Defaults.Exposed › Articles
Lo stato della sicurezza dei domini nel 2026
Published 2026-06-27
Dati aggiornati al 2026-06-27 · metodologia v7. Questo è un report ricorrente: ogni edizione rimisura la stessa popolazione, così è possibile seguire l’evoluzione dei numeri nel tempo. Tutti i dati sono aggregati — non pubblichiamo mai il voto di una singola azienda. Il
.comè valutato per intero (129M di domini) ed è incluso nei totali riportati qui sotto.
In sintesi: gran parte di internet non supera nemmeno i requisiti minimi di sicurezza dei domini
Abbiamo misurato 261.752.302 domini attivi con 34 controlli di sicurezza — autenticazione delle email (SPF, DKIM, DMARC), TLS e certificati, header di sicurezza web e DNS (incluso DNSSEC). Il risultato è netto:
- Il 86,3% prende un voto F — il voto più basso.
- Meno del 0,02% ottiene una A o una A+ — più o meno 1 dominio su 4700.
- Solo circa 1 su 27 arriva a una C o meglio.
Non si tratta di qualche sito trascurato qua e là. È lo stato normale di internet: le protezioni che impediscono di falsificare le tue email e di ingannare i tuoi visitatori sono semplicemente disattivate sulla stragrande maggioranza dei domini.
Distribuzione dei voti (262M di domini)
| Voto | Domini | Quota |
|---|---|---|
| A+ | 6708 | 0,0% |
| A | 49.443 | 0,0% |
| B | 1.142.198 | 0,4% |
| C | 8.566.735 | 3,3% |
| D | 26.225.422 | 10,0% |
| F | 225.761.796 | 86,3% |
Le differenze tra Paesi e TLD sono notevoli
La sicurezza dei domini varia molto da un Paese all’altro e a seconda dell’estensione del dominio. I registri nazionali consolidati — soprattutto in Europa — tendono a proteggere meglio le proprie aziende, mentre le estensioni generiche economiche e ad alto volume, scelte per le registrazioni di massa, fanno peggio di tutti. Ma “meglio” è relativo: anche le estensioni più solide lasciano comunque la maggior parte dei propri domini con una F.
Queste classifiche cambiano man mano che il censimento cresce, perciò le teniamo aggiornate in tempo reale invece di fissarle qui:
Cosa significa per la tua azienda
Un voto insufficiente non è un punteggio astratto. In concreto, di solito significa che per il tuo dominio è vera una o più di queste cose:
- Le tue email possono essere falsificate. Senza SPF e DMARC applicati correttamente, un criminale può inviare email che sembrano provenire esattamente da te — ai tuoi clienti, dipendenti e fornitori — e quelle email arrivano nella posta in arrivo. È così che funzionano le truffe con false fatture e le frodi del finto amministratore delegato.
- Le tue email vere finiscono più facilmente nello spam. Google e Yahoo diffidano sempre di più dei domini non autenticati, così i tuoi preventivi e le tue fatture autentiche finiscono in silenzio tra la posta indesiderata.
- Non superi i controlli di sicurezza degli altri. I clienti più grandi fanno una rapida verifica prima di firmare. “Dominio non protetto — falsificabile” basta a far saltare l’affare.
- Il tuo sito può allontanare i visitatori. Un certificato mancante o non valido mostra agli utenti una pagina rossa “Non sicuro”.
La buona notizia: la maggior parte di questi problemi si risolve gratuitamente e in fretta — di solito con poche righe nelle impostazioni del dominio. L’ostacolo non è quasi mai il costo; è che nessuno ha mai detto al titolare quanto fosse importante.
Come abbiamo misurato
- 34 controlli, osservabili dall’esterno — senza alcun accesso ai sistemi di chicchessia. (Metodologia completa.)
- Superato / non superato / N/A. Quando un controllo non è davvero determinabile viene contrassegnato come N/A ed escluso — non conta mai come fallimento.
- Un fallimento reale è un fallimento reale. Un dominio senza SPF/DMARC prende un voto basso perché può davvero essere falsificato — non per come abbiamo fatto i conti.
- Solo dati aggregati. Sono andamenti di popolazione; il voto di un singolo dominio viene mostrato soltanto al suo titolare verificato.
- I dati sono archiviati ed elaborati all’interno dell’UE.
(Un’edizione futura aggiungerà la quota di domini che non pubblicano alcuna protezione contro la falsificazione delle email, una volta completato quel singolo controllo sull’intera popolazione.)
Scopri come se la cava il tuo dominio
Questi sono valori medi. Il tuo dominio potrebbe essere tra il 0,02% che ottiene una A — oppure tra il 86,3% che non ce la fa. Puoi verificarlo in modo privato e gratuito, e vedere esattamente quali dei 34 controlli superi e come sistemare quelli che non superi.