Best practice per la sicurezza delle email nel 2026

Sintesi esecutiva: L’email resta il vettore d’attacco più sfruttato nel business moderno — non perché le organizzazioni trascurino la sicurezza, ma perché gli attaccanti sfruttano identità e fiducia in modi che i controlli tradizionali non erano stati progettati per fermare. Nel 2026, la sicurezza efficace delle email richiede enforcement delle policy a livello di dominio, visibilità continua e autenticazione capace di bloccare le minacce, non solo di segnalarle.

Punti chiave:

• Il phishing e il pretexting rappresentano l’87% degli attacchi di social engineering, secondo il Data Breach Investigations Report di Verizon
• MFA, password e Secure Email Gateway restano necessari ma non sono più sufficienti contro le minacce moderne basate sull’identità
• DMARC impostato su p=reject è il controllo più efficace per fermare lo spoofing del dominio e l’impersonificazione del brand su larga scala
• L’IA viene sfruttata dagli attaccanti per generare phishing convincente su vasta scala, rendendo essenziali le difese automatizzate

Nel 2026, l’email resta la superficie di attacco più sfruttata nelle aziende moderne — non perché venga sottovalutata la sicurezza, ma perché l’abuso dell’email sfrutta identità, fiducia e scala in modi che i controlli tradizionali non possono bloccare.

Anno dopo anno, gli attacchi via email continuano a dominare i vettori di accesso iniziale [1]. Nonostante l’adozione diffusa di MFA, Secure Email Gateway e formazione degli utenti, gli attaccanti hanno successo abusando del presupposto fondamentale delle email: che i messaggi siano davvero inviati da chi dicono di essere [2].

Il Data Breach Investigations Report di Verizon ha rilevato che il phishing e il pretexting rappresentavano l’87% degli attacchi di social engineering, rendendoli la tecnica dominante utilizzata per compromettere i dipendenti [1]. Per le aziende che stanno predisponendo le proprie difese nel 2026, la sicurezza efficace delle email oggi va oltre i filtri: servono enforcement delle policy, visibilità e controllo continuo a livello di dominio.

La sicurezza email si riferisce a policy, protocolli di autenticazione (SPF, DKIM, DMARC) e sistemi di monitoraggio che prevengono phishing, spoofing, business email compromise (BEC) e impersonificazione del dominio.

Benefici di una solida sicurezza email

Una strategia di sicurezza email moderna offre vantaggi che vanno oltre la riduzione del rischio [3]:

• Protezione alla fonte: Previene spoofing, impersonificazione e email non autorizzate prima che raggiungano la casella di posta
• Riduzione della dipendenza dal giudizio degli utenti: Solleva i dipendenti dal dover riconoscere attacchi complessi
• Fiducia di brand e clienti: Protegge la reputazione del dominio presso clienti e partner
• Riduzione dei costi per gli incidenti: Diminuisce il tempo dedicato al recupero da frodi, risposta agli incidenti e tempi di inattività operativi

Negli ultimi anni, gli attacchi email si sono spostati dalla diffusione di malware al compromesso dell’identità. Le ricerche recenti mostrano uno schema costante:

La maggior parte delle violazioni nasce dal social engineering, in particolare da phishing e pretexting [4]. Business Email Compromise (BEC) continua a crescere, con tattiche guidate dall’IA che consentono di bypassare la rilevazione tradizionale del malware [5]. Gli attaccanti preferiscono l’impersonificazione del dominio e lo spoofing rispetto alla compromissione delle caselle di posta perché queste tecniche sono più scalabili e sfruttano la fiducia nel brand senza richiedere il takeover degli account [6]. Gli attacchi di identità sono aumentati del 32% nel 2025, con il settore ricerca e accademico a rappresentare il 39% degli incidenti totali di compromissione d’identità [4].

Gli attaccanti hanno successo non “sfondando i sistemi”, ma sfruttando la fiducia — in particolare quando i messaggi sembrano provenire da dirigenti, partner o marchi riconosciuti.

L’IA sta rafforzando il rilevamento e il monitoraggio sul lato difensivo. Dal lato offensivo, gli attaccanti la usano per generare messaggi di phishing più credibili, impersonificare i brand con maggiore accuratezza e condurre campagne BEC che si adattano in tempo reale. VIPRE riporta che gli attaccanti si stanno allontanando da template statici di phishing a favore di tecniche email mirate e adattive pensate per eludere le difese tradizionali [7].

Man mano che gli attacchi guidati dall’IA diventano più veloci e difficili da distinguere, le organizzazioni devono garantirsi una visibilità continua sulle configurazioni errate e sulla deriva dell’autenticazione. Piattaforme che combinano automazione e analisi alimentata da IA possono ridurre i tempi di risposta e colmare le lacune prima che vengano sfruttate. Red Sift Radar è un esempio, utilizza l’analisi basata su LLM per evidenziare rischi di configurazione e accelerare il remediation.

Con l’espansione delle organizzazioni attraverso servizi terzi, cresce rapidamente anche il numero di identità digitali gestite — e con esse aumenta la superficie di attacco legata alle email. Le identità moderne non si limitano più a utenti e password ma includono identità macchina, account di servizio, API e altro in ambienti cloud e SaaS. Gli attaccanti sfruttano questi ecosistemi di identità frammentati invece di puntare alle classiche credenziali di accesso [8].

Il monitoraggio continuo di tentativi di impersonificazione del brand e del dominio sta diventando uno standard minimo. Strumenti che scandagliano il web alla ricerca di tentativi di impersonificazione offrono visibilità sull’abuso e-mail legato all’identità prima che i clienti ne risentano.

Gli attacchi ransomware moderni iniziano con phishing o furto di credenziali, più che con l’exploit diretto di sistemi. Secondo VIPRE, l’email resta il canale più affidabile per ottenere accesso iniziale e avviare attacchi successivi [7]. Le email di phishing generate dall’IA non sembrano più palesemente false, aumentando il tasso di successo iniziale e i danni successivi.

Fermare il ransomware significa bloccare le email malevole già dalla prima fase, attraverso sicurezza basata sull’identità, automazione ed enforcement delle policy [9].

Gli ambienti cloud accelerano le implementazioni ma aumentano anche il rischio di configurazioni scorrette. Gli ambienti cambiano spesso e sono più difficili da gestire centralmente. Senza una visibilità continua, i fallimenti nell’autenticazione passano inosservati e le falle si accumulano nel tempo [3].

Con sistemi sempre più scalabili e dinamici, le organizzazioni hanno bisogno di automazione e gestione del ciclo di vita per mantenere il controllo sull’identità e sull’autenticazione; in caso contrario, il rischio di configurazione erosa i segnali di fiducia fra domini e servizi.

• Finanza: Attacchi BEC rafforzati dall’IA prendono di mira istituzioni finanziarie, con perdite medie di 150.000 dollari a incidente [10].
• Sanità: Il phishing rappresenta la porta d’ingresso nel 45% degli attacchi ransomware contro organizzazioni sanitarie. Queste violazioni possono portare a crisi nella sicurezza dei pazienti a causa dell’interruzione dei sistemi clinici e della gestione dei farmaci [11].
• Legale: Email generate dall’IA che imitano avvocati autentici rendono gli studi legali bersagli privilegiati per la frode digitale d’identità, con rischi sia finanziari sia di responsabilità professionale [12].
• MSP: Un solo incidente di spoofing può costare 1,6 milioni di dollari e rovinare la reputazione di brand presso tutta la rete clienti, non solo sull’account colpito direttamente [13].
• Retail: A causa della forte dipendenza dagli ecosistemi terzi per marketing e pagamenti e dai frequenti invii di email in grandi volumi, i retailer sono maggiormente esposti ad attacchi di impersonificazione durante i picchi di vendita [14].

Molte organizzazioni credono di essere protette perché hanno adottato tre controlli standard:

• Password e password manager riducono il rischio di riutilizzo delle credenziali, ma non proteggono se un attaccante ottiene tali credenziali tramite phishing [15].
• Multi-factor authentication (MFA) è fondamentale, ma può essere aggirata tramite furto di token, attacchi di MFA fatigue e tecniche adversary-in-the-middle (AiTM) [4].
• Secure Email Gateway (SEG) blocca efficacemente le minacce note ma fatica con attacchi mirati e di basso volume come i BEC, che aggirano volontariamente le regole di rilevamento di massa [16].

Questi controlli restano importanti. Ma al progredire delle difese, anche le tecniche degli attaccanti si evolvono — e senza enforcement dell’autenticazione a livello dominio, le organizzazioni restano esposte alla categoria di attacchi a crescita più rapida.

L’invio di email dal dominio non autenticato è il metodo principale di attacco informatico, spesso rappresenta il punto di partenza per campagne più ampie di social engineering o impersonificazione

Gli attaccanti sfruttano: 

• Indirizzi mittente falsificati: Manipolano le intestazioni email per imitare figure di fiducia, rubare credenziali o autorizzare pagamenti fraudolenti
• Imitazione di dominio: A differenza del phishing classico, che gioca sulle emozioni, lo spoofing punta su travestimenti tecnici per inviare email che sembrano provenire da domini legittimi.
• Impersonificazione guidata dall’IA: LLM avanzati generano contenuti così convincenti da eludere i filtri standard e ingannare anche utenti esperti

Gran parte degli utenti non può più riconoscere con sicurezza questi attacchi. Poiché la minaccia principale è l’impersonificazione dell’identità, protocolli di autenticazione come SPF, DKIM e DMARC sono essenziali [9]. 

L’Email Authentication è fondamentale perché permette ai proprietari dei domini di stabilire come dovranno essere gestite le email non verificate dai destinatari, chiudendo le falle usate per la falsa impersonificazione digitale [17].

• Sender Policy Framework (SPF): Definisce una lista di mittenti autorizzati per proteggere i server DNS [13]. Limite: Non protegge l’indirizzo “From” visibile nell’intestazione dell’email.
• DomainKeys Identified Mail (DKIM): Utilizza firme digitali per garantire che le email non siano alterate durante il transito [18]. Limite: Non definisce enforcement di policy sulle email che non superano i controlli.
• Domain-based Message Authentication, Reporting, and Conformance (DMARC): Collega autenticazione a policy, allineamento ed enforcement, consentendo ai proprietari dei domini di decidere come gestire le email non autenticate e bloccare su larga scala le email spoofate [17]. Limite: Richiede SPF e/o DKIM per funzionare.

Se le aziende non applicano DMARC a piena enforcement (p=reject), corrono rischi operativi e finanziari, come:

• Maggior rischio di impersonificazione del brand e frode
• Fiducia e deliverability ridotte
• Sanzioni normative e finanziarie
• Svantaggio competitivo

Strumenti gratuiti come Red Sift Investigate possono supportare i team di sicurezza nell’analizzare i controlli DMARC su tutta l’organizzazione. Oltre a verificare le configurazioni di SPF, DKIM e BIMI, i team possono assicurarsi che il dominio sia conforme ai requisiti più recenti per bulk sender di Google, Microsoft e Yahoo. 

Un errore comune è che poche aziende vanno oltre p=none verso p=reject nell’enforcement di DMARC, pur riconoscendone l’importanza. Con p=none il monitoraggio offre visibilità, ma non ferma gli abusi come fa p=reject [18].

Enti governativi e organizzazioni di infrastrutture critiche raccomandano l’enforcement completo di DMARC per prevenire spoofing e attacchi di impersonificazione [19]. 

Un’implementazione efficace di DMARC offre: 

• Visibilità totale su tutte le fonti di invio
• Valutazione basata sul rischio dei fallimenti di autenticazione
• Enforcement tramite p=quarantine e p=reject
• Monitoraggio continuo di derive e nuovi sender

Diversi vendor DMARC offrono supporto affidabile per raggiungere un enforcement in sicurezza. Partner affidabili come Red Sift OnDMARC permettono alle organizzazioni di implementare DMARC tramite automazione, workflow guidati e intelligence, colmando gap operativi e accompagnando le aziende dall’osservazione all’enforcement completo. Un’implementazione efficace di DMARC richiede visibilità continua, valutazione informata del rischio e progressione delle policy, tutte difficili da gestire su scala ampia senza automazione e regia centralizzata [17].

Invece di trattare DMARC come un adempimento burocratico, lavorare con vendor dedicati consente di rendere affidabile l’operatività email, bloccando attivamente spoofing e abusi di dominio anziché semplicemente segnalarli. 

L’adozione e l’enforcement del DMARC cambiano molto da regione a regione. In Nord America, mandati federali come il CISA BOD 18-01 richiedono p=reject per le agenzie americane. Nel Regno Unito, la fine del servizio Mail Check dell’NCSC il 31 marzo 2026 obbliga le organizzazioni al passaggio a piattaforme commerciali. In Francia, Germania e Spagna le linee guida regolatorie si stanno rafforzando, ma l’applicazione resta bassa — con la maggior parte dei domini ancora su p=none.

Per un’analisi dettagliata dei requisiti, delle scadenze e dei suggerimenti per paese, consulta le nostre guide specifiche sull’enforcement DMARC:

• Requisiti DMARC negli Stati Uniti e in Canada
• Requisiti DMARC nel Regno Unito
• Requisiti DMARC in Francia
• Requisiti DMARC in Germania
• Requisiti DMARC in Spagna

Gli attaccanti si adattano rapidamente e i sistemi email cambiano di continuo. Le violazioni che coinvolgono social engineering generano costi medi più alti a causa di frodi, downtime e danni reputazionali [15]. 

Nel 2026 la sicurezza efficace delle email dipende da enforcement, visibilità e sostenibilità.

• Enforce MFA e monitora i tentativi di bypass
• Riduci la dipendenza dal solo content filtering
• Implementa correttamente SPF e DKIM
• Porta DMARC oltre p=none verso enforcement → p=reject
• Mantieni visibilità continua sui domini mittenti
• Automatizza l’enforcement dell’autenticazione email

Nel 2026, la sicurezza delle email dipende dall’enforcement della fiducia a livello di dominio. Per le organizzazioni pronte a superare la sola osservazione e arrivare a una piena enforcement DMARC, piattaforme come Red Sift OnDMARC forniscono automazione e visibilità su ampia scala.

[1] https://www.verizon.com/business/resources/reports/dbir/

[2] https://cdn-dynmedia-1.microsoft.com/is/content/microsoftcorp/microsoft/bade/documents/products-and-services/en-us/security/Microsoft-Digital-Defense-Report-2025-v5-21Nov25.pdf [3] https://www.ibm.com/think/topics/email-security 

[4] https://cdn-dynmedia-1.microsoft.com/is/content/microsoftcorp/microsoft/bade/documents/products-and-services/en-us/security/Microsoft-Digital-Defense-Report-2025-v5-21Nov25.pdf 

[5] https://redsift.com/guides/business-email-compromise-guide 

[6] https://blog.redsift.com/ai/staying-ahead-of-ai-powered-brand-impersonation/ 

[7] https://vipre.com/wp-content/uploads/2025/11/VIPRE_2025_Q3_Email-Threat-Report.pdf 

[8] https://newsroom.cisco.com/c/dam/r/newsroom/en/us/interactive/cybersecurity-readiness-index/2025/documents/2025_Cisco_Cybersecurity_Readiness_Index.pdf 

[9] https://redsift.com/guides/what-to-do-if-your-companys-emails-are-being-spoofed 

[10] https://redsift.com/guides/dmarc-solutions-for-finance-organizations 

[11] https://redsift.com/guides/dmarc-solutions-for-healthcare-organizations  

[12] https://redsift.com/guides/best-dmarc-solutions-for-legal-services 

[13] https://redsift.com/guides/difference-among-spf-dkim-and-dmarc-explained-for-msps 

[14] https://redsift.com/guides/best-dmarc-solutions-for-retail-organizations 

[15] https://www.ibm.com/downloads/documents/us-en/131cf87b20b31c91 

[16] https://www.knowbe4.com/hubfs/Report_Phishing_Threat-Trends-Vol6_EN_F.pdf?hsLang=en 

[17] https://redsift.com/guides/red-sifts-guide-to-global-dmarc-adoption 

[18] https://redsift.com/guides/email-security-guide/dmarc 

[19] https://www.cisa.gov/sites/default/files/publications/CISAInsights-Cyber-