La guida di Red Sift all’adozione globale di DMARC

Ultimo aggiornamento: gennaio 2026

Domain-based Message Authentication, Reporting, and Conformance (DMARC) offre ai proprietari di dominio il controllo su come i destinatari e-mail gestiscono i messaggi non autenticati, previene lo spoofing e protegge la comunicazione in uscita. Tuttavia, affinché DMARC renda davvero più sicuro Internet, è necessaria una sua adozione globale. Un approccio frammentato lascia superfici d’attacco che possono essere sfruttate dai malintenzionati.

Un’applicazione universale di DMARC:

• Rafforza la cybersicurezza: Un’adozione su larga scala di policy di quarantena o rifiuto ridurrebbe drasticamente attacchi di phishing e spoofing.
• Costruisce fiducia: Assicurare che le e-mail legittime non siano classificate erroneamente come spam tutela le relazioni con i clienti e la reputazione del marchio.
• Semplifica la conformità: DMARC aiuta le aziende a soddisfare le esigenze in evoluzione della cybersicurezza, incluse quelle richieste ai Bulk Sender di Microsoft, Google e Yahoo.
• Favorisce la collaborazione: Uno standard globale di sicurezza e-mail avvantaggia sia il settore pubblico che quello privato, proteggendo mittenti e destinatari allo stesso modo.

Nonostante la crescente consapevolezza, l’adozione globale di DMARC resta bassa. A dicembre 2025, solo il 14,9% dei domini (su un campione di 73,3* milioni) ha avviato il percorso verso DMARC adottando almeno una policy p=none (solo reportistica). Tuttavia, vi sono dati incoraggianti: dal febbraio 2025 si è registrata una crescita del 5,2%.

La quota di domini che applicano la policy DMARC più rigorosa e sicura (p=reject) è del 2,5% (circa 1,8 milioni). Sorprendentemente, l’83,9% di tutti i domini analizzati non dispone di una voce DMARC visibile. Questo divario evidenzia l’urgente necessità di una maggiore applicazione e diffusione per proteggere imprese e persone dalle minacce via e-mail.

*Il campione è tratto dai siti web più utilizzati/visitati al mondo.

Le analisi di Red Sift hanno considerato oltre 73 milioni di domini appartenenti ad alcune delle più grandi aziende quotate in Borsa, indici e gruppi regolamentati a livello globale. Ecco un dettaglio per le principali aziende quotate, suddivise per paese riferito alla DMARC readiness (cioè domini che adottano la policy MINIMALE richiesta da BIMI – Brand Indicators for Message Identification – ovvero almeno p=quarantine o p=reject).

*Dati aggiornati a gennaio 2026.

Le prospettive per le più grandi aziende quotate si sono migliorate rispetto a febbraio 2025: in 19 su 28 paesi la diffusione di DMARC supera il 50%. Stati Uniti, India e Australia sono i mercati più avanti; la readiness tra tutte le aziende quotate analizzate è al 57,6%.

Tuttavia, alcuni paesi presentano ancora parecchia strada da fare. I maggiori divari di applicazione si riscontrano in:

• Corea del Sud: Solo il 10,1% delle aziende quotate applica p=reject. È una crescita del 4% sull’anno precedente.
• Giappone: Solo il 25% adotta p=quarantine o p=reject, con un aumento del 4,3% da febbraio 2025.
• Tailandia: L’applicazione è solo al 31,3%, in salita del 4%.

Se a livello globale la diffusione procede nella direzione giusta, queste differenze rimarcano la necessità di azioni più forti da parte di industria e regolatori per chiudere le lacune e garantire la sicurezza e-mail nel mondo.

Red Sift rileva anche dati su gruppi regolamentati dalla SEC, mercati azionari e indici di mercato americani. Qui di seguito un confronto delle performance per ogni mercato o gruppo.

*Dati aggiornati a gennaio 2025.

Gli indici di borsa sono leader nell'implementazione di DMARC e raggiungono tutti almeno il 50% di applicazione p=reject. Sia S&P 500 sia Fortune 500 si distinguono con un livello di prontezza DMARC dell'81% e dell'81,2% rispettivamente, mostrando solide pratiche di cybersicurezza tra le maggiori aziende quotate statunitensi.

Tuttavia, le società regolamentate dalla SEC sono decisamente indietro: solo il 30,8% raggiunge la prontezza BIMI (DMARC p=quarantine o p=reject). Questo divario dimostra che sono necessari maggiore pressione normativa e un'adozione di settore per proteggere meglio le aziende finanziarie dalle minacce basate su email.

Molti paesi dispongono già di regole su cybersicurezza e protezione dei dati che potrebbero fungere da base per l'applicazione di DMARC. Ad esempio:

• General Data Protection Regulation (GDPR) nell'Unione Europea pone l'accento sulla sicurezza dei dati e potrebbe essere ampliato con requisiti di autenticazione delle email.
• California Consumer Privacy Act (CCPA) negli USA si concentra sulla protezione dei dati dei consumatori, includendo misure proattive come l'adozione di DMARC.
• Digital Operational Resilience Act (DORA) nell'UE prevede solide pratiche di cybersicurezza per gli istituti finanziari, incluse raccomandazioni sull'applicazione di DMARC.
• Il National Institute of Standards and Technology (NIST) raccomanda esplicitamente DMARC, SPF e DKIM per prevenire phishing e spoofing. Pubblicazioni come NIST 800-177 e 800-53 sottolineano l'applicazione di p=reject per assicurare che solo email autentiche vengano recapitate.

L'adozione di DMARC continua a crescere a livello globale, grazie alla crescente attenzione di governi e organizzazioni di sicurezza informatica sul suo ruolo nella prevenzione delle frodi tramite email.

L'Internet Engineering Task Force (IETF) e la Global Cyber Alliance (GCA) hanno sviluppato gli standard DMARC, mentre l'European Cybercrime Centre (EC3) promuove attivamente la diffusione di DMARC, SPF e DKIM.

Nella maggior parte dei paesi, DMARC non è più considerato una semplice best practice, ma un requisito basilare per l'igiene delle email. Queste direttive mostrano come i messaggi autenticati e protetti da policy siano sempre più un requisito minimo per il settore pubblico e i domini ad alto rischio.​

• Nel Regno Unito, il Manuale governativo per le politiche di cybersicurezza e le linee guida per la sicurezza delle email governative richiedono che i domini pubblici implementino DMARC assieme a SPF, DKIM e protezione TLS. Negli USA, la Binding Operational Directive 18‑01 di CISA impone alle agenzie federali l'applicazione di DMARC con p=reject assieme a SPF e DKIM.​
• Paesi Bassi e Nuova Zelanda hanno introdotto dal 2018 policy nazionali che obbligano DMARC per i domini pubblici, limitando così l'invio non autenticato da parte dell'amministrazione. In Nuova Zelanda, la normativa specifica ordina che le agenzie proteggano i domini pubblici con SPF, DKIM e DMARC secondo il manuale nazionale di sicurezza delle informazioni.​
• Danimarca ha imposto a tutte le agenzie pubbliche l'applicazione di DMARC a p=reject, raggiungendo uno dei tassi di adozione più alti in Europa. Canada prevede per regolamento e linee guida l'uso di SPF, DKIM e DMARC nelle email delle istituzioni pubbliche.​
• Le autorità australiane raccomandano nelle direttive di sicurezza DMARC con policy p=reject per enti pubblici, rendendolo di fatto uno standard obbligatorio per le implementazioni conformi. L'insieme di queste norme statali, regolamenti e linee guida dei fornitori di posta mostrano come DMARC sia passato da best practice a standard globale per una consegna affidabile.

Red Sift consiglia:

Collaborare con organizzazioni internazionali per la sicurezza informatica è fondamentale per accelerare l'introduzione di DMARC e fronteggiare minacce email come phishing, frodi email e Business Email Compromise (BEC).

L'European Cybercrime Centre (EC3), creato da Europol, è una forza trainante per la cybersicurezza in UE: favorisce la diffusione di DMARC, SPF e DKIM, collabora con forze dell'ordine, esperti e industria, e contrasta spoofing e imitazione di dominio. EC3 gestisce anche l'iniziativa No More Ransom, che dal 2016 fronteggia la criminalità informatica a livello internazionale.

Oltre l'Europa, enti come le Nazioni Unite (UN) e l'International Telecommunication Union (ITU) potrebbero promuovere una rapida adozione di DMARC tra i membri e fissare uno standard globale per l'autenticazione email. Anche le ONG hanno un ruolo chiave nel sostenere policy che proteggano persone e aziende dalle minacce informatiche e mantengano internet un ambiente di comunicazione sicuro.

• Stati Uniti: Il settore pubblico ha fatto grandi passi avanti grazie all'obbligo DMARC del Department of Homeland Security (DHS) per le agenzie federali; nel settore privato resta da fare.
• Canada: Anche qui si registrano miglioramenti grazie al supporto del Canadian Centre for Cyber Security (CCCS).

Red Sift consiglia:

Le normative nazionali dovrebbero essere estese alle aziende private, specie in settori critici come finanza, telecomunicazioni, energia e sanità.

• Unione Europea: L'attenzione UE sulla cybersicurezza, ad es. tramite DORA e la direttiva NIS2, offre una solida base per l'applicazione di DMARC e richiede pratiche di igiene informatica diffuse.
• Regno Unito: Il National Cyber Security Centre (NCSC) è all'avanguardia nella promozione di DMARC.

Red Sift consiglia:

Per rafforzare la sicurezza email in Europa, DMARC dovrebbe essere integrato nelle direttive UE per garantirne un'adozione estesa. Programmi di sostegno potrebbero ridurre le barriere economiche e facilitare l'introduzione dei protocolli di sicurezza email, in particolare per le PMI.

Anche il governo del Regno Unito può fare da apripista offrendo non solo formazione, ma agevolazioni e sovvenzioni alle PMI britanniche. Facilitando l'adozione di DMARC, UE e UK possono promuovere migliori standard di cybersicurezza, ridurre il phishing e proteggere le imprese.

• India: Il governo indiano ha imposto DMARC sui domini pubblici, ma nel privato si è ancora agli inizi.
• Australia: L'Australian Cyber Security Centre (ACSC) ha pubblicato linee guida su DMARC, ma manca ancora l'applicazione obbligatoria.

Red Sift consiglia:

I governi possono accelerare l'implementazione tramite campagne di sensibilizzazione con partner pubblici e privati.

Un ottimo esempio viene dal NCSC britannico che con il programma Mail Check ha spinto enti pubblici e aziende all'uso DMARC a p=reject, riducendo lo spoofing.

• Africa: Molti Paesi soffrono per carenza di infrastrutture e risorse, ma alcuni settori come la finanza stanno migliorando.
• America Latina: Paesi come Brasile e Messico stanno potenziando la cybersicurezza, ma mancano ancora policy DMARC strutturate.

Red Sift consiglia:

I paesi in via di sviluppo necessitano di sostegno finanziario e tecnico, perché le risorse limitate rendono difficile il rispetto delle policy obbligatorie di sicurezza email. Senza implementazione, queste regioni restano vulnerabili a phishing, spoofing e altre minacce informatiche.

Le organizzazioni internazionali dovrebbero fornire aiuti, supporto tecnico e formazione, così che aziende e istituzioni possano adottare efficacemente DMARC. Con risorse adeguate, la protezione aumenta a livello globale e diminuisce l'attrattiva di questi Paesi per i criminali digitali.

I governi, le aziende e le organizzazioni no profit dovrebbero collaborare insieme per la diffusione di DMARC. Ad esempio:

• Red Sift offre strumenti gratuiti come Red Sift Investigate per controllare il proprio record DMARC e altri protocolli.
• La Global Cyber Alliance (GCA) mette a disposizione strumenti e risorse gratuiti per l'adozione di DMARC.
• Messaging, Malware e Mobile Anti-Abuse Working Group (M3AAWG): Offre le migliori pratiche per l'autenticazione delle email.
• Il National Cyber Security Centre (NCSC) ha recentemente annunciato cambiamenti al Mail Check Service, tra cui l'interruzione dei report aggregati DMARC – questo servizio è ora offerto da aziende private raccomandate, come Red Sift.

Sanità e finanza gestiscono dati altamente sensibili e sono tra i settori più presi di mira da phishing e truffe. Nel 2024, il 48 % delle strutture sanitarie e il 73 % delle istituzioni finanziarie hanno segnalato attacchi di phishing, mentre il 61 % delle strutture sanitarie non adotta difese adeguate contro le fughe di dati.

DMARC aiuta a individuare e bloccare email fraudolente inviate con identità di ospedali, assicurazioni, banche o fornitori di pagamenti – riducendo il rischio di phishing, furto di identità e accessi non autorizzati. Applicare p=reject garantisce che solo i mittenti autorizzati possano usare il dominio dell'organizzazione, facilita il rispetto normativo e rafforza la fiducia di clienti e utenti. 

DMARC non è un optional. Dal 31 marzo 2025, PCI DSS v4.0 obbliga tutte le aziende che gestiscono pagamenti con carta a impostare le policy DMARC su "quarantine" o "reject" per prevenire lo spoofing e aumentare la sicurezza. Il mancato rispetto di questa norma può comportare sanzioni da 5.000 a 100.000 USD al mese, in base a gravità e durata della violazione.

Red Sift consiglia:

DMARC non solo migliora la sicurezza, ma anche la deliverability delle email legittime e riduce spam e phishing. Con DMARC, le organizzazioni sanitarie e finanziarie possono mitigare i rischi, proteggere dati sensibili e assicurare comunicazioni sicure. 

Nei settori strategici ancora esistono lacune che li rendono bersaglio frequente per gli attacchi informatici. Le soluzioni sono disponibili – molti però finora non hanno agito. 

Organizzazioni che non conoscono DMARC, o che faticano senza supporto e stimoli pubblici, non hanno spesso competenze per implementarlo in autonomia. Finora solo poche autorità nazionali promuovono l'adozione di DMARC. Esempi: 

• CISA (Cybersecurity and Infrastructure Security Agency): Obbliga l'applicazione DMARC per le agenzie federali statunitensi attraverso la Binding Operational Directive (BOD) 18-01. Gli enti devono impostare DMARC su p=reject per impedire spoofing e phishing.
• ENISA (European Union Agency for Cybersecurity): Fornisce raccomandazioni e best practice per implementare DMARC in Europa – concentrandosi sulla protezione delle comunicazioni di enti pubblici e privati, senza però un'azione coercitiva come quella di CISA.
• NCCs (National Cybersecurity Centers): Il NCSC del Regno Unito promuove l'adozione DMARC con assistenza tecnica per email governative più sicure. Altri NCC agiscono a livello nazionale con strumenti, formazione e raccomandazioni adattati alle specifiche politiche locali di cybersicurezza.

I corsi universitari di informatica e cybersicurezza dovrebbero sempre includere DMARC, approfondendo la sicurezza delle email e la gestione di attacchi sempre più sofisticati. Anche senza essere il tema centrale, alcuni corsi trattano questi aspetti, tra cui:

Regno Unito ed Europa:

• SANS Institute: Offre corsi avanzati di formazione a Londra su vari aspetti della sicurezza, tra cui la protezione delle email.
• OPSWAT Academy: Un programma completo per sviluppare consapevolezza e preparazione su minacce e contromisure email.
• University of Southampton: Offre un corso “Comprehensive Cybersecurity” accreditato dal National Cyber Security Centre britannico, che include vari temi fra cui probabilmente anche la sicurezza email.

Canada e Stati Uniti:

• Cisco – Securing Email with Cisco Email Security Appliance (SESA): Corso pratico per proteggere la posta con Cisco ESA contro phishing e ransomware.
• SANS Institute (USA e Canada): Tiene in Nord America vari corsi in presenza sulla cybersicurezza incluso il tema email.
• Texas A&M Engineering Certificate Series: Percorso di certificazione focalizzato su dipendenti pubblici/privati e studenti, finanziato dal U.S. Department of Homeland Security (DHS) Federal Emergency Management Agency (FEMA), e accessibile gratuitamente.

Con l'evoluzione delle minacce digitali, deve evolvere anche DMARC. Le organizzazioni devono restare aggiornate su autenticazione email e cybersicurezza. Associazioni di categoria e stakeholder devono continuare a promuovere l'applicazione effettiva di DMARC come priorità politica ed economica.

Le innovazioni tecnologiche danno ai criminali nuovi punti d'attacco, anche via email. Oltre a DMARC, ci sono quattro aree in cui un'applicazione più forte potrà risultare vantaggiosa per gli utenti in futuro:

1. Rilevamento delle minacce basato su IA con DMARC Migliore applicazione DMARC grazie all'integrazione di threat intelligence basata su IA, per individuare phishing, BEC e email deepfake in tempo reale. L'analisi AI ottimizza SPF, DKIM e policy DMARC, bloccando precocemente i vettori di attacco. Red Sift Radar individua e risolve problemi di sicurezza fino a 10 volte più rapidamente – disponibile tramite la Red Sift Pulse Platform.
2. Sicurezza email Zero-Trust con DMARC Le architetture Zero-Trust si rafforzano integrando DMARC (p=reject) e verifica continua delle email. Rilevamento delle anomalie e verifica delle identità tramite IA prevengono furti d'identità, minacce interne e accessi non autorizzati alle email.
3. Blockchain e DMARC per la sicurezza della supply chain Maggiore protezione della comunicazione email esterna combinando DMARC e blockchain: protocolli email anti-manomissione possono bloccare attacchi alla supply chain, vendor spoofing e frodi sulle fatture.
4. Chatbot IA e DMARC per la security awareness Utilizzo di chatbot basati su IA per analizzare in tempo reale i log DMARC e consentire ai dipendenti di verificare immediatamente le email sospette. Avvisi automatizzati di phishing su Slack, Teams o WhatsApp migliorano la formazione e la prontezza di risposta.

Il raggiungimento di un consenso globale su DMARC non è solo una questione tecnica, ma un impegno condiviso. Facendo leva sulle normative esistenti, affrontando le sfide regionali e promuovendo la collaborazione, possiamo rendere più sicuro il mondo digitale per tutti.

Red Sift OnDMARC è stato progettato appositamente per accelerare il tuo percorso dall'analisi al pieno enforcement DMARC – senza la solita complessità e i ritardi dei progetti DMARC. La nostra piattaforma combina reportistica completa e Dynamic SPF technology, che aggiorna automaticamente i record SPF in base ai cambi d'origine di invio e risolve uno dei principali ostacoli all'enforcement.

In genere raggiungiamo il pieno enforcement DMARC in 6-8 settimane – contro una media di settore di 6-12 mesi – fornendo supporto continuo da parte di esperti email in ambienti aziendali complessi. Che tu inizi da zero o sia fermo a "quarantine": OnDMARC dà trasparenza, automazione ed expertise per proteggere il tuo dominio dallo spoofing garantendo la continuità operativa.

In tutto il mondo l'obbligo di enforcement DMARC porta enti pubblici e mercati ad attendersi livelli crescenti di autenticazione email. Un'adozione tardiva è quindi non solo un rischio di sicurezza – ma anche uno svantaggio competitivo. OnDMARC elimina gli ostacoli tecnici e accelera i tempi di attivazione, così puoi concentrarti sul business lasciando a noi la complessità dell'autenticazione email.

1. Governi: Aggiornare le norme e prescrivere DMARC.
2. Aziende: Configurare DMARC per tutelare domini e clienti. Scegli Red Sift OnDMARC e parti subito.
3. Organizzazioni internazionali: Promuovere DMARC come standard globale e come strumento di difesa contro gli aggressori.
4. Individui: Sostenere una forte sicurezza email nella propria comunità, verificare gratis il DMARC della propria azienda e segnalare vulnerabilità con Red Sift Investigate.

Insieme ci avviciniamo a un mondo dove gli attacchi via email sono solo un ricordo. Lavoriamo per una completa applicazione globale di DMARC.