Rapporto sull'adozione di DMARC e MTA-STS negli Stati Uniti 2026

Il rapporto 2026 di PowerDMARC sull’autenticazione delle e-mail negli Stati Uniti mirava a studiare l’adozione del protocollo DMARC nel Paese, la sua configurazione e l’attenzione rivolta ai protocolli avanzati di sicurezza del transito, come MTA-STS e DNSSEC. Le nostre statistiche coprono l’intero territorio nazionale e i principali settori industriali, mettendo in luce le principali problematiche di sicurezza che rimangono spesso nascoste.

Ciò che non sorprende è la diffusa adozione del DMARC, che riflette una seria attenzione verso i protocolli di autenticazione delle e-mail. La sorpresa è stata invece la mancanza di protezione a livello di transito, dove i rischi di spoofing e di downgrade sono più elevati.

Nonostante le linee guida federali più rigorose, come ad esempio l’iniziativa “Shields Up” della CISA  e le più ampie iniziative nazionali in materia di sicurezza informatica, gli Stati Uniti rimangono uno dei principali teatri di operazioni per lo spoofing basato sull’intelligenza artificiale e le truffe di tipo Business Email Compromise (BEC), che lo scorso anno sono costate all’economia oltre 2,9 miliardi di dollari.

Questa analisi di PowerDMARC mette in luce una nazione che ha affrontato il tema dell’autenticazione dell’identità (SPF/DMARC), ma ha lasciato pericolosamente esposte la sicurezza del livello di trasporto (MTA-STS) e l’integrità della zona (DNSSEC). Diamo un’occhiata veloce a ciò che emerge dal rapporto.

Situazione generale della sicurezza della posta elettronica negli Stati Uniti

L'autenticazione delle e-mail negli Stati Uniti è un sistema a due livelli: record di base quasi universali (SPF e DMARC) abbinati a una protezione minima a livello di trasporto (MTA-STS e DNSSEC). Su oltre 900 domini, le metriche di riferimento sono:

SPF

USA SPF

DMARC

USA-DMARC-Square

MTA-STS

USA MTA-STS

DNSSEC

Logo BIMI

Metriche sulla sicurezza delle e-mail negli Stati Uniti

Metrico Tasso di adozione
Correttezza SPF 95.7%
Adozione del DMARC 95.8%
DMARC p=rifiuta 49.0%
Adozione MTA-STS 1.7%
Adozione del protocollo DNSSEC 18.0%

1. Settore bancario e finanziario: infrastrutture ad alta efficacia esecutiva

La truffa di phishing ai danni di JPMorgan del 2024 ha fruttato 100 milioni di dollari, a riprova del fatto che, sebbene le banche statunitensi banche danno priorità all’applicazione delle norme, non tutto rimane al sicuro solo con questo.

Metrico Tasso di adozione
Correttezza SPF 90.9%
Adozione MTA-STS 3.0%
Adozione del protocollo DNSSEC 22.7%
Adozione SPF nel settore bancario

❌Rischio critico

Dirottamento delle conferme SWIFT: Con una lacuna del 97,0% nel protocollo MTA-STS, gli aggressori possono intercettare le conferme dei bonifici in transito prima ancora che ci si accorga della violazione.

✅Correzione PowerDMARC

Automatizzato Hosting MTA-STS: Il transito delle e-mail avviene tramite canali TLS 1.2+ crittografati, riducendo in modo significativo il rischio di downgrade e di intercettazione grazie all'applicazione del protocollo TLS per la consegna in entrata e alla richiesta di conformità alle politiche tramite MTA-STS.

2. Governo: obbligatorio ma vulnerabile

Le agenzie federali statunitensi sono all’avanguardia nell’applicazione dello standard DMARC grazie alle direttive operative vincolanti della CISA. Nel campo della sicurezza del trasporto persiste tuttavia un ampio divario in termini di visibilità.

Metrico Tasso di adozione
Correttezza SPF 97.7%
DMARC p=rifiuta 80.1%
Adozione MTA-STS 3.4%

❌Rischio critico

Critico Spoofing: Data la natura della sicurezza richiesta, anche il mancato 19,9% consente ad attori statali stranieri di falsificare credenziali ufficiali .gov, aggirando la fiducia dei cittadini per diffondere malware o raccogliere informazioni personali sensibili (PII).

✅Correzione PowerDMARC

Conformità SCuBA automatizzata per i domini .gov: La nostra piattaforma automatizza i requisiti di autenticazione delle e-mail previsti dalla direttiva CISA BOD 25-01, fornendo una dashboard centralizzata per migrare i domini .gov alla configurazione DMARC p=reject senza alcuno sforzo manuale, soddisfacendo così i requisiti minimi di sicurezza SCuBA per M365 e Google Workspace.

3. Assistenza sanitaria: il fianco scoperto dell'HIPAA

Ricordate la violazione subita da Change Healthcare nel 2024? Gli operatori sanitari sono costantemente presi di mira tramite mittenti di terze parti falsificati, e l’e-mail rimane un anello debole.

Metrico Tasso di adozione
DMARC p=rifiuta 64.6%
Adozione MTA-STS 1.3%
Adozione del protocollo DNSSEC 11.4%

❌Rischio critico

Fughe di dati sanitari protetti (PHI) nei trasporti: 98,7% del traffico e-mail nel settore sanitario non è crittografato durante il transito. Gli hacker possono intercettare le informazioni sanitarie protette (PHI) direttamente dalla rete, causando ingenti multe HIPAA e la fuga di dati dei pazienti.

✅Correzione PowerDMARC

Gestisce il percorso verso la piena applicazione degli standard DMARC e MTA-STS, garantendo che ogni cartella clinica in uscita sia crittografata tramite MTA-STS in hosting.

4. Energia e servizi pubblici: rischi legati alla tecnologia operativa

Nonostante i progressi compiuti, la posta elettronica aziendale rimane ancora una superficie di attacco attiva per il ransomware in questo settore.

Metrico Tasso di adozione
Correttezza SPF 96.8%
DMARC p=rifiuta 51.6%
Adozione MTA-STS 1.6%
Adozione del protocollo DNSSEC nel settore energetico

❌Rischio critico

Attacchi di phishing con passaggio all’OT: Quasi la metà del settore non è in grado di bloccare le e-mail contraffatte, rendendo la casella di posta una porta d'accesso alla rete fisica.

✅Correzione PowerDMARC

Ottimizzazione dei record: Applica rigorosamente le politiche DMARC su tutti i domini delle utility e comprime i record SPF complessi con PowerSPF, rimanendo entro i limiti di ricerca DNS e garantendo al contempo la sicurezza delle comunicazioni operative.

5. Istruzione: La raccolta della proprietà intellettuale

Il settore dell'istruzione superiore statunitense registra il tasso di applicazione del protocollo DMARC più basso rispetto a qualsiasi altro settore del Paese, nonostante le università siano tra i principali bersagli di furti di proprietà intellettuale, frodi relative ai finanziamenti per la ricerca e phishing mirato.

Metrico Tasso di adozione
DMARC p=rifiuta 30.3%
Adozione MTA-STS 3.4%
Adozione del protocollo DNSSEC 12.4%

❌Rischio critico

Raccolta dei dati di accesso universitari: Un tasso di rifiuto del 30,3% significa che circa sette campus su dieci consentono agli hacker di falsificare le e-mail con dominio .edu, ottenendo così l'accesso a banche dati di ricerca del valore di svariati milioni di dollari, domande di sovvenzioni e dati finanziari degli ex studenti.

✅Correzione PowerDMARC

Gestisci migliaia di sottodomini di dipartimento da un'unica dashboard. Applica le politiche di sicurezza a livello di campus, riducendo il numero di attacchi di phishing riusciti nei sistemi dedicati al corpo docente, agli ex studenti e ai servizi per gli studenti.

6. Media: l'amplificatore della disinformazione

La lotta delle redazioni contro le fake news si rivela inefficace a causa della scarsa diffusione dei sistemi di autenticazione. In quanto fonti di informazione nazionale, si tratta di una lacuna fondamentale da colmare.

Metrico Tasso di adozione
DMARC p=rifiuta 30.4%
Adozione MTA-STS 0.4%
Adozione del protocollo DNSSEC 3.3%
Logo BIMI

❌Rischio critico

Fonte: Furto d’identità: Con un livello di applicazione dell'MTA-STS prossimo allo zero e un basso livello di applicazione del DMARC, le comunicazioni private dei giornalisti con fonti sensibili sono visibili a chiunque monitori la rete.

✅Correzione PowerDMARC

Integrità della fonte: Sposta i domini dei media in p=reject, in modo che solo i giornalisti verificati possano inviare e-mail dal dominio della testata. Aggiungi BIMI per visualizzare un logo di verifica nelle caselle di posta dei destinatari, rafforzando così la fiducia nella redazione.

7. Telecomunicazioni: calamita per le truffe agli abbonati

Gli operatori proteggono le proprie reti ma lasciano le caselle di posta elettronica completamente esposte, alimentando così l’epidemia di furti tramite sostituzione della SIM che ogni anno costa miliardi agli americani.

Metrico Tasso di adozione
DMARC p=rifiuta 41.4%
Adozione MTA-STS 2.3%
Adozione del protocollo DNSSEC 12.6%

❌Rischio critico

Frodi nella fatturazione e appropriazione indebita degli account: I truffatori inviano avvisi di fatturazione dall’aspetto autentico per ottenere i codici 2FA, che vengono poi utilizzati per autorizzare la sostituzione della SIM e svuotare i conti bancari.

✅Correzione PowerDMARC

SIM-Phish Slamming: Applica il parametro p=reject su tutti i domini degli operatori e ospita MTA-STS per garantire la sicurezza dei flussi di fatturazione automatizzati.

8. Trasporti e logistica: il compromesso della catena di approvvigionamento

Le compagnie aeree e le reti ferroviarie devono affrontare il problema del "reindirizzamento logistico", in cui manifesti falsificati portano al furto di merci e al reindirizzamento delle forniture di carburante.

Metrico Tasso di adozione
Correttezza SPF 90.2%
DMARC p=rifiuta 42.4%
Nessun record DMARC 1.1%
Adozione MTA-STS 0.0%
Adozione del protocollo DNSSEC 12.0%

❌Rischio critico

Furto del manifesto in testo semplice: A lacuna del 100% in MTA-STS significa che ogni manifesto di carico inviato via e-mail non è crittografato. Gli aggressori possono facilmente intercettare i valori e i percorsi delle spedizioni per coordinare furti fisici o digitali delle merci.

✅Correzione PowerDMARC

Canali logistici a prova di frode: L'hosting MTA-STS con un solo clic protegge il livello di trasporto, garantendo la crittografia end-to-end dei dati sensibili relativi alle spedizioni e impedendo attacchi man-in-the-middle sferrati tramite e-mail.

Quattro punti deboli strutturali all’origine del divario nell’applicazione della legge

Il divario di implementazione p=none

Il 46,8% dei domini statunitensi ha DMARC ma non ne garantiscono l'applicazione (p=nessuna o p=quarantine). L'attuale stato p=none non ha la capacità di rimediare, permettendo agli aggressori di continuare a falsificare marchi affidabili mentre l'organizzazione si limita a osservare l'attività nei registri.

"Una politica DMARC impostata su p=none fornisce solo segnalazioni e visibilità sui tentativi di spoofing, senza bloccarli. Sebbene l'alto tasso di adozione negli Stati Uniti sia incoraggiante, è necessario passare a una politica DMARC di p=reject per prevenire attivamente l'uso non autorizzato delle e-mail. Senza l'applicazione di questa politica, i domini di posta elettronica rimangono vulnerabili".

Maitham Al Lawati, CEO, PowerDMARC

“Lo vediamo continuamente nelle aziende Fortune 500: aggiungono un nuovo strumento di marketing e improvvisamente le loro e-mail di fatturazione iniziano a rimbalzare. Il limite di 10 ricerche è un tetto massimo nel DNS. Senza ottimizzazione SPF come l'appiattimento o le macro per comprimere questi record, l'espansione del tuo stack digitale compromette inevitabilmente la deliverability delle tue e-mail".

Yunes Tarada, Responsabile della fornitura dei servizi, PowerDMARC

Complessità SPF su larga scala

Mentre il 95,7% dei domini ha un SPF, il restante 4,3% presenta configurazioni errate critiche. Nelle complesse aziende statunitensi, ciò deriva spesso dal raggiungimento del limite di 10 lookup per le query DNS, che fa sì che le e-mail legittime provenienti da fornitori terzi (CRM, sistemi HR) non superino l'autenticazione e scompaiano.

MTA-STS: Il deficit di crittografia

Con 98,3% di esposizione su tutta la linea, gli Stati Uniti hanno un gap di controllo quasi totale per quanto riguarda la sicurezza dei trasporti. Senza MTA-STS, gli aggressori possono eseguire "attacchi di downgrade", costringendo i server di posta elettronica ad abbandonare la crittografia e a trasmettere i messaggi in testo semplice, leggibile da chiunque monitori la rete.

"La crittografia standard delle e-mail (STARTTLS) è opportunistica: richiede la crittografia ma non la impone. MTA-STS è un modo per applicare il blocco del trasporto. Con quasi tutto il traffico statunitense esposto, è banale per un aggressore rimuovere la crittografia e leggere le comunicazioni aziendali sensibili in transito".

Ayan Bhuiya, Responsabile operativo e dei turni di consegna, PowerDMARC

"Le organizzazioni investono molto nella costruzione della fiducia nel marchio, ma un singolo dirottamento DNS può distruggerla in pochi secondi. Il protocollo DNSSEC funge da guardiano della vostra identità digitale, garantendo che quando i clienti vi contattano, si connettano con la vostra vera identità. Non è più solo un protocollo IT, ma un livello fondamentale della gestione della reputazione del marchio".

Ahona Rudra, Responsabile marketing, PowerDMARC

DNSSEC: le fondamenta deboli

DNSSEC è abilitato solo sul 18,0% dei domini. Senza di esso, il sistema di directory di Internet (DNS) è privo di protezione. Attaccanti sofisticati sponsorizzati dallo Stato possono dirottare il DNS , reindirizzando l'intero flusso di posta elettronica di un'azienda verso un server non autorizzato senza che il mittente o il destinatario se ne accorgano.

Benchmarking globale: gli Stati Uniti nel contesto

PaeseSPF CorrettoAdozione del DMARCDMARC p=rifiutaMTA-STS (Crittografia)Adozione del protocollo DNSSEC
Stati Uniti 🇺🇸95.7%95.8%49.0%1.7%18.0%
Paesi Bassi 🇳🇱92.4%88.5%41.2%14.5%59.0%
Svezia 🇸🇪85.0%77.9%29.9%2.9%25.9%
Norvegia 🇳🇴85.2%83.1%29.0%2.8%45.6%
Australia 🇦🇺91.5%78.4%26.5%3.1%6.8%
Arabia Saudita 🇸🇦80.6%54.4%18.4%0.2%11.9%
Giappone 🇯🇵95.0%74.6%9.2%0.5%2.1%

Analisi: dove gli Stati Uniti sono all’avanguardia e dove sono in ritardo

I dati di benchmarking relativi al periodo 2025–2026 rivelano che gli Stati Uniti sono attualmente il leader mondiale nella difesa attiva, vantando il più alto tasso di p=reject pari al 49,0%. Questo successo è in gran parte dovuto alle prime disposizioni normative e al contesto ad alto rischio nei settori bancario e sanitario.

Tuttavia, gli Stati Uniti devono affrontare un problema di “Technical Tail”. Sebbene l’adozione delle misure fondamentali SPF e DMARC sia ormai quasi universale, i Paesi Bassi superano nettamente gli Stati Uniti in termini di crittografia avanzata. Ciò evidenzia un’attenzione strategica rivolta al contrasto del phishing (DMARC), a fronte di investimenti insufficienti nella resilienza delle infrastrutture (DNSSEC/MTA-STS).

Inoltre, con l'adozione del protocollo DNSSEC pari solo al 18,0%, gli Stati Uniti rimangono più vulnerabili al sofisticato dirottamento DNS rispetto alla Norvegia (45,6%). Questo divario evidenzia l'attenzione strategica degli Stati Uniti nel contrastare il phishing (DMARC), a scapito degli investimenti nella resilienza delle infrastrutture (DNSSEC/MTA-STS). Affinché gli Stati Uniti mantengano la loro leadership nella sicurezza informatica, la fase successiva dovrà andare oltre la semplice verifica dell'identità e orientarsi verso la crittografia totale e l'integrità dell'ecosistema globale della posta elettronica.

Dai dati all’azione: colmare il divario nell’attuazione

Gli Stati Uniti dispongono delle basi necessarie per assumere un ruolo di leadership a livello globale nell'ambito dell'autenticazione delle e-mail. Il lavoro che resta da fare è di natura operativa: passare dal monitoraggio all'applicazione delle norme e aggiungere una protezione a livello di trasporto, che la maggior parte delle organizzazioni tende a rimandare a causa della complessità percepita.

PowerDMARC colma questa lacuna grazie a tre funzionalità:

Percorsi di applicazione automatizzata: Eseguire la migrazione delle aziende Fortune 500 e delle PMI da p=none a p=reject senza bloccare la posta legittima.

Semplificazione dell'infrastruttura: Risolvi il limite di 10 query SPF con PowerSPF, ospita le politiche MTA-STS e convalida i record DNSSEC da un'unica dashboard cloud-native.

Preparazione normativa: Supporto alla conformità con standard PCI-DSS 4.0, HIPAA e CISA da un'unica piattaforma.

Prospettiva PowerDMARC

«Gli Stati Uniti sono il principale banco di prova per phishing basato sull’IA phishing basato sull’intelligenza artificiale. I team IT americani pubblicano bene i dati, ma esitano nell’applicazione delle misure perché temono di bloccare le e-mail legittime. Nel 2026, limitarsi al monitoraggio equivale di fatto a una resa di fronte a sofisticate tecniche di spoofing. Il passaggio alla difesa attiva è una protezione essenziale contro le violazioni che caratterizzeranno quest’anno.”

Team PowerDMARC

Conclusione: dalla visibilità alla difesa

I dati del 2026 sono inequivocabili. Le organizzazioni statunitensi hanno gettato le basi; il prossimo passo è l’applicazione delle misure. In un anno in cui le frodi basate sull’intelligenza artificiale sono in grado di imitare il tono e lo stile di scrittura di un dirigente già al primo tentativo, limitarsi al monitoraggio non fa che ritardare i tempi.

Il percorso di migrazione da p=none a p=reject richiede settimane, non trimestri, quando i record vengono gestiti automaticamente. I settori che compiranno per primi questo passaggio trasformeranno la posta elettronica, attualmente la loro principale superficie di attacco, in un canale di comunicazione affidabile.

Pronti a passare dalla semplice visibilità alla difesa attiva?

Prenota una demo