%
Norvegia 🇳🇴85.2%29.0%2.8%45.6%
Italia 🇮🇹91.0%16.7%1.0%3.5%
Arabia Saudita 🇸🇦80.6%18.4%0.2%11.9%
Giappone 🇯🇵95.0%9.2%0.5%16.4%
Nigeria 🇳🇬70.3%14.2%0.0%8.2%

Informazioni chiave tratte dai rapporti ufficiali

❗Il divario nell'applicazione della legge

Il Regno Unito vanta un elevato livello di adozione della tecnologia SFP, ma solo meno della metà dei suoi domini adotta misure di protezione attive contro le e-mail contraffatte.

L'eccezionale MTA-STS del Regno Unito

Rispetto ad altri paesi, il Regno Unito registra un elevato tasso di adozione della tecnologia MTA-STS, fondamentale per la protezione del transito. Ciò è da attribuire alle rigide linee guida dell’NCSC.

Adozione del protocollo DNSSEC

Il Regno Unito è in ritardo rispetto alla maggior parte dei paesi nell’adozione del protocollo DNSSEC, il che lo rende vulnerabile agli attacchi di dirottamento del DNS e di cache poisoning.

La «trappola della conformità»

Nonostante siano sempre più numerose le organizzazioni che ospitano record DMARC, la loro posizione rimane comunque passiva, in quanto non hanno impostato il parametro p=reject. Ciò significa semplicemente monitoraggio e non protezione.

Conclusione: dalle metriche all'azione

Il rapporto 2026 sull’adozione di DMARC e MTA-STS nel Regno Unito evidenzia che il Paese ha creato una solida base tecnica, ma deve ancora colmare completamente il divario tra il monitoraggio passivo e l’applicazione attiva delle norme di trasporto.

Non potete permettervi di aspettare il prossimo avviso dell’NCSC o un incidente catastrofico di tipo Business Email Compromise (BEC) per passare dal monitoraggio alla protezione. PowerDMARC colma questo “divario di implementazione” fornendo:

Percorsi di applicazione automatizzati: Migrazione sicura delle aziende FTSE 100 e delle PMI da p=none a p=reject senza bloccare le comunicazioni aziendali critiche o il flusso di posta dei reparti.

Semplificazione dell'infrastruttura: superamento del "limite di 10 lookup" con l'ottimizzazione SPF, hosting MTA-STS per colmare il divario di crittografia del 79 , 4 % e convalidando i record DNSSEC in un'unica dashboard cloud-native.

Preparazione normativa: Supporto alla conformità con il GDPR, UK Cyber Essentialse PCI-DSS 4.0 semplificando la protezione anti-phishing e proteggendo le comunicazioni e-mail sensibili.

Prenota una demo Contattateci

Prospettiva PowerDMARC

"Il Regno Unito è attualmente uno dei principali obiettivi delle frodi di phishing e delle frodi sulle fatture basate sull'intelligenza artificiale. Sebbene i team IT britannici siano eccellenti nella pubblicazione di registrazioni fondamentali, spesso sono paralizzati dal timore di bloccare la posta legittima. Nel 2026, un approccio basato esclusivamente sul monitoraggio equivale essenzialmente a una resa di fronte a sofisticate tecniche di spoofing. Il passaggio a una difesa attiva non è solo un aggiornamento della sicurezza, ma è essenziale per proteggersi dalle violazioni che prendono di mira il cuore dell'economia digitale del Regno Unito".

Team PowerDMARC

Trasforma oggi stesso la visibilità in difesa

I tassi di adozione nel Regno Unito dimostrano che le basi sono pronte; ora è il momento di dare il via. In un contesto in cui l'intelligenza artificiale è in grado di imitare perfettamente il tono di voce di un dirigente, affidarsi esclusivamente alla "visibilità" non è sufficiente.

Non lasciare che il tuo dominio rimanga una "frontiera non protetta". Passa dal monitoraggio passivo alla protezione attiva prima che la prossima ondata di attacchi coordinati colpisca il tuo settore.

Contatta PowerDMARC per iniziare il tuo percorso verso l'applicazione.

Prova di 15 giorniPrenota una demo