AGGANCIO
Sai quella sensazione quando entri in un ospedale pubblico e vedi le infermiere che usano computer con Windows XP? O quando il sito del tuo comune ha form che sembrano disegnati da un bambino delle elementari?
Ecco, io ci penso ogni volta. Perché quella scarsità di investimenti tecnologici non si ferma al sito web. Si estende anche alle email. E questo, recentissimamente, è stato confermato da una ricerca che ha analizzato migliaia di domini istituzionali.
Il risultato? Sconcertante. Ma prima di dirti quali sono i numeri, lasciami raccontare una cosa.
Un mio amico lavora in una ASL. Mi ha detto che quando ha provato a far configurare un filtro antispam decente, gli hanno riso in faccia. "Abbiamo sempre fatto così", gli hanno detto. È il tipico caso di "se non è rotto, non aggiustarlo" — ma nel frattempo, i truffatori entrano come fossero a casa loro.
MA COSA STA SUCCEDENDO DAVVERO?
Cosa vuol dire esattamente che un dominio email è "insicuro"? Facciamo un parallelo con la vita reale.
Immagina la tua casella di posta come un palazzo con tre serrature diverse:
- SPF è come il portinaio che controlla i documenti di chi entra. Se non è configurato, chiunque può fingersi qualcuno.
- DKIM è come un timbro anticontraffazione sulla lettera. Senza, puoi facilmente falsificare una missiva.
- DMARC è il sistema che dice cosa fare se qualcuno entra con documenti falsi: bloccarlo, metterlo in quarantena, o ignorarlo.
Ora, la ricerca di Comparitech ha analizzato migliaia di domini governativi e sanitari in giro per il mondo. Il risultato? La maggior parte di questi domini non ha nemmeno una di queste tre serrature. Alcuni ne hanno una, altri due. Ma sono pochissimi quelli che le hanno tutte e tre attive.
È come lasciare la porta di casa aperta con un cartello "CASA NON Protetta". I ladri (leggi: truffatori, hacker, ransomware) ci entrano senza nemmeno sforzarsi.
E non finisce qui. C'è anche MTA-STS, un protocollo che protegge la connessione tra server email. Anche questo, nella maggior parte dei casi, è assente. È come se il palazzo non avesse nemmeno le mura perimetrali.
PERCHÉ TI RIGUARDA
Ok, dirai: "Ma io non sono un ospedale né un ministero. Perché dovrebbe importarmi?"
Te lo spiego in tre modi diversi.
Primo: i truffatori imparano dai settori deboli. Quando gli hacker vedono che un ospedale ha email non protette, perfezionano le loro tecniche lì. Poi, quelle stesse tecniche le usano contro di te. È come quando i rapinatori provano le loro tattiche sulle banche più deboli, e poi le applicano alla tua gioielleria.
Secondo: la supply chain ti tocca. Se tu lavori con fornitori, studi medici, ambulatori, o anche solo con enti pubblici, ricevi email da loro. Se il loro dominio è vulnerabile, un attaccante può impersonarli e mandarti una fattura "aggiornata" con il conto corrente sbagliato. Succede continuamente. Ho visto PMI perdere migliaia di euro così.
Terzo: la normativa ti tiene responsabile. Il GDPR e la NIS2 non ti esonerano dalle conseguenze solo perché il tuo fornitore era un disastro. Se subisci un breach causato da un'email compromessa di un partner, sei comunque tu a dover rispondere. E le sanzioni non sono uno scherzo.
Pensa a quanto vale un attacco ransomware per la tua azienda. Non parliamo solo dei riscatti (che possono arrivare a centinaia di migliaia di euro), ma anche del fermo operativo, della perdita di clienti, del danno reputazionale. In pratica, è come perdere lo stipendio di tre mesi in una settimana.
COSA PUOI FARE (SENZA IMPAZZIRE)
Ora, non ti dico di correre a comprare il sistema più caro del mercato. Ti do cinque azioni concrete, dalla più semplice alla più robusta.
1. Controlla le tue impostazioni base.
Devi sapere se il tuo dominio ha SPF, DKIM e DMARC attivi. Non serve essere tecnici per farlo: ci sono tool gratuiti online che lo fanno in pochi secondi. Se non sai come fare, chiedi al tuo fornitore di posta. Se ti rispondono "non sappiamo di cosa parli", è già un segnale d'allarme.
2. Usa un filtro antispam dedicato.
I filtri gratuiti o quelli inclusi nella casella di posta sono come l'ombrello che trovi in ufficio: meglio di niente, ma sotto un temporale vero ti ritrovi bagnato. Un antispam professionale fa analisi comportamentale, sandbox degli allegati, e controlla URL in tempo reale. Non serve spendere una fortuna — ci sono soluzioni a partire da un euro al mese per casella.
3. Forma i tuoi colleghi (senza noiosi webinar).
Il problema non è mai al 100% tecnico. È umano. Devi far capire al tuo team che un'email che chiede un bonifico urgente dal "capo" va verificata con una telefonata. Non con una risposta email. È semplice, ma funziona.
4. Verifica i tuoi fornitori.
Prima di lavorare con qualcuno, controlla che abbia almeno SPF e DMARC attivi. Se il tuo commercialista ha un dominio email che non è protetto, e ti manda documenti sensibili, il rischio è concreto. Scegli partner che prendano sul serio la sicurezza.
5. Pianifica il worst case.
Avere un backup aggiornato e un piano di risposta agli incidenti non è paranoia. È buonsenso. Se domani arriva un ransomware, devi sapere come isolare i sistemi e ripristinare i dati. Non serve essere un esperto — basta avere un piano scritto e testato.
IL CONSIGLIO DELL'AMICO
Sai cosa mi ha colpito di più di quella ricerca? Che i settori che dovrebbero proteggere i dati più sensibili — la tua salute, i tuoi documenti fiscali — sono quelli più esposti.
Quindi non aspettare che qualcuno "aggiusti" il sistema. Inizia da te, dal tuo dominio, dalla tua casella email. Controlla le basi, investi in un filtro decente, e insegna al tuo team a diffidare dell'urgente.
Perché alla fine, la sicurezza email non è un problema da tecnici. È un problema da persone che vogliono dormire sonni tranquilli.
E tu, dormi sonni tranquilli?