Defaults.Exposed

Defaults.Exposed › Report

La NIS2 richiede il DMARC? Autenticazione delle email e igiene informatica dell'UE (2026)

Pubblicato 2026-06-29

Dati aggiornati al 2026-06-29 · metodologia v7. Dati censuari aggregati per terminazione nazionale del dominio (ccTLD, un’approssimazione del paese, non della registrazione dell’azienda), su 261 milioni di domini valutati. “Può fermare l’impersonificazione” = una politica DMARC in applicazione (quarantine/reject). I riferimenti a NIS2 di seguito sono generali; questo non è un parere legale. Vedi come valutiamo.

NIS2 non menziona DMARC per nome — ma richiede “misure adeguate di igiene informatica”, e impedire che il tuo dominio venga impersonato nelle email è una cosa tanto basilare quanto può esserlo l’igiene informatica. La Direttiva NIS2 dell’UE (scadenza di recepimento ottobre 2024) obbliga i soggetti essenziali e importanti ad adottare misure tecniche adeguate e proporzionate contro il rischio informatico. L’autenticazione delle email — SPF, DKIM e una politica DMARC in applicazione — è il controllo standard contro lo spoofing che corrisponde a quell’obbligo. Il censimento mostra che la maggior parte dei domini dell’UE non è ancora arrivata a quel punto.

Quanto sono esposti oggi i domini dell’UE?

Quota di domini su ciascuna terminazione nazionale con una politica DMARC in applicazione (più alto è meglio; gli altri possono essere impersonati). Al 2026-06-29:

Paese (terminazione)Può fermare l’impersonificazione
Paesi Bassi (.nl)29,43%
Polonia (.pl)23,36%
Germania (.de)21,38%
Spagna (.es)15,02%
Belgio (.be)14,91%
Francia (.fr)13,65%
Svezia (.se)10,18%
Irlanda (.ie)8,79%
Italia (.it)5,24%

Persino il leader dell’UE, i Paesi Bassi, ha solo il 29,43% dei suoi domini in grado di fermare l’impersonificazione. L’Italia si attesta al 5,24%. Per confronto, il tasso globale di applicazione è solo del 10,59% — quindi l’Europa è in testa nel mondo e comunque lascia la grande maggioranza delle sue imprese impersonabili.

Cosa significa questo per un’impresa nell’ambito di NIS2

Se sei un soggetto essenziale o importante (o nella catena di approvvigionamento di uno di essi), l’autenticazione delle email è una misura economica, visibile e difendibile da mettere in atto:

NIS2 non ti consegnerà una checklist che dice “imposta p=reject”. Ma quando la direttiva chiede misure proporzionate contro rischi evidenti, un dominio non protetto che chiunque può impersonare è una lacuna difficile da difendere.

Domande frequenti

NIS2 richiede legalmente DMARC? NIS2 non nomina DMARC. Richiede misure adeguate e proporzionate di igiene informatica e di gestione del rischio; l’autenticazione delle email (SPF/DKIM/DMARC) è il controllo standard che affronta il rischio di spoofing delle email, quindi è ampiamente considerata rientrante nell’ambito. Conferma i dettagli con il tuo consulente per la conformità.

Qual è la postura minima di autenticazione delle email? SPF e DKIM pubblicati, e DMARC impostato su una politica in applicazione (quarantine o reject). Un record DMARC su p=none monitora ma non protegge.

Come si confrontano i paesi dell’UE su questo? Al 2026-06-29, l’applicazione varia da circa 5,24% (.it) a 29,43% (.nl). La maggior parte dei domini dell’UE non riesce ancora a fermare l’impersonificazione.

È costoso risolverlo? No — è configurazione DNS, gratuita da modificare. Il costo è il tempo per farlo nell’ordine giusto.

Verifica la postura email del tuo dominio rilevante per NIS2

Scopri se il tuo dominio può essere impersonato — ed esattamente cosa correggere — in modo privato e gratuito.

Verifica il tuo dominio → · Correggi DMARC → · Europa contro il mondo → · Qualcuno può falsificare il tuo dominio? → · Solo dati aggregati. Dati archiviati ed elaborati nell’UE.