Nuovo Studio: Solo il 42% delle Organizzazioni del Massachusetts Applica DMARC in Modo Completo
Lo studio di Red Sift dell'aprile 2026 rivela una grave lacuna nell'applicazione del DMARC nel Massachusetts. Scopri cosa significa per la sicurezza delle tue email e la deliverability.
James Chen
5 aprile 2026
Più della metà delle più grandi organizzazioni del Massachusetts è ancora esposta a phishing e spoofing del dominio — semplicemente perché non ha applicato in modo completo lo standard di autenticazione email che potrebbe fermarlo. Una nuova analisi di cybersecurity quantifica con precisione questa esposizione, e i risultati dovrebbero preoccupare ogni imprenditore, marketer e responsabile della sicurezza che invia email sotto un dominio aziendale.
I Risultati: La Maggioranza è Ancora Esposta
Un'analisi delle 100 più grandi aziende, organizzazioni non profit ed enti pubblici del Massachusetts mostra che solo il 42% ha applicato in modo completo lo standard di autenticazione email noto come DMARC, secondo la società di cybersecurity Red Sift.
Stando a quanto riportato da Axios Boston, la distribuzione nel campione del Massachusetts è netta:
- Il 26% ha un'applicazione parziale, come la messa in quarantena delle email sospette.
- Il 28% non applica affatto il
DMARC— si limita a monitorare passivamente e a segnalare le email contraffatte. - Il 4% non dispone di alcun protocollo di sicurezza email.
Il quadro si ripete ben oltre il Massachusetts. Red Sift ha analizzato 700 domini in sette stati statunitensi, riscontrando che il 43% non aveva applicato o non disponeva di protocolli DMARC, mentre solo il 35% dichiarava un'applicazione completa.
Questo divario è particolarmente significativo nel Massachusetts, cuore pulsante della sanità, della biotecnologia, dell'istruzione universitaria, dei servizi finanziari e della difesa negli Stati Uniti — settori in cui la comunicazione ad alto livello di fiducia si affida massicciamente all'email.
«Se invii email, sei un bersaglio», afferma Brian Westnedge, Vice President of Alliance and Partnerships di Red Sift.
Perché un'Applicazione «Parziale» Non Basta
DMARC — Domain-based Message Authentication, Reporting and Conformance — è una policy DNS che indica ai server di posta riceventi come gestire i messaggi che non superano i controlli di autenticazione. Può rifiutare o mettere in quarantena le email contraffatte, garantendo che i messaggi in arrivo in una casella di posta provengano davvero dall'organizzazione che dichiarano di rappresentare.
Il problema è che pubblicare un record DMARC non equivale ad applicarlo. Molte aziende pubblicano record DMARC con una policy p=none — questo fornisce visibilità, ma non impedisce alle email contraffatte di raggiungere le caselle di posta.
Molte organizzazioni si fermano a una soluzione di compromesso, lasciando il DMARC in modalità quarantena: i messaggi non autenticati non vengono rifiutati, ma finiscono nella cartella spam. Gli esperti, però, avvertono che non si tratta di una vera protezione — gli utenti possono, e spesso lo fanno, recuperare i messaggi dalla posta indesiderata, specialmente se sembrano provenire da contatti conosciuti. Questo genera un rischio persistente di phishing riuscito o frode.
Una Crisi di Autenticazione su Scala Globale
Lo studio sul Massachusetts non è un caso isolato — riflette un problema sistemico a livello mondiale. Le analisi del secondo trimestre 2025 indicano che solo circa il 18% dei 10 milioni di domini più visitati al mondo pubblica un record DMARC valido, e appena il 4% applica pienamente una policy di rifiuto.
Si è delineato un chiaro divario di maturità: le grandi imprese si stanno avvicinando sempre più all'applicazione completa, mentre molte aziende in forte crescita restano bloccate in modalità di solo monitoraggio. Anche tra le aziende Fortune 500, dove l'adozione ha raggiunto 475 su 500, oltre l'80% aveva raggiunto policy di livello enforcement — il che significa che persino ai vertici, una su cinque non aveva ancora superato la soglia dell'applicazione effettiva.
Le conseguenze economiche sono gravi. Gartner riporta che i pagamenti legati alla compromissione della posta aziendale (BEC) hanno superato la soglia dei 6 miliardi di dollari nel 2024, e la casella di posta rimane «la superficie di attacco più diffusa» perché i dipendenti devono necessariamente comunicare con l'esterno attraverso protocolli vecchi e poco sicuri. Nel frattempo, il costo medio di una violazione legata al phishing ha raggiunto 4,88 milioni di dollari nel 2025.
Secondo il report sulle minacce 2026 di Cloudflare, il 46% di tutte le email non supera la validazione DMARC, evidenziando quanto traffico non autenticato continui a circolare nei sistemi globali. Un dato che dovrebbe far riflettere anche le aziende italiane, sempre più nel mirino di campagne di phishing sofisticate.
I Provider di Posta Stanno Alzando l'Asticella
La pressione ad applicare il DMARC non è più facoltativa — arriva direttamente dalle piattaforme che recapitano le email. Google, Yahoo (febbraio 2024), Microsoft (maggio 2025) e La Poste (settembre 2025) richiedono ora l'autenticazione SPF, DKIM e DMARC per i mittenti di email massive.
Nell'ottobre 2025, Google ha dismesso la dashboard storica di Postmaster Tools e ha lanciato Postmaster Tools v2, spostando il focus dalla «Reputazione» allo «Stato di Conformità» e valutando i mittenti con un modello binario — un cambiamento fondamentale nel modo in cui Google comunica l'affidabilità dei mittenti. Il modello binario significa che la conformità parziale produce lo stesso risultato dell'assenza totale di conformità: il fallimento.
Quasi la metà dei maggiori datori di lavoro di Boston non ha implementato una protezione email completa, lasciando molte istituzioni locali esposte ad attacchi di phishing e di impersonificazione del brand. Boston si trova ora in ritardo rispetto a città come New York e Washington D.C. in termini di adozione, mentre le minacce email diventano sempre più facili da scalare grazie all'intelligenza artificiale.
Cosa Significa Per Te
Per imprenditori, marketer e team di crescita, i risultati di Red Sift sono un avvertimento diretto sulla deliverability e sulla sicurezza del brand.
I team marketing hanno sempre ottimizzato per open rate, click-through rate e tassi di conversione. Con il modello di enforcement di Google, però, nessuna di queste metriche conta se la tua email non arriva mai in casella.
L'impatto sul business di un'autenticazione debole è ampio: riduzione del posizionamento in inbox, reputazione del mittente compromessa, email bloccate dai principali server di ricezione e perdite economiche dirette da furti di credenziali e frodi sulle fatture.
Sebbene il campione del Massachusetts riguardi solo una parte delle aziende dello stato, Red Sift sottolinea che l'indagine offre uno spaccato della reale postura di sicurezza email delle organizzazioni — e se le più grandi non hanno ancora adottato protezioni più solide, è ragionevole supporre che le piccole e medie imprese, con meno risorse IT a disposizione, siano nella stessa situazione. Un tema quanto mai attuale anche per le PMI italiane.
La strada da seguire è ben definita: passare da p=none a p=quarantine fino a p=reject, garantire che ogni piattaforma di invio di terze parti sia autenticata e monitorare continuamente i report aggregati DMARC. Le aziende devono adottare una sicurezza email autenticata, automatizzata e basata sull'identità per proteggere i propri domini, mantenere la deliverability e preservare la fiducia dei clienti.
Il divario nell'applicazione è misurabile. Le conseguenze sono reali. La soluzione esiste — ma solo per chi agisce adesso.
Fonti: Axios Boston · High-Profile Monthly – Red Sift Report · EasyDMARC 2026 DMARC Adoption Report · PowerDMARC: Email Phishing and DMARC Statistics 2026 · SC Media: Email Authentication in 2026 · Dark Reading: Closing the DMARC Gap in 2026
Ancora nessun commento. Sii il primo!
