Defaults.Exposed › Report
La NIS2 richiede il DMARC? Autenticazione delle email e igiene informatica dell'UE (2026)
Pubblicato 2026-06-29
Dati aggiornati al 2026-06-29 · metodologia v7. Dati censuari aggregati per terminazione nazionale del dominio (ccTLD, un’approssimazione del paese, non della registrazione dell’azienda), su 261 milioni di domini valutati. “Può fermare l’impersonificazione” = una politica DMARC in applicazione (
quarantine/reject). I riferimenti a NIS2 di seguito sono generali; questo non è un parere legale. Vedi come valutiamo.
NIS2 non menziona DMARC per nome — ma richiede “misure adeguate di igiene informatica”, e impedire che il tuo dominio venga impersonato nelle email è una cosa tanto basilare quanto può esserlo l’igiene informatica. La Direttiva NIS2 dell’UE (scadenza di recepimento ottobre 2024) obbliga i soggetti essenziali e importanti ad adottare misure tecniche adeguate e proporzionate contro il rischio informatico. L’autenticazione delle email — SPF, DKIM e una politica DMARC in applicazione — è il controllo standard contro lo spoofing che corrisponde a quell’obbligo. Il censimento mostra che la maggior parte dei domini dell’UE non è ancora arrivata a quel punto.
Quanto sono esposti oggi i domini dell’UE?
Quota di domini su ciascuna terminazione nazionale con una politica DMARC in applicazione (più alto è meglio; gli altri possono essere impersonati). Al 2026-06-29:
| Paese (terminazione) | Può fermare l’impersonificazione |
|---|---|
| Paesi Bassi (.nl) | 29,43% |
| Polonia (.pl) | 23,36% |
| Germania (.de) | 21,38% |
| Spagna (.es) | 15,02% |
| Belgio (.be) | 14,91% |
| Francia (.fr) | 13,65% |
| Svezia (.se) | 10,18% |
| Irlanda (.ie) | 8,79% |
| Italia (.it) | 5,24% |
Persino il leader dell’UE, i Paesi Bassi, ha solo il 29,43% dei suoi domini in grado di fermare l’impersonificazione. L’Italia si attesta al 5,24%. Per confronto, il tasso globale di applicazione è solo del 10,59% — quindi l’Europa è in testa nel mondo e comunque lascia la grande maggioranza delle sue imprese impersonabili.
Cosa significa questo per un’impresa nell’ambito di NIS2
Se sei un soggetto essenziale o importante (o nella catena di approvvigionamento di uno di essi), l’autenticazione delle email è una misura economica, visibile e difendibile da mettere in atto:
- SPF + DKIM + DMARC in applicazione impedisce ai criminali di inviare email a nome della tua organizzazione — il meccanismo dietro la frode sulle fatture e le truffe di tipo CEO-fraud.
- È configurazione DNS gratuita, non l’acquisto di un prodotto — quindi la sua assenza è difficile da giustificare in un audit.
- È verificabile dall’esterno — revisori, assicuratori e partner possono verificarlo in pochi secondi, ed è proprio per questo che “il dominio può essere falsificato” è un riscontro che vale la pena chiudere prima che lo sollevi qualcun altro.
NIS2 non ti consegnerà una checklist che dice “imposta p=reject”. Ma quando la direttiva chiede misure proporzionate contro rischi evidenti, un dominio non protetto che chiunque può impersonare è una lacuna difficile da difendere.
Domande frequenti
NIS2 richiede legalmente DMARC? NIS2 non nomina DMARC. Richiede misure adeguate e proporzionate di igiene informatica e di gestione del rischio; l’autenticazione delle email (SPF/DKIM/DMARC) è il controllo standard che affronta il rischio di spoofing delle email, quindi è ampiamente considerata rientrante nell’ambito. Conferma i dettagli con il tuo consulente per la conformità.
Qual è la postura minima di autenticazione delle email?
SPF e DKIM pubblicati, e DMARC impostato su una politica in applicazione (quarantine o reject). Un record DMARC su p=none monitora ma non protegge.
Come si confrontano i paesi dell’UE su questo? Al 2026-06-29, l’applicazione varia da circa 5,24% (.it) a 29,43% (.nl). La maggior parte dei domini dell’UE non riesce ancora a fermare l’impersonificazione.
È costoso risolverlo? No — è configurazione DNS, gratuita da modificare. Il costo è il tempo per farlo nell’ordine giusto.
Verifica la postura email del tuo dominio rilevante per NIS2
Scopri se il tuo dominio può essere impersonato — ed esattamente cosa correggere — in modo privato e gratuito.
Verifica il tuo dominio → · Correggi DMARC → · Europa contro il mondo → · Qualcuno può falsificare il tuo dominio? → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.