Defender Non Basta: Perché il Filtro di Office 365 Non Protegge Davvero

Hai Office 365. Pensi di Essere Protetto. Sbagliato.

Hai Office 365. Pensi di essere protetto. E in un certo senso lo sei — dal livello piu' basso di spam. Quelle email in inglese che ti promettono eredita' milionarie o pillole miracolose? Si', quelle le blocca. Ma le minacce del 2026 non sono spam del 2010.

Oggi un attacco di phishing arriva con il logo perfetto della tua banca, scritto in italiano impeccabile, da un indirizzo che sembra legittimo. Un attacco BEC (Business Email Compromise) arriva dal "tuo CEO" che ti chiede un bonifico urgente. Un ransomware arriva in un allegato Word che sembra una fattura del tuo fornitore abituale.

E Defender? Lascia passare tutto questo. Non perche' sia un cattivo prodotto — ma perche' non e' stato progettato per fermare queste minacce. Almeno non nella versione che hai inclusa con la licenza Office 365.

Vediamo nel dettaglio cosa fa davvero e, soprattutto, cosa non fa.

Cosa Fa Davvero Microsoft Defender per Office 365

Quando parliamo di "Defender per Office 365" dobbiamo fare una distinzione fondamentale che Microsoft non pubblicizza con grande enfasi: esistono tre livelli di protezione, e la maggior parte delle aziende ha solo il primo.

Exchange Online Protection (EOP) — Il Filtro Gratuito

Se hai una qualsiasi licenza Microsoft 365 Business o Enterprise, hai automaticamente EOP. E' incluso, non devi attivarlo, funziona. Ed e' questo che la maggior parte delle PMI italiane chiama "il nostro antispam".

Cosa fa EOP:

• Filtra lo spam di massa: newsletter non richieste, email commerciali aggressive, catene
• Blocca malware noti: virus e trojan gia' catalogati nei database di firme
• Controlla SPF, DKIM, DMARC: verifica che il mittente sia chi dice di essere (quando questi record sono configurati)
• Applica blacklist: blocca mittenti e domini gia' segnalati come malevoli

Fin qui tutto bene. Il problema e' che le minacce moderne non rientrano in nessuna di queste categorie.

Defender Plan 1 e Plan 2 — Quelli a Pagamento

Microsoft offre anche Defender for Office 365 Plan 1 (circa $2/utente/mese) e Plan 2 (circa $5/utente/mese). Questi aggiungono Safe Attachments, Safe Links, sandboxing e threat investigation. Ma sono licenze aggiuntive a pagamento che la maggior parte delle PMI italiane non ha. E spesso non sa nemmeno che esistono.

Quindi quando il tuo fornitore IT ti dice "tranquillo, hai Defender" — nella stragrande maggioranza dei casi sta parlando di EOP. Il filtro base. Quello gratuito.

I 5 Limiti Concreti di Defender (EOP)

1. Nessuna AI Semantica

EOP usa firme, euristiche e reputazione. Cerca pattern noti: URL in blacklist, allegati con hash conosciuti, mittenti segnalati. Ma non capisce il significato dell'email.

Un'email che dice "Caro Marco, come concordato ieri in call, ti invio la fattura aggiornata con le nuove coordinate bancarie" e' perfettamente legittima dal punto di vista sintattico. Non contiene URL sospetti, non ha allegati malevoli, non viene da un dominio in blacklist. EOP la lascia passare. Un sistema con analisi semantica basata su AI riconosce che il pattern — cambio coordinate bancarie, urgenza implicita, riferimento a una conversazione — e' un classico attacco BEC.

Questo e' il gap fondamentale: EOP guarda le parole, non capisce l'intenzione.

2. Sandboxing Solo con ATP (a Pagamento)

Il sandboxing e' quella tecnologia che apre gli allegati in un ambiente virtuale isolato prima di consegnarli nella tua casella. Se il file fa qualcosa di sospetto (esegue codice, tenta connessioni esterne, modifica il registro di sistema), viene bloccato.

Con EOP non hai sandboxing. Hai solo la scansione antivirus tradizionale basata su firme. Che e' come avere un buttafuori che controlla solo le carte d'identita' gia' nella lista dei cattivi, ma lascia entrare chiunque con un documento nuovo.

Per avere Safe Attachments (il sandboxing di Microsoft), devi pagare Defender Plan 1 o superiore. Circa $2 per utente al mese. Per un'azienda di 50 persone, sono $100/mese in piu' solo per questa funzionalita'.

3. Anti-BEC Limitato

Il BEC e' la minaccia email piu' costosa al mondo. L'FBI stima perdite per $2.9 miliardi nel 2023 solo negli Stati Uniti. In Italia, il fenomeno e' in crescita esponenziale, con PMI che perdono decine di migliaia di euro per singoli incidenti.

EOP non ha protezione BEC dedicata. Non analizza i pattern di comunicazione della tua azienda, non rileva anomalie nel tono o nelle richieste, non ti avvisa se qualcuno sta impersonando il tuo amministratore delegato. Queste funzionalita' esistono in Defender Plan 2 (il tier piu' costoso), ma sono complesse da configurare e richiedono competenze specifiche.

Risultato: quel messaggio dal "CEO" che chiede un bonifico urgente da 15.000 euro arriva direttamente nella inbox del tuo responsabile amministrativo. Senza alcun avviso.

4. URL Check Superficiale

EOP controlla i link nelle email confrontandoli con database di URL malevoli noti. Se il link e' gia' stato segnalato, viene bloccato. Ma i criminali del 2026 non riutilizzano lo stesso link per piu' di qualche ora.

Le campagne moderne usano URL "usa e getta": il link e' pulito quando l'email viene consegnata, ma dopo 2-3 ore il sito di destinazione viene cambiato con una pagina di phishing. Questo si chiama delayed phishing ed e' efficace proprio perche' supera il controllo iniziale di EOP.

Safe Links (la protezione URL avanzata di Microsoft) riscrive i link e li controlla al momento del click. Ma di nuovo: solo con Plan 1 o superiore. Con EOP hai solo il check statico al momento della consegna.

5. Zero Personalizzazione per PMI

Le policy di sicurezza di Microsoft 365 sono progettate per aziende enterprise con team IT dedicati. L'interfaccia di gestione (il Security & Compliance Center) e' un labirinto di opzioni, sottomenu e configurazioni che richiedono competenze specifiche.

Una PMI italiana con 20-50 dipendenti e magari un consulente IT esterno non ha le risorse per:

• Configurare policy anti-phishing granulari
• Impostare regole di transport personalizzate
• Monitorare quotidianamente i report di sicurezza
• Aggiornare le policy in base alle nuove minacce

Il risultato? La maggior parte delle aziende lascia tutto alle impostazioni predefinite. Che sono meglio di niente, ma lontane dall'essere sufficienti.

I Numeri: Cosa Passa Attraverso Defender

I dati di settore dipingono un quadro chiaro:

• Secondo ricerche indipendenti di Avanan (ora Check Point), circa il 25% delle email di phishing raggiunge la inbox quando la protezione si limita a EOP
• Il report State of Email Security di Mimecast riporta che il 94% delle organizzazioni ha subito attacchi phishing via email nel 2024 nonostante avesse filtri attivi
• Le aziende che usano solo EOP riportano un tasso di falsi negativi 3-5 volte superiore rispetto a quelle con soluzioni di terze parti dedicate
• Il tempo medio per identificare un attacco BEC andato a segno e' di 26 giorni — quasi un mese in cui l'attaccante opera indisturbato

Non sono numeri catastrofici, ma nemmeno rassicuranti. Significa che su 100 email di phishing mirate alla tua azienda, circa 25 raggiungono i tuoi dipendenti. Basta che una sola vada a segno.

Cosa Fare: Le 3 Opzioni

Se hai Office 365 con solo EOP, hai tre strade davanti a te. Vediamole con onesta'.

Opzione A: Upgrade a Defender Plan 2

Costo: ~$5/utente/mese (~€4,70) Per 50 utenti: ~€235/mese

Ottieni Safe Attachments, Safe Links, anti-phishing avanzato, threat investigation, e attack simulator. E' una soluzione solida se hai un team IT interno capace di configurare e gestire tutto. La curva di apprendimento e' ripida, ma il prodotto c'e'.

Pro: integrazione nativa con l'ecosistema Microsoft, unica console di gestione Contro: costo significativo, complessita' di configurazione, richiede competenze interne

Opzione B: Aggiungere un Layer Esterno

Costo: da €0,99 a €1,50/utente/mese (esempio: MailSniper) Per 50 utenti: da €49,50 a €75/mese

Un gateway di sicurezza email esterno si posiziona davanti a Office 365 e filtra tutto il traffico prima che arrivi a Defender. Non sostituisce EOP — lo complementa. Come avere sia l'allarme che il cane da guardia.

Soluzioni come MailSniper, basate su Libraesva Email Security, offrono:

• AI semantica per rilevare BEC e phishing sofisticato
• Sandboxing degli allegati incluso (non come add-on a pagamento)
• URL rewriting e analisi al momento del click
• Configurazione e gestione semplificata, pensata per PMI
• Connettore nativo per Office 365 — setup in 15 minuti

Pro: costo inferiore, protezione superiore su phishing/BEC, facile da gestire Contro: un sistema in piu' da gestire (anche se minimale)

Opzione C: Non Fare Nulla

Costo apparente: €0 Costo reale: un singolo attacco BEC costa in media €27.000 alle PMI italiane. Un ransomware puo' arrivare a €180.000-€500.000 tra riscatto, downtime e remediation.

E' un po' come risparmiare sull'assicurazione auto: funziona fino al giorno in cui non funziona piu'. E quel giorno il conto arriva tutto insieme.

Per un confronto dettagliato tra le diverse soluzioni di protezione email, puoi consultare la nostra pagina confronto. Se vuoi approfondire come MailSniper si integra specificamente con Office 365, visita la guida all'integrazione. E se vuoi provare prima di decidere, c'e' la prova gratuita.

Nella Parte 2...

In questo articolo abbiamo analizzato i limiti teorici di Defender. Nella Parte 2 passeremo dalla teoria alla pratica: cosa succede quando invii 10 email di phishing realistiche a una casella protetta solo da EOP?

Testeremo:

• 3 email di phishing con link malevoli
• 2 allegati con macro sospette
• 2 attacchi BEC (impersonificazione CEO e fornitore)
• 2 email con URL delayed phishing
• 1 email con brand impersonation (finta notifica Microsoft)

I risultati ti sorprenderanno. O forse, dopo aver letto questo articolo, non tanto.

Stay tuned.