Tutto quello che devi sapere per proteggere le email della tua azienda. Dalle minacce reali alle soluzioni concrete.
Ogni giorno nel mondo vengono inviate 3.4 miliardi di email di phishing. Non e un refuso. Miliardi. E il 91% degli attacchi informaticiinizia con un'email.
Pensaci un attimo. La tua azienda riceve probabilmente centinaia di email al giorno. Basta che una sola persona clicchi sul link sbagliato, apra l'allegato sbagliato, o risponda all'email sbagliata. Un singolo errore e i tuoi dati, i tuoi soldi o la tua reputazione sono a rischio.
Eppure la maggior parte delle aziende italiane si affida ancora al filtro antispam base del proprio provider email. Quello che blocca le pubblicita del viagra, per intenderci. Ma che lascia passare tranquillamente un'email di spear phishing scritta su misura per il tuo responsabile amministrativo.
degli attacchi informatici inizia con un'email
email di phishing inviate ogni giorno nel mondo
costo medio di un data breach via email in Italia
Il problema e che le minacce email si sono evolute. Non parliamo piu di spam generico. Parliamo di attacchi mirati, scritti con l'intelligenza artificiale, che imitano perfettamente i tuoi fornitori, i tuoi clienti, persino il tuo capo. I filtri tradizionali non sono progettati per fermare questo tipo di minacce.
Ecco perche serve un approccio diverso. Un sistema di sicurezza email professionale che analizzi non solo chi manda l'email, ma cosa dice, come lo dice, e dove ti porta. Questa guida ti spiega tutto quello che devi sapere.
Non tutte le email pericolose sono uguali. Alcune puntano ai tuoi soldi, altre ai tuoi dati, altre ancora vogliono prendere il controllo dei tuoi sistemi. Ecco le sette che dovresti conoscere.
L'email finta che sembra vera. Ti arriva un messaggio dalla "tua banca" che ti chiede di confermare le credenziali. Oppure da "Poste Italiane" con un pacco in giacenza. Il link ti porta su un sito identico all'originale, ma controllato dall'attaccante. Tu inserisci username e password. E loro entrano nel tuo account.
Impatto tipico: furto di credenziali, accesso non autorizzato ai sistemi aziendali, furto di dati personali dei clienti.
Scenario reale:un dipendente riceve un'email da "Microsoft 365" che lo avvisa della scadenza della password. Clicca sul link, inserisce le credenziali. In 20 minuti l'attaccante ha accesso a tutta la casella, inclusi documenti riservati e contatti.
Il phishing generico lancia la rete larga. Lo spear phishing e diverso: e un attacco mirato, costruito su misura per te. L'attaccante studia il tuo profilo LinkedIn, il sito della tua azienda, le tue email pubbliche. Poi ti scrive un messaggio credibile, personalizzato, che fa riferimento a un progetto reale o a un collega vero.
Impatto tipico: il tasso di successo e 10 volte superiore al phishing generico. Spesso e il primo passo per attacchi BEC o ransomware.
Scenario reale:il responsabile acquisti riceve un'email dal "fornitore abituale" che comunica nuove coordinate bancarie. L'email cita numeri d'ordine reali. Il bonifico da 47.000 euro finisce su un conto in Romania.
La truffa del CEO. L'attaccante si finge il tuo amministratore delegato, il tuo direttore finanziario, o un fornitore di fiducia. Ti chiede un bonifico urgente, un cambio di IBAN, o l'invio di dati riservati. Non ci sono allegati sospetti, non ci sono link malevoli. Solo un'email convincente che sfrutta la fiducia e l'urgenza.
Impatto tipico:perdite finanziarie medie di 125.000 euro per incidente. L'FBI stima 51 miliardi di dollari di danni globali dal 2013 al 2025.
Perche e pericoloso:i filtri antispam tradizionali non lo bloccano perche l'email non contiene malware. Serve un'analisi semantica che capisca il contesto e l'intento del messaggio.
Un allegato che sembra una fattura PDF. Lo apri e non succede nulla di visibile. Ma in background il malware sta gia cifrando tutti i file del tuo PC. Poi si diffonde ai server. Dopo qualche ora ti compare il messaggio: "I tuoi file sono stati cifrati. Paga 50.000 euro in Bitcoin entro 72 ore o li perdi per sempre."
Impatto tipico: fermo operativo medio di 22 giorni. Costo medio di ripristino: 1.85 milioni di euro (inclusi riscatto, fermo, ripristino e danni reputazionali).
Scenario reale:uno studio professionale apre un file Excel con macro da un "cliente". In 4 ore, 3 server e 15 workstation sono cifrati. Il backup piu recente ha 5 giorni. Pagano il riscatto ma recuperano solo il 60% dei file.
Qualcuno usa il nome della tua azienda per truffare i tuoi clienti. Oppure ricevi email da brand famosi (DHL, Amazon, Aruba) che sembrano autentiche ma sono false. L'attaccante registra un dominio simile al tuo (mai1sniper.it invece di mailsniper.it) e invia email ai tuoi contatti.
Impatto tipico: danno reputazionale gravissimo. I tuoi clienti perdono fiducia. E tu potresti non saperne nulla finche non e troppo tardi.
Un malware cosi nuovo che nessun antivirus lo riconosce. Le firme non esistono ancora. I database delle minacce non lo contengono. L'unico modo per fermarlo e analizzare il suo comportamento in un ambiente protetto (sandbox) prima che raggiunga la casella del destinatario.
Perche e pericoloso:gli antivirus tradizionali basati su firme non lo vedono. Serve un sistema con sandboxing reale che esegua l'allegato in un ambiente isolato e ne osservi il comportamento. Se tenta di cifrare file, contattare server esterni o modificare il registro di sistema, viene bloccato.
L'attaccante ruba le credenziali di un account email aziendale (spesso via phishing) e lo usa dall'interno. Legge le email, studia le conversazioni, poi si inserisce al momento giusto. Magari intercetta una trattativa e cambia l'IBAN all'ultimo momento.
Perche e devastante:l'email arriva da un account reale, interno alla tua azienda. Nessun filtro la blocca perche il mittente e legittimo. Serve un sistema che analizzi le anomalie comportamentali: orari insoliti, destinatari nuovi, linguaggio diverso dal solito.
Dimentica i filtri antispam degli anni 2000 che cercavano la parola "viagra" nell'oggetto. Un sistema di sicurezza email moderno lavora su piu livelli, come una serie di checkpoint militari dove ogni email viene ispezionata da angolazioni diverse.
Il primo checkpoint. L'email viene analizzata prima di entrare nel tuo server. Si controllano reputazione IP, blacklist, volume di invio, conformita agli standard SMTP. Qui si ferma circa il 70% dello spam di massa.
L'intelligenza artificiale legge l'email come la leggeresti tu. Capisce il contesto, rileva l'urgenza sospetta ("bonifico urgente entro oggi"), identifica tentativi di impersonificazione. Qui si fermano gli attacchi BEC che non contengono malware.
Gli allegati sospetti vengono aperti in un ambiente isolato. Come una stanza di quarantena per file. Il sistema osserva cosa fa l'allegato: tenta di scaricare altri file? Prova a cifrare documenti? Contatta server esterni? Se si, viene bloccato.
Ogni link nell'email viene riscritto. Quando il destinatario clicca, il sistema verifica in tempo reale se il sito di destinazione e sicuro. Anche se l'URL era pulito al momento dell'invio ma e diventato malevolo dopo (attacco time-of-click), viene bloccato.
Il sistema impara i pattern di comunicazione normali. Sa chi scrive a chi, a che ora, con che tono. Quando qualcosa devia dalla norma, alza un flag. Un'email dal CFO alle 3 di notte che chiede un bonifico urgente? Sospetta.
Verifica SPF, DKIM e DMARC per confermare che il mittente sia davvero chi dice di essere. Se qualcuno finge di scrivere dal tuo dominio senza autorizzazione, l'email viene rifiutata.
Tre sigle che sembrano complicate ma sono fondamentali. Senza questi tre protocolli, chiunque puo inviare email fingendo di essere la tua azienda. E come lasciare le chiavi di casa sotto lo zerbino.
Dice al mondo quali server hanno il permesso di inviare email per conto del tuo dominio. E come un elenco di "mittenti autorizzati" pubblicato nel DNS del tuo dominio. Se un'email arriva da un server non in lista, il destinatario sa che e sospetta.
Errore comune: dimenticare di includere servizi terzi che inviano email per te (newsletter, CRM, ticketing). Risultato: le tue email legittime finiscono in spam.
Aggiunge una firma digitale invisibile a ogni email inviata. Il server del destinatario verifica la firma con una chiave pubblica nel DNS. Se la firma non corrisponde, l'email e stata modificata durante il trasporto o e un falso.
Errore comune: usare chiavi troppo corte (512 bit). Le chiavi sotto 1024 bit sono facilmente violabili. Usa almeno 2048 bit.
Il capo dei tre. DMARC dice ai server di posta cosa fare quando SPF o DKIM falliscono. Puoi scegliere: non fare nulla (p=none, utile per monitorare), mettere in quarantena (p=quarantine) o rifiutare l'email (p=reject, il piu sicuro).
Errore comune: partire subito con p=reject senza prima monitorare. Rischi di bloccare email legittime. Inizia con p=none, analizza i report, poi passa gradualmente a reject.
DMARC ti invia anche report che mostrano chi sta inviando email usando il tuo dominio. Scoprirai che servizi che avevi dimenticato (come quel tool di marketing attivato nel 2019) stanno fallendo l'autenticazione.
Verifica la tua configurazione
Vuoi sapere se il tuo dominio ha SPF, DKIM e DMARC configurati correttamente? Usa il nostro strumento gratuito.
Verifica DNS gratuita →La tecnologia da sola non basta. Serve un mix di strumenti, processi e cultura aziendale. Ecco le 10 pratiche che fanno davvero la differenza.
Il 95% degli incidenti di sicurezza coinvolge un errore umano. Non basta un corso annuale. Servono simulazioni di phishing regolari, micro-training mensili e una cultura dove segnalare un'email sospetta e visto come un merito, non come paranoia.
Formazione anti-phishing →Anche se qualcuno ruba la password, con MFA attivato non puo entrare. Usa app authenticator (non SMS, vulnerabili a SIM swapping). Attivala su tutte le caselle email aziendali senza eccezioni. Anche per il CEO.
Definisci regole scritte: nessun bonifico su richiesta via email senza conferma telefonica. Nessun invio di dati sensibili via email non cifrata. Nessun download di allegati non attesi. Le regole devono essere semplici, poche e note a tutti.
Ogni trimestre verifica: i record SPF/DKIM/DMARC sono corretti? Le regole di inoltro sono legittime? Ci sono account inattivi con accesso? Le password rispettano i criteri? Molte violazioni sfruttano configurazioni dimenticate.
Quando (non se) succede un incidente, devi sapere cosa fare. Chi contattare, come isolare l'account compromesso, come avvisare i colleghi, come preservare le prove. Un piano scritto e testato riduce i tempi di risposta dell'80%.
Per comunicazioni che contengono dati personali, finanziari o strategici, usa la cifratura end-to-end. TLS protegge il trasporto, ma non il contenuto a riposo. Per dati veramente sensibili, considera S/MIME o soluzioni di email encryption dedicate.
Non tutti devono avere accesso a tutto. Il principio del minimo privilegio vale anche per l'email. Limita chi puo creare regole di inoltro automatico, chi puo accedere alle caselle condivise, chi puo inviare a grandi liste di distribuzione.
Se un attaccante cancella le email o le cifra, il backup e la tua rete di sicurezza. Configura backup automatici giornalieri con retention di almeno 90 giorni. Testa regolarmente il ripristino. Un backup che non funziona e peggio di non averne uno.
Non basta installare un filtro e dimenticarsene. Monitora i log, analizza i trend, controlla i falsi positivi. Un buon sistema di sicurezza email ti offre dashboard e report che mostrano cosa sta succedendo. Usali.
I tuoi fornitori sono sicuri? Se un fornitore viene compromesso, l'attaccante puo usare il suo account email per attaccarti. Verifica che i tuoi partner chiave abbiano standard di sicurezza email adeguati. Chiedi se usano MFA, DMARC e sistemi antispam professionali.
La sicurezza email non e solo una buona pratica. Per molte aziende e un obbligo di legge. Ecco i tre framework normativi che devi conoscere.
Se tratti dati personali via email (e lo fai, fidati), il GDPR ti obbliga a proteggere quei dati con "misure tecniche e organizzative adeguate". Un data breach via email va notificato al Garante entro 72 ore. Le sanzioni arrivano fino al 4% del fatturato globale.
Un sistema di sicurezza email professionale ti aiuta a dimostrare la "due diligence": hai adottato misure ragionevoli per proteggere i dati. Senza, in caso di violazione, sei molto piu esposto.
In vigore in Italia da ottobre 2024. Si applica a medie e grandi imprese nei settori critici: sanita, energia, trasporti, finanza, PA, infrastrutture digitali. Richiede misure specifiche di sicurezza informatica, inclusa la protezione delle comunicazioni email.
La novita piu importante: la responsabilita personale del management. I dirigenti possono essere ritenuti responsabili in caso di inadempienza. Sanzioni fino a 10 milioni di euro.
Approfondisci: NIS2 e sicurezza email →Lo standard internazionale per la gestione della sicurezza delle informazioni. Non e obbligatorio per legge, ma sempre piu clienti e partner lo richiedono come prerequisito. La sezione A.13 tratta specificamente la sicurezza delle comunicazioni, inclusa la posta elettronica.
Per ottenere o mantenere la certificazione, devi dimostrare di avere controlli adeguati sulla sicurezza email: autenticazione, cifratura, monitoraggio e gestione degli incidenti.
Conformita email aziendale →Non tutte le soluzioni di sicurezza email sono uguali. Alcune sono ottime per le grandi enterprise ma costano troppo per una PMI. Altre sono economiche ma lasciano passare troppe minacce. Ecco cosa valutare.
Qual e la percentuale di minacce bloccate? Un buon sistema deve superare il 99.9% per spam e il 99% per malware. Ma attenzione ai numeri di marketing: chiedi test reali con il tuo traffico email, non benchmark di laboratorio.
Quante email legittime finiscono in quarantena per errore? Anche lo 0.1% su migliaia di email giornaliere significa email importanti perse. Un buon sistema ha un tasso di falsi positivi sotto lo 0.003%. E ti permette di rilasciare facilmente le email bloccate per errore.
Si integra con il tuo server email attuale? Office 365, Google Workspace, Exchange on-premise? L'integrazione deve essere semplice (cambio record MX) e non richiedere software da installare sui client.
Quando succede un problema alle 23 di sera, c'e qualcuno che risponde? Un supporto in italiano, reattivo e competente vale piu di qualsiasi feature sulla carta. Chiedi i tempi di risposta medi e se offrono supporto telefonico o solo ticket.
Quanto costa per casella? Ci sono costi nascosti per setup, formazione o funzionalita avanzate? Il prezzo e scalabile se aggiungi caselle? Diffida delle soluzioni che non pubblicano i prezzi e ti obbligano a "contattare il commerciale".
Dove vengono elaborati i tuoi dati? Per le aziende europee, i dati devono restare in UE (GDPR). Verifica che il fornitore abbia data center in Europa e sia conforme alle normative locali.
Usa questa checklist per verificare lo stato della sicurezza email nella tua azienda. Quanti punti soddisfi oggi?
L'antispam filtra la posta indesiderata: pubblicita, truffe generiche, catene di sant'Antonio. La sicurezza email e molto piu ampia: include protezione da phishing mirato, BEC (truffe del CEO), ransomware, malware zero-day, brand impersonation e account takeover. Un antispam tradizionale blocca lo spam, ma non ferma un'email di spear phishing scritta su misura per il tuo CFO. Per quello serve un sistema di sicurezza email completo.
Il costo medio di un data breach via email in Italia e di circa 3.5 milioni di euro (fonte: IBM Cost of a Data Breach 2025). Ma anche un singolo attacco BEC puo costare da 25.000 a oltre 500.000 euro in bonifici fraudolenti. A questi si aggiungono i costi indiretti: fermo operativo, danno reputazionale, sanzioni GDPR e NIS2, tempo del team IT per il ripristino, e la perdita di fiducia dei clienti che puo durare anni.
No, da soli non bastano. SPF, DKIM e DMARC autenticano il mittente e prevengono lo spoofing del tuo dominio. Ma non proteggono da phishing inviato da domini legittimi compromessi, allegati con malware, link malevoli o attacchi BEC. Sono fondamentali come base, ma servono anche sandboxing, analisi AI del contenuto, URL rewriting e formazione del personale per una protezione completa.
Meno di un'ora. MailSniper funziona come gateway: basta cambiare i record MX del tuo dominio per puntarli ai nostri server. Non devi installare nulla sui tuoi PC o server email. Il sistema si integra con Office 365, Google Workspace, Exchange e qualsiasi server SMTP. La prova gratuita di 30 giorni non richiede carta di credito.
Exchange Online Protection (EOP) di Office 365 blocca lo spam di massa, ma lascia passare il 25-30% delle minacce avanzate come spear phishing, BEC e malware zero-day. Non ha sandboxing reale, non analizza il contesto semantico delle email e non offre protezione DMARC completa. MailSniper si integra con Office 365 aggiungendo i livelli di protezione che mancano, senza sostituire EOP ma potenziandolo.