La posta elettronica resta uno dei pilastri della comunicazione digitale, ma anche uno dei suoi punti più deboli. Le nuove linee guida dell’Agenzia per la Cybersicurezza Nazionale (ACN) mettono nero su bianco un dato spesso sottovalutato: il protocollo su cui si basa l’email, SMTP, non è stato progettato con adeguati meccanismi di sicurezza. Questo lo rende vulnerabile a minacce diffuse come spoofing, phishing e manomissione dei messaggi .
Per i professionisti IT e per le organizzazioni, il tema non è più tecnico ma strategico: senza adeguate configurazioni, qualsiasi dominio può essere facilmente impersonato. In tema, abbiamo organizzato il corso di formazione NIS 2: cosa fare entro il 2026 – Stato dell’arte, scadenze e checklist operativa per aziende e PA.
Indice
- 1. Un sistema nato senza difese
- 2. Spoofing e phishing: attacchi semplici ma efficaci
- 3. SPF, DKIM e DMARC: il trio della sicurezza
- 4. Il vero salto di qualità si chiama DMARC
- 5. Le criticità reali: configurazione e gestione
- 6. Sicurezza email e compliance: un legame sempre più stretto
- 7. Oltre l’autenticazione: una sicurezza multilivello
- 8. Conclusioni
- Formazione per professionisti
- Vuoi ricevere aggiornamenti costanti?
1. Un sistema nato senza difese
Il problema alla radice è strutturale. SMTP nasce in un contesto accademico, quando la fiducia tra sistemi era data per scontata. Oggi, però, questo modello si scontra con un ecosistema digitale ostile, dove gli attacchi sono sempre più frequenti e automatizzati.
La conseguenza è semplice: chiunque può inviare email fingendosi un altro utente o dominio, con impatti potenzialmente devastanti su aziende e pubbliche amministrazioni.
2. Spoofing e phishing: attacchi semplici ma efficaci
Tra le minacce principali evidenziate dall’ACN spiccano spoofing e phishing. Nel primo caso, l’attaccante falsifica il mittente per rendere il messaggio credibile; nel secondo, sfrutta questa credibilità per sottrarre dati o diffondere malware .
La variante più insidiosa è lo spear phishing, che colpisce obiettivi specifici con messaggi altamente personalizzati. Non servono tecniche sofisticate: basta sfruttare le debolezze intrinseche del sistema email.
3. SPF, DKIM e DMARC: il trio della sicurezza
Per contrastare queste vulnerabilità, le linee guida indicano tre protocolli fondamentali: SPF, DKIM e DMARC.
- SPF definisce quali server sono autorizzati a inviare email per un dominio
- DKIM garantisce l’integrità del messaggio tramite firma digitale
- DMARC coordina i due meccanismi e stabilisce le politiche di gestione
Il punto chiave è che questi strumenti funzionano davvero solo se implementati insieme. L’adozione parziale lascia comunque spazio agli attacchi.
4. Il vero salto di qualità si chiama DMARC
DMARC introduce un elemento decisivo: l’allineamento tra il dominio visibile all’utente e quello effettivamente autenticato.
Questo consente di intercettare tentativi di impersonificazione anche quando SPF o DKIM risultano formalmente validi. Inoltre, permette di definire politiche precise — dalla semplice segnalazione fino al rifiuto del messaggio — e di ricevere report dettagliati sull’uso del dominio.
Per le organizzazioni, significa passare da una difesa passiva a una gestione attiva della sicurezza email.
5. Le criticità reali: configurazione e gestione
Implementare questi protocolli non è sempre banale. Le linee guida evidenziano diversi casi complessi, come l’inoltro automatico delle email o l’utilizzo di servizi di terze parti, che possono compromettere le verifiche.
A questo si aggiunge un tema spesso trascurato: la gestione delle chiavi DKIM. È necessario proteggerle, ruotarle periodicamente e monitorarne l’utilizzo, pena il rischio di compromissione dell’intero dominio.
6. Sicurezza email e compliance: un legame sempre più stretto
Un altro aspetto rilevante è il collegamento con il quadro normativo. Le misure descritte si inseriscono nel contesto di normative come NIS2 e del Perimetro di sicurezza nazionale cibernetica, che impongono standard sempre più elevati per la protezione dei sistemi digitali.
In questo scenario, la sicurezza della posta elettronica non è più solo una best practice, ma un requisito di conformità.
7. Oltre l’autenticazione: una sicurezza multilivello
Infine, l’ACN sottolinea che SPF, DKIM e DMARC non bastano da soli. Per una protezione completa servono ulteriori strumenti, come la cifratura dei canali (TLS), la cifratura end-to-end e l’adozione di DNSSEC per proteggere i record DNS.
La sicurezza email, dunque, va vista come un sistema stratificato, in cui ogni livello contribuisce a ridurre il rischio.
8. Conclusioni
Le linee guida ACN offrono un messaggio chiaro: la posta elettronica è un’infrastruttura critica che richiede un approccio strutturato alla sicurezza. Per i professionisti, la sfida non è solo tecnica, ma organizzativa e strategica.
Investire nella corretta configurazione e gestione dei protocolli di autenticazione non significa solo proteggere i sistemi, ma anche salvaguardare la fiducia digitale su cui si basa ogni comunicazione.
Formazione per professionisti
NIS 2: cosa fare entro il 2026 – Stato dell’arte, scadenze e checklist operativa per aziende e PA
Secondo la comunicazione dell’ACN rilasciata in occasione dell’ottava riunione del Tavolo NIS (aprile 2026), l’elenco provvisorio dei soggetti NIS supera le 21.000 unità, di cui almeno 5.000 qualificati come essenziali.
Con le ultime determinazioni ACN, il framework della cybersecurity italiana è pienamente operativo e le organizzazioni sono chiamate a tradurre rapidamente gli obblighi in azioni concrete.
Questo webinar fornisce a tutte le organizzazioni e professionisti coinvolti una mappatura aggiornata dello “stato dell’arte”, con l’obiettivo di chiarire cosa fare entro il 2026 e come semplificare gli adempimenti.
Gli strumenti utili che mostreremo in questo webinar:
• La notifica unica: come integrare i flussi di segnalazione degli incidenti informatici verso diverse autorità con un unico processo.
• La mappatura degli adempimenti sovrapposti: per chi deve rispondere contemporaneamente a NIS 2, GDPR e Regolamento DORA.
• Gestione pratica della supply chain: come fare il censimento dei fornitori rilevanti e criteri per l’aggiornamento dei contratti (clausole cyber).
• Il portale ACN 2026: guida pratica all’uso dei Servizi NIS per il rinnovo dell’iscrizione e l’aggiornamento annuale delle attività.
• Checklist ispezioni: cosa preparare per farsi trovare pronti ai controlli dell’Agenzia (documentazione, log, processi di governance).
• Governance e modelli 231: revisione di deleghe, assetti organizzativi e modelli 231.
>>>Per info e descrizione<<<
Vuoi ricevere aggiornamenti costanti?
Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!
Scegli quale newsletter vuoi ricevere
Autorizzo l’invio di comunicazioni a scopo commerciale e di marketing nei limiti indicati nell’informativa.
Presto il consenso all’uso dei miei dati per ricevere proposte in linea con i miei interessi.
Cliccando su “Iscriviti” dichiari di aver letto e accettato la privacy policy.
Grazie per esserti iscritto alla newsletter.
Scrivi un commento
Accedi per poter inserire un commento