Defaults.Exposed › Correzioni › Guides
Quella storia di fatture false che ha sentito — potrebbe capitare alla Sua azienda? Lo scopra in due minuti (2026)
Pubblicato 2026-07-08
Dati aggiornati al 2026-06-29 · metodologia v7. Dati aggregati del censimento su 261 milioni di domini valutati — non pubblichiamo mai i risultati di un singolo dominio. Veda come assegniamo i voti.
Molto probabilmente sì — e può scoprirlo con certezza in circa due minuti, gratis. Il 89,41% dei 261.086.232 domini valutati nel censimento Defaults.Exposed (al 2026-06-29) potrebbe essere impersonato nel modo descritto da quella storia, perché un’impostazione gratuita che lo blocca non è mai stata attivata. La verifica mostra se il Suo è uno di questi.
In parole semplici, questa pagina copre: cosa è successo nella storia che ha sentito, perché è stato possibile, la verifica gratuita di due minuti e una nota da copiare e inviare — report allegato — a chi si occupa della Sua informatica.
Cosa è successo davvero in quella storia?
I dettagli variano, ma lo schema è quasi sempre lo stesso. Un criminale invia una fattura che, agli occhi di qualsiasi lettore normale, sembra in tutto e per tutto arrivata dall’indirizzo email di un’azienda vera — stesso nome, stesso indirizzo dopo la @, un importo plausibile. Un cliente la paga, il denaro viene spostato nel giro di poche ore, e l’azienda il cui nome era su quell’email — che non ha fatto nulla di male e non ne sapeva nulla — si prende la telefonata furiosa e il rapporto rovinato.
Noti cosa manca in quella storia: nessuno è stato hackerato. Il criminale non ha mai toccato i sistemi dell’azienda.
Come può qualcuno inviare un’email che sembra arrivare dalla mia azienda?
Perché la posta elettronica funziona ancora come decenni fa: la riga del mittente è come l’indirizzo del mittente su una busta — chiunque può scriverci qualsiasi cosa. A meno che il Suo dominio non dica il contrario, un sistema di posta ricevente non ha modo di sapere se “un’email dalla Sua azienda” viene davvero da Lei.
Esistono impostazioni gratuite — brevi righe di testo pubblicate accanto al nome del Suo dominio — che dicono al mondo: le email autentiche da parte nostra arrivano solo da questi posti; rifiutate tutto il resto come falso. Attivate e applicate, la fattura della storia viene respinta prima che un essere umano la veda. Spente, arriva nella casella di posta con un aspetto perfetto.
La maggior parte delle aziende non le ha mai attivate — nessuno ha mai detto loro che quelle impostazioni esistono. Dei 261.086.232 domini valutati nel censimento Defaults.Exposed (al 2026-06-29), il 89,41% non ha applicato l’impostazione che blocca l’impersonificazione, e il 46,4% non ha fatto nemmeno il primo passo. In quella maggioranza Lei non è negligente — è nella norma. Ma è verificabile, e lo è anche la soluzione. (Spiegazione più estesa: qualcuno può falsificare il mio dominio?)
Come scopro in due minuti se potrebbe capitare a noi?
- Esegua la verifica gratuita su defaults.exposed. Digiti il Suo dominio — la parte del Suo indirizzo email dopo la @. Nessuna registrazione, nessuna carta; legge solo impostazioni pubbliche e non tocca mai i Suoi sistemi.
- Legga il voto. Una A significa che le email contraffatte con il Suo nome vengono rifiutate dai sistemi di posta riceventi. Qualsiasi voto sotto la A significa che la porta è aperta, in qualche misura.
- Conservi il report. È datato, in linguaggio semplice, ed elenca cosa è a posto e cosa manca.
- Lo inoltri — sezione successiva.
Dove si trovano davvero le aziende:
| Dove si trovano i domini | Quota dei 261.086.232 domini che abbiamo valutato (al 2026-06-29) | Cosa significa per la storia |
|---|---|---|
| Impersonificazione non bloccata — l’impostazione che la applica non è mai stata attivata | 89,41% | La storia potrebbe ripetersi domani con il loro nome sulla fattura |
| Non hanno fatto nemmeno il primo passo | 46,4% | Ai sistemi di posta riceventi non viene detto nulla su come sono fatte le loro email autentiche |
| Protetti — i falsi vengono rifiutati | circa un dominio su dieci | La fattura falsa viene respinta prima che qualcuno possa pagarla |
Cosa faccio con il risultato?
Inoltri il report a chi si occupa della Sua informatica — la persona che ha configurato la Sua posta, o chi chiamerebbe quando si rompe. Non serve che Lei capisca il contenuto; serve che lo capisca lui. Copi e invii questo insieme al report:
Buongiorno — dopo aver sentito di un caso di frode con fatture false che sta circolando, ho eseguito una verifica gratuita sul nostro dominio su defaults.exposed. Il report è allegato. Potrebbe guardare le impostazioni email che segnala e dirmi cosa serve per portarci a una A? Mi risulta che sia configurazione, non nuovo software — all’incirca un pomeriggio di lavoro. Sono pronto ad approvare quel tempo. Grazie.
Quando lo aprirà, le parole che userà sono SPF, DKIM e DMARC — l’ultima (Domain-based Message Authentication, Reporting and Conformance) è l’impostazione che dice ai sistemi di posta del mondo di rifiutare i falsi che portano il Suo nome. Il report mostra quali delle tre il Suo dominio possiede e rimanda a istruzioni passo passo, a partire da come sistemare DMARC. È il linguaggio del Suo informatico, di proposito.
Se non ha un informatico, il report Le dice esattamente cosa chiedere. Lo porti a chi ha registrato il Suo dominio o ospita la Sua posta — il loro servizio di assistenza gestisce queste impostazioni ogni giorno — e chieda ciò che il report elenca come mancante.
Sarà costoso da sistemare?
No — e questa è la parte onesta, non quella commerciale. Le impostazioni sono gratuite: righe di testo nella configurazione del Suo dominio, non software, non un abbonamento. Per un informatico competente, portare una tipica piccola azienda a una A è un pomeriggio di lavoro — l’attenzione sta nell’elencare prima ogni mittente legittimo (provider di posta, strumento newsletter, sistema di fatturazione) perché le email vere continuino a circolare quando la protezione viene attivata. L’ostacolo non è mai stato il denaro; è che nessuno gliel’aveva detto.
Domande frequenti
È la stessa cosa di essere hackerati? No. Nessuno è entrato da nessuna parte — nessuna password rubata, nessun virus, nessuno dentro i Suoi sistemi. Il criminale scrive il Suo nome sulla busta e la spedisce da un altro posto: falsificazione, non scasso. È anche il motivo per cui antivirus e firewall non lo intercettano mai — dalla Sua parte non c’è nulla che possano vedere. Le impostazioni mancanti sono l’unica cosa che lo ferma, e il 89,41% dei 261.086.232 domini che abbiamo valutato (al 2026-06-29) è esposto.
Sistemarlo costerà? Le impostazioni sono gratuite; pagare qualcuno perché le configuri con cura è un pomeriggio di lavoro. Considerato che il 46,4% dei domini valutati non ha fatto nemmeno il primo passo gratuito (censimento al 2026-06-29), è una delle riduzioni di rischio autentiche più economiche che un’azienda possa comprare.
Come saprei se sta già succedendo? Di solito non lo saprebbe — finché un cliente non telefona per una fattura che Lei non ha mai inviato. L’azienda impersonata è tipicamente l’ultima a scoprirlo; la verifica di due minuti è più veloce che aspettare quella telefonata. Se la telefonata è già arrivata, vada direttamente alla guida d’emergenza: qualcuno sta inviando email dal Suo dominio.
E il vecchio dominio del nostro rebranding — quello che possediamo ancora ma non usiamo? Verifichi anche quello. Un dominio che non invia email può comunque essere impersonato se non è mai stato blindato — e nessuno lo sorveglia: quel vecchio dominio del Suo rebranding è una porta lasciata aperta.
Inoltri questa pagina a chi si occupa della Sua informatica
È tutta qui l’azione che questa pagina Le chiede: esegua la verifica gratuita, poi inoltri il report con la nota qui sopra. Due minuti per la verifica, uno per l’email — e la paura di martedì mattina diventa un documento datato e un pomeriggio prenotato del tempo di qualcun altro. Conservi il report: è la stessa prova che risponde alla domanda sulla sicurezza email che ora compare nei moduli di rinnovo dell’assicurazione cyber.
Verifichi il Suo dominio → · Qualcuno sta inviando email dal Suo dominio → · Qualcuno può falsificare il mio dominio? → · Solo dati aggregati. Dati conservati e trattati nell’UE.