Email aziendale, DMARC e vecchi server: perché una configurazione corretta dieci anni fa oggi può essere un problema

La sicurezza della posta elettronica non si risolve con tre record DNS.

In sintesi – SPF, DKIM e DMARC proteggono il dominio aziendale solo se rispecchiano davvero tutte le sorgenti di invio: server interni, CRM, newsletter, gestionali e piattaforme esterne. Una configurazione realizzata anni fa può non includere più i servizi aggiunti nel tempo, lasciando il dominio esposto a spoofing e impersonificazione. DMARC produce report che segnalano fallimenti e tentativi di abuso ma solo se qualcuno li legge e li interpreta. La posta elettronica aziendale non va solo fatta funzionare: va governata.

La posta elettronica aziendale è uno di quei servizi che vengono dati per scontati fino al giorno in cui qualcosa smette di funzionare. Una newsletter finisce nello spam. Un gestionale non recapita più le notifiche. Un cliente riceve una falsa richiesta di pagamento. Un fornitore segnala un messaggio sospetto. Oppure il dominio aziendale viene usato — o tentato di essere usato — per inviare email che sembrano legittime ma non lo sono.

In molti casi, quando si comincia a indagare, la risposta è sempre la stessa: “Ma la posta ha sempre funzionato.”

Ed è proprio qui il problema.

Una configurazione che sembrava corretta dieci anni fa non è detto che sia corretta oggi. Nel frattempo sono cambiati i provider, sono aumentate le piattaforme esterne, sono entrati in azienda CRM, gestionali, sistemi di ticketing, newsletter, servizi cloud, firme automatiche, inoltri, vecchi server rimasti accesi e account configurati manualmente. La posta elettronica non passa più soltanto dal “server mail dell’azienda”. Spesso esce da molti punti diversi: non sempre censiti, non sempre autorizzati, non sempre firmati correttamente.

SPF, DKIM e DMARC servono proprio a mettere ordine in questo scenario. Ma pubblicare tre record DNS non basta. Il vero lavoro è capire se quei record descrivono davvero il modo in cui l’azienda invia email ogni giorno.

La posta elettronica nasce in un mondo che non esiste più

I primi esperimenti di posta elettronica di rete risalgono al 1971, in un contesto tecnico radicalmente diverso da quello attuale. Allora non esistevano phishing industrializzato, spoofing di dominio, piattaforme marketing cloud, CRM con invii automatici, portali SaaS o supply chain digitali complesse.

L’email si è evoluta nel tempo aggiungendo controlli, policy e strumenti di autenticazione sopra un modello nato quando il livello di fiducia della rete era incomparabilmente più alto. Questo spiega perché molte configurazioni “storiche” continuano a funzionare tecnicamente, ma non sono più adeguate dal punto di vista della sicurezza, della recapitabilità e della governance.

Un server può ancora inviare posta. Un account può ancora spedire messaggi. Un gestionale può ancora produrre notifiche. Una newsletter può ancora partire. Ma questo non significa che tutto sia coerente con SPF, DKIM e DMARC, né che il dominio aziendale sia protetto da abusi o errori silenziosi.

Nel 2026, il tema non è più solo “la posta funziona?”. La domanda corretta è: la posta esce davvero dai server che il dominio dichiara come autorizzati?

SPF, DKIM e DMARC non sono decorazioni DNS

SPF, DKIM e DMARC vengono spesso trattati come tre voci tecniche da sistemare una volta sola. In realtà sono tre strumenti distinti, che funzionano bene soltanto se rappresentano fedelmente l’infrastruttura reale di invio.

SPF indica quali server sono autorizzati a inviare posta per conto di un dominio. Il problema è che molte aziende, nel tempo, accumulano servizi su servizi: Microsoft 365, Google Workspace, CRM, piattaforme newsletter, gestionali, sistemi di fatturazione, ticketing, portali HR, software verticali. Ogni servizio deve essere incluso correttamente. Ma SPF ha anche un limite tecnico critico: la valutazione non deve superare i 10 meccanismi che causano query DNS aggiuntive (come definito dall’RFC 7208). Se il record diventa troppo esteso o disordinato, può fallire restituendo un PermError — proprio mentre cerca di autorizzare troppe sorgenti. E quando SPF fallisce in questo modo, DMARC perde uno dei suoi due pilastri di allineamento.



DKIM

aggiunge una verifica diversa. Non si limita a dichiarare “questo server può spedire”, ma associa il messaggio a un dominio attraverso una firma crittografica verificabile tramite chiave pubblica pubblicata nel DNS. Il meccanismo consente al dominio firmatario di assumersi una responsabilità tecnica sul messaggio, indipendentemente dal server che lo ha trasmesso.



DMARC

governa il comportamento complessivo. Permette al proprietario del dominio di comunicare ai server riceventi cosa fare quando SPF o DKIM non risultano allineati, e consente di ricevere report sull’utilizzo del dominio aggregati, o più dettagliati sui singoli fallimenti, a seconda del supporto offerto dal sistema ricevente.

Il punto è questo: SPF, DKIM e DMARC non servono a “mettere il bollino” sulla posta. Servono a dichiarare, verificare e monitorare l’identità tecnica delle email aziendali.

Se ciò che è scritto nei DNS non corrisponde a ciò che accade davvero, DMARC comincia a mostrare il problema.

Quando DMARC segnala un fallimento, di solito ha ragione

DMARC non è capriccioso: confronta quello che il dominio dichiara con quello che i server riceventi osservano. Se una newsletter parte da una piattaforma non autorizzata, DMARC rileva un fallimento. Se un gestionale invia email senza DKIM configurato correttamente, DMARC rileva un fallimento. Se un account viene usato tramite il server SMTP sbagliato, DMARC rileva un fallimento. Se un vecchio server interno continua a spedire posta — anche se nessuno lo considera più parte dell’infrastruttura ufficiale — DMARC rileva un fallimento.

In altre parole, DMARC non scopre solo gli attacchi. Scopre anche il disordine.

E nelle aziende, il disordine della posta elettronica è molto più comune di quanto sembri.

Il problema dei vecchi server e delle configurazioni ereditate

Molte infrastrutture email aziendali non sono state progettate da zero in modo ordinato. Sono state costruite nel tempo: un provider cambiato, un server migrato, un gestionale aggiunto, una newsletter esternalizzata, un dominio secondario, un sistema di ticketing, un vecchio applicativo che manda notifiche automatiche, un server SMTP interno rimasto attivo “perché tanto serve ancora”.

Questa stratificazione genera debito tecnico. Non solo codice vecchio o software non aggiornato: anche una configurazione che nessuno ha più il coraggio, il tempo o la memoria storica per toccare. La posta continua a funzionare, quindi non viene analizzata. Ma nel frattempo i criteri antispam si sono irrigiditi, i grandi provider valutano con maggiore attenzione l’autenticazione, i clienti sono più esposti a tentativi di frode e i domini aziendali sono diventati asset reputazionali da proteggere.

Una configurazione email vecchia non è per forza sbagliata. Va verificata. Il rischio reale è che l’azienda continui a ragionare come se esistesse un solo server di posta, mentre nella realtà le email escono da molti sistemi diversi.

Open relay, server mal configurati e relay permissivi

Un tema spesso sottovalutato riguarda i relay. Un open relay è un server che consente a soggetti non autorizzati di inviare posta verso terzi: una configurazione che da decenni dovrebbe essere evitata, perché può essere sfruttata per spam e invii non controllati. Oggi un mailserver ben gestito non dovrebbe accettare traffico da open relay e dovrebbe affidarsi anche a controlli reputazionali, blacklist e meccanismi di blocco.

Ma non esistono solo gli open relay evidenti. Ci sono anche configurazioni meno appariscenti ma comunque problematiche: server con comportamenti troppo permissivi, MTA installati frettolosamente, vecchie macchine lasciate attive, applicativi che usano credenziali generiche, account configurati in modo da usare sempre lo stesso server SMTP anche quando il mittente appartiene a un dominio diverso.

In questi casi il problema può non sembrare grave: l’invio parte, il messaggio arriva, l’utente non vede errori. Ma dal punto di vista dell’autenticazione, quella posta può non essere coerente. Ed è qui che nascono molti fallimenti difficili da diagnosticare.

Il caso degli account multipli e del server di uscita sbagliato

Un esempio molto comune riguarda i client di posta configurati con più account. Un utente gestisce cinque, dieci, a volte decine di caselle condivise o alias. Se il client usa sempre lo stesso server SMTP di uscita — oppure se l’account principale spedisce messaggi per identità diverse senza controlli adeguati — il risultato può essere tecnicamente incoerente.

Dal punto di vista dell’utente è tutto normale: seleziona il mittente, scrive e invia. Dal punto di vista del server ricevente, però, il messaggio racconta un’altra storia: un dominio nel campo mittente, un server di invio non previsto, una firma DKIM assente o non allineata, una policy DMARC che non trova corrispondenza tra ciò che viene dichiarato e ciò che sta accadendo.

Un mailserver ben configurato dovrebbe governare queste situazioni. Ma molte infrastrutture non lo fanno, soprattutto quando sono nate per accumulo o per urgenza.

Le newsletter sono spesso il punto in cui il problema emerge

Le piattaforme newsletter rappresentano uno dei casi più frequenti. Un’azienda decide di inviare comunicazioni commerciali o informative usando una piattaforma esterna. Il reparto marketing carica i contatti, crea il template, imposta il mittente con il dominio aziendale e inizia a spedire. Tutto sembra funzionare.

Ma se la piattaforma non è stata autorizzata correttamente in SPF, se DKIM non è configurato sul dominio, se il dominio di ritorno non è allineato, o se DMARC è già impostato in modo restrittivo, la newsletter può generare fallimenti, finire nello spam o danneggiare la reputazione del dominio.

Il punto non è “la newsletter è fatta male”. Il punto è che ogni piattaforma che invia email per conto dell’azienda deve essere trattata come parte dell’infrastruttura email aziendale. CRM, ERP, gestionali, sistemi di marketing automation, portali per preventivi, software di assistenza, piattaforme di fatturazione e strumenti di ticketing devono essere mappati, verificati e configurati in modo coerente.

DMARC senza monitoraggio è un’occasione sprecata

Uno degli errori più frequenti è pubblicare DMARC e poi non leggere i report. Questo approccio trasforma DMARC in una semplice riga nel DNS, non in uno strumento di sicurezza operativo.

I report DMARC servono a ricostruire cosa accade al dominio: quali server stanno inviando email, quali passano SPF o DKIM, quali falliscono, quali sorgenti sono legittime ma non ancora configurate, quali invii sembrano sospetti. I report aggregati offrono il quadro complessivo; quelli di fallimento — quando disponibili e supportati dal sistema ricevente — forniscono informazioni più granulari sui singoli messaggi.

Questo significa che non basta “mettere l’indirizzo dei report”. Serve qualcuno, o qualcosa, che li riceva, li analizzi e li trasformi in decisioni operative.

Un dominio può avere DMARC attivo e continuare a essere configurato male. Un dominio può ricevere report pieni di segnali utili senza che nessuno li guardi. Un dominio può mostrare tentativi di abuso, sorgenti dimenticate o invii non conformi — e l’azienda se ne accorge solo quando il problema diventa visibile a un cliente, a un fornitore o a un sistema antispam.

I segnali tecnici: SpamAssassin, DMARC e l’intelligence operativa

In molte infrastrutture, i sistemi antispam non si limitano a decidere se una mail è buona o cattiva. Raccolgono segnali, applicano regole, verificano reputazione, autenticazione, contenuto e comportamento. SpamAssassin, per esempio, include un plugin DMARC che verifica se i messaggi rispettano la policy dichiarata e richiede che siano abilitati anche i controlli SPF e DKIM. In base alla configurazione, questi sistemi possono contribuire a rendere disponibili dati utili sui fallimenti.

Il principio è importante: l’autenticazione email produce segnali tecnici che possono essere raccolti, analizzati e usati per capire cosa accade davvero. Senza monitoraggio, quei segnali restano rumore. Con il monitoraggio, diventano intelligence operativa.

Il rischio più serio non è lo spam: è l’impersonificazione

Quando si parla di SPF, DKIM e DMARC, molte aziende pensano prima di tutto alla recapitabilità. “Mi serve per non finire nello spam.” È vero, ma è solo una parte del problema.

Il tema più serio è l’impersonificazione. Se un attaccante riesce a inviare email che sembrano provenire dal dominio aziendale, può tentare frodi verso clienti, fornitori, amministrazione, direzione o reparti sensibili: una falsa richiesta di pagamento, una modifica IBAN, una comunicazione tecnica contraffatta, una richiesta urgente del management.

Quando l’attacco è rivolto a figure apicali o soggetti ad alto valore, si parla spesso di whaling — una forma mirata di phishing. In questo contesto, DMARC non elimina il rischio, ma può ridurre la possibilità che email non allineate al dominio vengano considerate legittime dai server riceventi, e può aiutare a ricostruire tentativi di abuso attraverso i report.

Il punto non è poter dire “avevamo DMARC”. Il punto è poter dimostrare che il dominio è stato configurato, monitorato e governato in modo coerente nel tempo.

Il falso senso di sicurezza: “abbiamo Microsoft 365” o “abbiamo Google Workspace”

Microsoft 365 e Google Workspace offrono strumenti solidi per la gestione della posta, ma non risolvono automaticamente tutto ciò che ruota intorno al dominio aziendale. Se tutte le email partissero solo da Microsoft o solo da Google, la situazione sarebbe più semplice. Ma raramente è così.

Molte aziende usano piattaforme esterne per newsletter, CRM, fatturazione, ticketing, preventivi, gestionali, e-commerce, portali clienti, sistemi di notifica, software verticali. Alcune usano più domini. Altre hanno sottodomini. Altre ancora hanno vecchi server interni che continuano a inviare email per applicativi legacy.

La domanda giusta non è: “Uso Microsoft 365 o Google Workspace, sono a posto?”

La domanda giusta è: tutte le email che sembrano uscire dal mio dominio passano davvero da sorgenti autorizzate, firmate e monitorate?

Cosa dovrebbe controllare un’azienda

Un controllo serio della posta elettronica aziendale non si limita a verificare se SPF, DKIM e DMARC esistono. Deve ricostruire il perimetro reale. In concreto, bisogna verificare quali domini e sottodomini inviano email, quali server sono autorizzati da SPF, se il record SPF supera o rischia di superare il limite dei 10 lookup DNS, quali piattaforme esterne inviano email per conto dell’azienda e se tutte firmano correttamente con DKIM. Vanno verificati l’allineamento DKIM al dominio mittente, la policy DMARC attiva (osservazione, quarantena o rifiuto), dove arrivano i report e chi li interpreta con quale frequenza. Non vanno trascurati i vecchi server SMTP, MTA, relay, inoltri o applicativi legacy, né i client di posta con account multipli che potrebbero usare server di uscita incoerenti. Vanno mappati newsletter, CRM, ERP e gestionali, e vanno analizzati i segnali di spoofing, abuso o configurazioni non autorizzate.

Questa analisi non serve solo a “mettere a posto la posta”. Serve a ridurre una superficie di rischio che spesso resta invisibile finché non produce un danno reale.

Cosa succede quando si passa troppo presto a DMARC reject

Impostare DMARC con policy p=reject può essere la scelta giusta, ma solo quando l’infrastruttura è stata mappata e verificata. Passare troppo presto a una policy restrittiva può bloccare email legittime: newsletter, notifiche di gestionali, messaggi automatici, comunicazioni da CRM, sistemi di ticketing o applicativi verticali.

Per questo l’approccio corretto è progressivo: prima si osserva, poi si mappano le sorgenti, poi si correggono SPF e DKIM, poi si analizzano i report, poi — con ragionevole certezza che gli invii legittimi siano allineati — si passa a una policy più restrittiva.

DMARC non deve essere usato come interruttore. Deve essere usato come processo.

Una configurazione email va mantenuta, non solo realizzata

La posta elettronica aziendale non è un impianto che si configura una volta e poi si dimentica. Ogni nuovo servizio può cambiare lo scenario. Ogni nuovo CRM può aggiungere una sorgente di invio. Ogni nuova piattaforma newsletter può richiedere una firma DKIM. Ogni cambio provider può modificare SPF. Ogni vecchio server lasciato acceso può continuare a produrre traffico non documentato. Ogni report DMARC ignorato può nascondere un segnale importante.

La sicurezza della posta elettronica deve entrare nella manutenzione ordinaria dell’infrastruttura IT — non come attività estetica, ma come presidio di sicurezza, continuità operativa e reputazione digitale.

In sintesi

SPF, DKIM e DMARC sono strumenti fondamentali, ma non bastano se vengono trattati come semplici record DNS da pubblicare una volta e dimenticare. Il tema centrale è la coerenza tra ciò che il dominio dichiara e ciò che l’azienda fa davvero quando invia email. Se la posta esce da server vecchi, piattaforme non censite, CRM non configurati, newsletter senza firma DKIM, account multipli con SMTP incoerenti o relay gestiti male, DMARC fa emergere il problema. E se nessuno legge i report, il problema resta lì.

Una configurazione email che funzionava dieci anni fa non è automaticamente adeguata oggi. Nel frattempo sono cambiati i rischi, i controlli, le aspettative dei provider, la complessità delle infrastrutture e il valore del dominio come identità digitale.

La posta elettronica non va solo fatta funzionare. Va governata.

Parla con Alchimie Digitali per una verifica della configurazione email aziendale. Se vuoi capire se la tua posta aziendale è davvero configurata in modo coerente, non limitarti a controllare che “funzioni”. Verifica da dove escono le email, chi le firma, quali server sono autorizzati e chi sta leggendo i segnali che DMARC produce.

CONTATTACI

FAQ

SPF, DKIM e DMARC bastano per proteggere la posta aziendale?

No. Sono una base tecnica essenziale, ma funzionano davvero solo se rappresentano correttamente tutte le sorgenti di invio dell’azienda. Client di posta, CRM, newsletter, gestionali, ticketing, servizi cloud e vecchi server devono essere mappati, autorizzati e monitorati con continuità.

Perché una configurazione email vecchia può diventare un problema?

Perché nel tempo cambiano provider, piattaforme, criteri antispam e modalità di invio. Una configurazione realizzata anni fa può non includere più tutte le sorgenti corrette, può contenere server non più governati o può non essere allineata con SPF, DKIM e DMARC così come sono stati aggiornati dai rispettivi servizi.

Che cosa sono i report DMARC?

No. Avere DMARC attivo è utile, ma se i report non vengono monitorati e interpretati si perde gran parte del valore dello strumento. DMARC serve anche a osservare cosa accade al dominio nel tempo, non solo a pubblicare una policy.

Avere DMARC attivo significa essere al sicuro?

Non automaticamente. Queste piattaforme supportano SPF, DKIM e DMARC, ma devono essere configurati esplicitamente dall’amministratore. E se hai altri servizi che inviano email dal tuo dominio, devono essere inclusi nella configurazione.

Perché le newsletter possono creare problemi con DMARC?

Perché spesso vengono inviate da piattaforme esterne. Se queste piattaforme non sono autorizzate correttamente in SPF, non firmano con DKIM o non sono allineate al dominio aziendale, le email possono fallire i controlli e finire nello spam o essere rifiutate dai server riceventi.

Cosa significa che un server è configurato come relay?

Un relay è un server che inoltra posta. Se è configurato in modo troppo permissivo, può consentire invii non coerenti o non autorizzati, creando problemi di reputazione, autenticazione e sicurezza del dominio.

Microsoft 365 o Google Workspace risolvono automaticamente SPF, DKIM e DMARC?

No. Offrono strumenti importanti, ma l’azienda deve comunque configurare correttamente il dominio e tutte le sorgenti esterne che inviano email per suo conto — come CRM, newsletter, gestionali e sistemi automatici.

Quando conviene fare una verifica tecnica della posta aziendale?

Conviene farla quando si cambia provider, si attiva una nuova piattaforma newsletter o CRM, si notano problemi di recapito, si ricevono segnalazioni di email sospette, si prepara una revisione di sicurezza, o quando SPF, DKIM e DMARC non vengono controllati da molto tempo.

Cos'è il whaling e che relazione ha con DMARC?

Cosa succede se SPF supera il limite dei 10 lookup DNS?

Il server ricevente restituisce un errore permanente (PermError) che causa il fallimento dell’autenticazione SPF. Se anche DKIM non è configurato correttamente, DMARC non trova nessun meccanismo allineato e può applicare la policy di quarantena o rifiuto, bloccando email legittime.

ACN e la sicurezza della posta elettronica: cosa devono sapere aziende e professionisti

L'Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato le nuove linee guida ufficiali per la configurazione della posta elettronica.

In sintesi – L’Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato le nuove linee guida ufficiali per la configurazione della posta elettronica. Il documento indica come implementare correttamente SPF, DKIM e DMARC – i tre protocolli che autenticano il mittente e proteggono il dominio da phishing e spoofing. Se la tua posta non è configurata secondo questi standard, rischi che le email vengano filtrate come spam o rifiutate dai server destinatari, spesso senza che tu lo sappia. Se hai affidato la gestione della posta a un tecnico o a un’agenzia, è il momento di chiedere una verifica.

L’ACN ha pubblicato le nuove linee guida per l’autenticazione email

L’Agenzia per la cybersicurezza nazionale ha pubblicato le Linee guida per la configurazione del servizio di posta elettronica per l’autenticazione del mittente, con l’obiettivo di rafforzare l’affidabilità del servizio di posta elettronica di tutte le organizzazioni interessate.

Non si tratta di raccomandazioni generiche: è un framework tecnico operativo, rivolto a tutte le organizzazioni pubbliche e private, che stabilisce come configurare correttamente tre protocolli ormai fondamentali per qualsiasi infrastruttura email.

Il documento ufficiale è disponibile sul sito ACN: Framework di Autenticazione per la Posta Elettronica

Perché la posta elettronica è un punto critico

Il funzionamento della posta elettronica si basa sul protocollo SMTP, che non incorpora nativamente meccanismi di autenticazione del mittente né di protezione dell’integrità dei messaggi. Queste vulnerabilità espongono le organizzazioni al rischio di spoofing, phishing e manomissione del contenuto durante il transito.

In termini pratici questo significa che, senza protezioni adeguate, chiunque potrebbe inviare email fingendo di provenire dal tuo dominio — spacciandosi per te con i tuoi clienti, fornitori o colleghi — senza che tu lo sappia e senza che sia necessario accedere al tuo account.

Il problema non è teorico: quasi una organizzazione italiana su quattro non è in grado di impedire a soggetti terzi di inviare email fraudolente a suo nome.

I tre protocolli al centro delle linee guida

Le linee guida dell’ACN forniscono indicazioni operative per la corretta implementazione di SPF, DKIM e DMARC: tre standard ampiamente adottati a livello internazionale che, se configurati in modo coerente, permettono di aumentare il livello di fiducia nei messaggi ricevuti e di limitare l’uso fraudolento dei domini.



SPF — Chi può inviare email a nome del tuo dominio?

SPF pubblica nel DNS del dominio un elenco degli indirizzi IP autorizzati a inviare email per suo conto. Quando arriva un messaggio che dichiara di provenire dal tuo dominio, il server ricevente controlla se il mittente è nella lista. Se non lo è, si attiva la policy configurata.

Esempio concreto

se usi Microsoft 365 come client email principale ma hai anche un CRM o un gestionale che invia notifiche automatiche, entrambi devono essere esplicitamente autorizzati nel record SPF. Dimenticare anche una sola sorgente significa che quelle email vengono trattate come sospette dai server destinatari.



DKIM — Il messaggio è integro?

DKIM firma digitalmente i messaggi tramite crittografia asimmetrica. Il server ricevente può verificare la firma recuperando la chiave pubblica dal DNS del dominio mittente. In questo modo DKIM non controlla soltanto che il contenuto firmato del messaggio non sia stato alterato durante il transito, ma permette anche di verificare che l’email sia stata firmata da una sorgente autorizzata a usare quel dominio.

Altro...

Integrato con SPF, DKIM aggiunge quindi una seconda verifica, basata su una metodologia diversa, sull’identità delle infrastrutture che inviano posta per conto dell’azienda. Questo è particolarmente importante quando il dominio viene usato da più sistemi: client di posta, CRM, gestionali, piattaforme newsletter, ticketing o servizi cloud. Se anche una sola sorgente invia email senza una firma DKIM coerente, o senza essere correttamente autorizzata, la validazione può fallire e il messaggio può essere trattato come sospetto.



DMARC — Come devono comportarsi i server se qualcosa non torna?

DMARC unifica e governa SPF e DKIM. Permette al proprietario del dominio di specificare una policy di gestione per le email che non superano le verifiche e, soprattutto, di ricevere informazioni su ciò che sta accadendo al dominio: quali server stanno inviando messaggi, quali passano SPF o DKIM, quali falliscono, quali vengono accettati, messi in quarantena o rifiutati.

Altro...

Questi dati possono arrivare sotto forma di report aggregati e, dove supportato dai sistemi riceventi, anche come report di fallimento più dettagliati. È qui che DMARC diventa davvero utile: non serve solo a bloccare o filtrare, ma anche a capire perché una determinata email non ha superato i controlli e se dietro al fallimento c’è una configurazione errata, una sorgente dimenticata o un tentativo di abuso del dominio.

Policy DMARC	Cosa succede alle email sospette
`p=none`	Vengono registrate nei report, ma non bloccate (fase di monitoraggio)
`p=quarantine`	Finiscono nella cartella spam del destinatario
`p=reject`	Vengono rifiutate e non recapitate

DMARC introduce anche il concetto di allineamento: verifica che il dominio visibile nel campo “Da:” corrisponda a quello autenticato via SPF o DKIM, intercettando le impersonificazioni anche nei casi tecnici più sofisticati.

Non è solo sicurezza: è anche recapitabilità

Questo è l’aspetto che le aziende sottovalutano più spesso. I principali provider di posta — Gmail, Microsoft 365, Yahoo — hanno progressivamente irrigidito i loro filtri antispam. Oggi valutano attivamente la presenza e la correttezza di SPF, DKIM e DMARC. Un dominio privo di questi record, o con una configurazione errata, viene automaticamente trattato con più sospetto.

Il risultato è che puoi inviare un preventivo, una conferma d’ordine, una risposta urgente — e il destinatario non la riceve, o la trova nello spam giorni dopo. Il tuo server non ti segnala nessun errore: l’email parte regolarmente. Il problema avviene in silenzio, sul lato del destinatario.

Il collegamento con NIS 2 e il quadro normativo italiano

Le linee guida ACN non sono un documento isolato. Le misure descritte si inseriscono nel contesto della Direttiva NIS 2, del Perimetro di Sicurezza Nazionale Cibernetica e del Regolamento Cloud ACN. In questo scenario, la sicurezza della posta elettronica non è più solo una best practice: per molte organizzazioni diventa un requisito di conformità.

Oggi in Italia sono già stati identificati oltre 21.000 soggetti obbligati dalla NIS 2, di cui almeno 5.000 classificati come essenziali. Per queste realtà, verificare la configurazione della posta non è più rimandabile.

Configurare SPF, DKIM e DMARC: più complesso di quanto sembri

Questi protocolli agiscono sui record DNS del dominio. In teoria bastano poche modifiche. In pratica ci sono insidie frequenti che portano a configurazioni errate, spesso senza che nessuno se ne accorga:

SPF ha un limite di 10 lookup DNS. Superarlo causa errori su tutte le email in uscita. È un problema comune nelle aziende che usano più servizi in parallelo (CRM, newsletter, gestionale, PEC).
DKIM richiede la gestione di chiavi crittografiche che vanno protette, ruotate periodicamente e configurate per ogni sorgente di invio.
Passare subito a p=reject senza una fase di monitoraggio preliminare può bloccare email legittime, creando disservizi immediati.
L’inoltro automatico delle email (forwarding) può invalidare le verifiche SPF e DKIM se non gestito correttamente.
I servizi di terze parti — piattaforme di email marketing, CRM, ERP — devono essere esplicitamente inclusi e configurati per firmare con DKIM.
Vecchi server di posta o MTA installati in modo frettoloso possono comportarsi come relay configurati male, permettendo invii non coerenti con l’identità dichiarata dal dominio.
Account multipli configurati nello stesso client, se usano sempre il medesimo server di uscita senza controlli adeguati, possono generare invii formalmente funzionanti ma non allineati con SPF, DKIM e DMARC.

L’approccio corretto è graduale: partire con DMARC in monitoraggio per mappare i flussi reali, poi passare a quarantine e reject quando la configurazione è stabile e verificata.

Avere un record DMARC pubblicato e non monitorarne i report, però, significa perdere gran parte del valore dello strumento. I report servono a capire se qualcuno sta tentando di usare il dominio in modo fraudolento, se una piattaforma legittima è stata dimenticata nella configurazione o se una vecchia impostazione continua a produrre errori silenziosi. In assenza di monitoraggio, DMARC rischia di diventare solo una riga nel DNS, non un presidio reale di sicurezza.

Il punto più delicato è che la posta elettronica aziendale raramente passa da un solo canale. Nel tempo si accumulano piattaforme, vecchi server, gestionali, newsletter, account configurati manualmente, inoltri automatici e servizi terzi. Una configurazione che anni fa sembrava corretta può non esserlo più oggi, soprattutto se nessuno ha mai ricostruito davvero tutte le sorgenti che inviano email per conto del dominio.

Cosa fare adesso

Hai un tecnico o un’agenzia che gestisce la tua posta?

Contattali e chiedi una verifica esplicita su questi quattro punti:

1. Il record SPF è presente, corretto e ottimizzato, entro il limite dei 10 lookup?
2. Tutte le sorgenti che inviano email per conto del dominio sono state mappate?
3. DKIM è configurato per tutte le sorgenti di invio, non solo per il client principale?
4. Le piattaforme esterne, come CRM, newsletter, gestionali e ticketing, firmano correttamente con DKIM?
5. È presente un record DMARC con una policy coerente con lo stato reale della configurazione?
6. I report DMARC vengono monitorati regolarmente e interpretati da qualcuno?
7. Esistono vecchi server, relay, inoltri automatici o account configurati manualmente che possono generare invii non allineati?

Non dare per scontato che sia già tutto a posto. La posta “che funziona” non è la stessa cosa della posta “correttamente autenticata”.

Gestisci direttamente la tua infrastruttura IT?

Segui il percorso raccomandato dall’ACN:

1. Avvia DMARC in modalità `p=none` con indirizzi di report configurati.
2. Analizza i report per 2–4 settimane e mappa tutte le sorgenti reali di invio.
3. Verifica che SPF includa solo le sorgenti necessarie e che resti entro il limite dei 10 lookup.
4. Configura DKIM in modo completo su tutte le sorgenti, comprese piattaforme newsletter, CRM, ERP, gestionali e sistemi automatici.
5. Controlla che non esistano vecchi server, relay, MTA dimenticati, forwarding o account configurati in modo incoerente.
6. Passa progressivamente a `p=quarantine` e poi a `p=reject` solo quando la configurazione è stabile e verificata.

In sintesi

Le linee guida pubblicate dall’ACN chiariscono un punto che per anni è stato sottovalutato: la posta elettronica non è un servizio “che funziona o non funziona”, ma un’infrastruttura che deve essere configurata, monitorata e governata.

SPF, DKIM e DMARC non sono più elementi opzionali o tecnici “da specialisti”: sono il livello minimo per garantire affidabilità, protezione del dominio e continuità operativa nelle comunicazioni.

Il punto, però, non è soltanto pubblicare tre record DNS. Il vero lavoro consiste nel verificare se la posta aziendale rispecchia ancora il modo in cui l’organizzazione comunica oggi: server autorizzati, piattaforme esterne correttamente firmate, relay chiusi, account configurati in modo coerente e report DMARC realmente monitorati.

In questo scenario, il vero rischio non è solo subire un attacco, ma non accorgersi che qualcosa non sta funzionando correttamente: email che non arrivano, dominio utilizzato da terzi, reputazione compromessa senza segnali evidenti.

Le indicazioni dell’ACN offrono oggi un riferimento chiaro. Il punto non è tanto “implementarle”, ma essere consapevoli dello stato reale della propria infrastruttura email e delle sue implicazioni in termini di sicurezza e conformità.

Se vuoi capire perché una configurazione email apparentemente corretta può comunque generare errori, blocchi o segnali compatibili con spoofing e phishing, leggi anche il nostro approfondimento su vecchi server, relay configurati male, newsletter non allineate e report DMARC ignorati.

LEGGI L'APPROFONDIMENTO

Fonte ufficiale: ACN — Framework di Autenticazione per la Posta Elettronica Articolo redatto da Alchimie Digitali

FAQ

Le linee guida ACN sono obbligatorie per tutte le aziende?

Il framework non introduce scadenze obbligatorie universali, ma è integrato con gli obblighi NIS 2 e del Perimetro di Sicurezza Nazionale per i soggetti rientranti in quelle normative. Per tutte le altre organizzazioni rappresenta una raccomandazione tecnica ufficiale che è prudente seguire.

Come verifico se il mio dominio è già configurato correttamente?

Puoi usare strumenti online come MXToolbox o mail-tester.com per una prima verifica autonoma. Per un’analisi completa di tutte le sorgenti di invio e della deliverability, è consigliabile affidarsi a un tecnico specializzato.

Quanto tempo richiede la configurazione?

Per un’azienda con un unico provider (Google Workspace o Microsoft 365) la configurazione base richiede poche ore. Per organizzazioni con più sorgenti di invio, la fase di monitoraggio e ottimizzazione richiede 2–4 settimane.

Se uso Microsoft 365 o Google Workspace sono già a posto?

Cosa rischio concretamente se non intervengo?

Le tue email possono finire nello spam o essere rifiutate senza che tu riceva notifiche di errore. Il tuo dominio rimane inoltre esposto all’uso fraudolento da parte di terzi, con potenziali danni alla tua reputazione e a quella dei tuoi contatti.

Avere SPF, DKIM e DMARC configurati significa essere al sicuro?

No. Significa avere una base tecnica importante, ma non basta se la configurazione non viene verificata e monitorata. SPF, DKIM e DMARC devono essere coerenti con tutte le sorgenti reali di invio: client di posta, CRM, newsletter, gestionali, sistemi automatici e servizi cloud. Inoltre i report DMARC devono essere letti con continuità, perché possono segnalare errori, invii non autorizzati o tentativi di abuso del dominio.

Perché una configurazione email vecchia può diventare un problema?

Perché nel tempo cambiano i provider, le piattaforme, i criteri antispam e il modo in cui l’azienda invia comunicazioni. Un dominio configurato anni fa può non includere più tutte le sorgenti corrette, può avere vecchi server ancora attivi o può inviare email da sistemi non allineati con SPF, DKIM e DMARC. Per questo la posta elettronica va verificata periodicamente, non solo configurata una volta.

NIS2 2026: nuovi adempimenti ACN, scadenze e cosa devono fare davvero i soggetti interessati

L’ACN ha pubblicato nuove determinazioni sugli adempimenti NIS2 per i soggetti inseriti nel 2026 e ha aggiornato le modalità di accesso e utilizzo della piattaforma digitale ACN. Il punto chiave è questo: la fase “dichiarativa” sta lasciando spazio a una fase più operativa, strutturata e verificabile.

Come indicato nella comunicazione ufficiale ACN sulle nuove determinazioni NIS2, e nella determina completa ACN sulla piattaforma NIS, il quadro normativo entra ora in una fase pienamente operativa.

Non basta più sapere di essere soggetti NIS. Ora bisogna organizzare ruoli, aggiornare correttamente i dati, censire i fornitori rilevanti, classificare attività e servizi e rispettare una roadmap precisa.

Cosa cambia davvero nel 2026

Il 13 aprile 2026 segna il passaggio dalla teoria all’operatività. L’ACN non si limita più a identificare i soggetti, ma impone un modello strutturato di gestione.

Non si tratta di un aggiornamento burocratico. È un cambio di paradigma: la cybersicurezza diventa governance, responsabilità e capacità dimostrabile.

Le scadenze per i soggetti NIS inseriti nel 2026

Per i soggetti che entrano nel perimetro NIS nel 2026, la roadmap è chiara:

31 maggio 2026 → Designazione sostituto punto di contatto
1 maggio – 30 giugno 2026 → Categorizzazione attività e servizi
31 dicembre 2026 → Designazione referente CSIRT
1 gennaio 2027 → Obbligo notifica incidenti
31 luglio 2027 → Adozione misure di sicurezza di base

Attenzione: queste scadenze non sono universali ma dipendono dalla data di inclusione nel perimetro NIS.

La piattaforma ACN: il vero centro della compliance

La piattaforma digitale ACN non è un semplice portale. È il punto centrale di:

registrazione
aggiornamento annuale
aggiornamento continuo
categorizzazione servizi

Tutte le comunicazioni ufficiali passano da qui. La qualità dei dati inseriti diventa parte integrante della compliance.

Aggiornamento annuale: cosa va davvero gestito

Dal 15 aprile al 31 maggio, ogni soggetto NIS deve aggiornare:

dati anagrafici e legali
organi di amministrazione
IP e domini
servizi erogati
referente CSIRT
fornitori rilevanti

Non è una formalità. È un processo di allineamento tra organizzazione reale e rappresentazione verso ACN.

Fornitori rilevanti: la sicurezza esce dall’azienda

La determina introduce un punto chiave: la sicurezza della supply chain.

I soggetti NIS devono censire i fornitori che:

forniscono servizi ICT
oppure sono critici per la continuità operativa

Per ciascun fornitore vanno indicati dati, paese, CPV e criterio di rilevanza.

Questo significa una cosa: la sicurezza non è più perimetro, ma ecosistema.

Categorizzazione attività e servizi: il vero nodo strategico

Dal 1 maggio al 30 giugno, ogni soggetto deve classificare le proprie attività e servizi.

Questa attività non è solo descrittiva. È la base per:

analisi di impatto (BIA)
definizione delle priorità
costruzione della sicurezza

ACN può verificare a campione e richiedere modifiche.

Ruoli NIS2: non sono nomine simboliche

I ruoli chiave sono:

Punto di contatto
Sostituto punto di contatto
Referente CSIRT

Devono essere persone reali, operative e competenti. In particolare, il referente CSIRT deve essere in grado di gestire incidenti e interfacciarsi con CSIRT Italia.

Il punto critico: la responsabilità è del management

La NIS2 non è un tema IT.

È responsabilità degli organi di amministrazione e direttivi.

Questo comporta:

responsabilità diretta
necessità di governance
obbligo di controllo e supervisione

Chi delega senza controllo è esposto.

Verifiche ACN: non è più un’autodichiarazione

L’ACN può:

verificare le informazioni
chiedere integrazioni
contestare incongruenze

La compliance deve essere coerente, difendibile e documentata.

Cosa devono fare ora le aziende

Le aziende devono partire da qui:

chiarire il perimetro NIS
definire i ruoli
mettere ordine su asset e servizi
censire i fornitori
prepararsi alla categorizzazione
strutturare governance e processi

Chi parte dalla piattaforma senza struttura rischia di costruire una compliance fragile.

Vuoi capire davvero se sei conforme NIS2?

La differenza non è tra chi ha compilato la piattaforma e chi no, ma tra chi ha costruito una struttura solida e chi ha solo dichiarato di averlo fatto.

Se vuoi fare chiarezza sul tuo perimetro NIS, sui fornitori rilevanti e su cosa devi davvero mettere in piedi nei prossimi mesi, puoi confrontarti con noi. Analizziamo la tua situazione attuale e ti diamo una lettura concreta, senza teoria inutile.

Richiedi un confronto diretto qui:

Self-Assessment NIS2

Nota importante: questo strumento non è sostitutivo di una gap analysis ma fornisce una valutazione orientativa. Non sostituisce una consulenza legale né un audit tecnico certificato. Le risposte restano solo nel browser e vengono perse alla chiusura della pagina.

FAQ

Cosa cambia con la determina ACN del 2026?

Introduce nuove scadenze, rafforza l’uso della piattaforma ACN e impone una gestione più strutturata di dati, fornitori e servizi.

Quando scatta l’obbligo di notifica incidenti?

Dal 1 gennaio 2027 per i soggetti inseriti nel 2026.

Chi è il referente CSIRT?

È la figura incaricata di gestire le comunicazioni con CSIRT Italia e notificare gli incidenti.

La NIS2 riguarda anche i fornitori?

Sì. I fornitori rilevanti devono essere censiti e valutati.

La responsabilità è dell’IT?

No. È degli organi di amministrazione e direttivi.

NIS2: perché molte aziende si fermano all’analisi (e cosa succede dopo)

NIS2: perché molte aziende si fermano all’analisi (e cosa succede dopo)

Basta una gap analysis per essere conformi alla NIS2? No, non basta. Eppure questa è la trappola in cui stanno cadendo molte organizzazioni italiane: commissionano un’analisi iniziale, ricevono una fotografia della loro situazione e si fermano lì.

Non per disinteresse. Non per mancanza di comprensione. Ma perché adeguarsi alla NIS2 è un percorso strutturato, non un documento da archiviare e molte aziende non sono ancora pronte ad affrontarlo nella sua interezza.

Il rischio sottovalutato di fermarsi alla sola analisi

La gap analysis è necessaria: serve a capire dove si è, quali sono le criticità reali e quali i rischi prioritari. Ma sapere dove sono i problemi non li risolve. Avere un documento, una checklist o un report non equivale a essere conformi.

La NIS2 non richiede consapevolezza. Richiede azione.

Fermarsi all’analisi genera un problema specifico e spesso sottovalutato: la falsa sicurezza. L’azienda crede di aver “fatto qualcosa”, mentre di fatto non ha ancora intrapreso nulla di strutturalmente rilevante ai fini della normativa.

Cosa significa davvero adeguarsi alla NIS2

In Italia la NIS2 è stata recepita con il D.Lgs. 138/2024, in vigore dal 18 ottobre 2024. L’autorità competente è l’ACN (Agenzia per la Cybersicurezza Nazionale) che gestisce il portale NIS, definisce le specifiche tecniche e supervisiona la conformità.

La normativa introduce un meccanismo di adeguamento progressivo, che parte dalla comunicazione ufficiale di ACN con cui l’azienda viene inserita nell’elenco dei soggetti essenziali o importanti. Da quel momento scattano due scadenze precise e non negoziabili:

Entro 9 mesi dalla comunicazione ACN: devono essere attivi i processi di gestione e notifica degli incidenti significativi al CSIRT Italia.
Entro 18 mesi dalla comunicazione ACN: devono essere implementate tutte le misure tecniche e organizzative di sicurezza previste dal decreto.

Poiché le prime comunicazioni ACN sono partite ad aprile 2025, per la maggior parte dei soggetti questi termini scadono rispettivamente a gennaio 2026 e ottobre 2026.

L’adeguamento richiede interventi concreti su più livelli: misure tecniche reali, processi aziendali strutturati, formazione del personale, sistemi di monitoraggio attivi, procedure di gestione degli incidenti definite e testate. Non è un documento. È un sistema che deve funzionare.

Ed è, soprattutto, una responsabilità diretta del management: il D.Lgs. 138/2024 prevede per i soggetti essenziali sanzioni fino a 10 milioni di euro o il 2% del fatturato mondiale annuo, con responsabilità personali anche per le figure di direzione e controllo.

Il punto di contatto CSIRT: cosa è davvero (e cosa non è)

Uno degli elementi più citati — e più fraintesi — della NIS2 è il punto di contatto CSIRT. Chiarire cosa sia realmente è fondamentale per non costruire su basi errate.

Il punto di contatto CSIRT è il riferimento ufficiale dell’organizzazione verso il Computer Security Incident Response Team nazionale per la notifica degli incidenti, la gestione delle comunicazioni ufficiali e il coordinamento in caso di eventi critici.

Avere il punto di contatto non significa però essere conformi. È solo uno degli elementi richiesti.

Ciò che fa davvero la differenza non è il titolo della persona che ricopre il ruolo, ma il contesto organizzativo in cui opera. Può essere anche una figura interna non strettamente tecnica, a condizione che sia inserita in una struttura che le consenta di agire correttamente: con processi chiari di gestione degli incidenti, supporto tecnico adeguato, strumenti di monitoraggio e procedure interne definite.

Le competenze necessarie sono distribuite, non individuali: capacità di coordinamento, comprensione dei processi aziendali, accesso a competenze tecniche, capacità di attivare le procedure corrette nei tempi richiesti dalla normativa, pre-notifica entro 24 ore, notifica formale entro 72 ore, relazione finale entro 30 giorni.

La domanda giusta non è “chi è il punto di contatto?” ma “quanto l’azienda è pronta a supportarlo?”

Un approccio sostenibile: il percorso a fasi

Proprio per questa complessità, il modo corretto di affrontare la NIS2 non è un pacchetto unico e rigido. È un percorso progressivo, costruito per accompagnare l’organizzazione nel tempo senza bloccarla.

Il percorso si articola in fasi con obiettivi e output precisi: analisi reale dello stato attuale, definizione delle priorità e della roadmap, formazione del board e del management, implementazione tecnica delle misure, formazione operativa e adeguamento dei processi, monitoraggio e continuità operativa.

La formazione del board è un passaggio chiave, spesso sottovalutato. La NIS2 responsabilizza esplicitamente i vertici aziendali: i dirigenti devono seguire percorsi formativi sulla sicurezza informatica, approvare le politiche di sicurezza e monitorarne l’implementazione. Prima di intervenire sull’azienda, chi prende le decisioni deve avere piena consapevolezza dei rischi e delle proprie responsabilità personali.

Strutturare il percorso a fasi consente all’azienda di iniziare, valutare, comprendere il valore del lavoro svolto e decidere come proseguire, senza vincoli insostenibili e senza rischiare di paralizzarsi di fronte alla complessità complessiva.

Adeguamento NIS2: dalla strategia all’operatività, con un unico partner

Adeguarsi alla NIS2 è obbligatorio. Il modo in cui ci si arriva deve essere sostenibile.

Il valore di avere un unico partner lungo tutto il percorso, dalla prima analisi fino alla piena operatività, sta proprio in questo: non si limita a indicare i problemi, ma li affronta e li risolve insieme all’azienda. Nella definizione della strategia, nella formazione del management, nell’implementazione tecnica, nella riorganizzazione dei processi, nella continuità operativa.

Il primo passo: consapevolezza reale della propria situazione

Il momento più delicato è spesso proprio l’inizio. Prendere consapevolezza delle proprie vulnerabilità non è comodo. Ma è inevitabile.

Se la tua azienda rientra tra i soggetti NIS2, perché opera in uno dei 18 settori previsti, perché supera determinate soglie dimensionali, o perché è parte di una filiera rilevante, non si tratta più di valutare se adeguarsi. Si tratta di capire come farlo, con quali priorità e con quale sostenibilità.

Il primo passo è sempre un’analisi reale dello stato attuale. Solo così è possibile costruire una roadmap efficace e iniziare nel modo giusto.

La NIS2 non si acquista. Si costruisce. È un percorso, non un documento. L’importante non è iniziare tutto subito: è iniziare nel modo giusto.

Parliamone

FAQ

Cosa succede se non mi adeguo alla NIS2?

Il mancato adeguamento espone l’azienda a sanzioni significative — fino a 10 milioni di euro o il 2% del fatturato per i soggetti essenziali, fino a 7 milioni o l’1,4% per i soggetti importanti — oltre a responsabilità personali del management e a rischi operativi concreti in caso di incidente informatico.

La NIS2 riguarda anche la mia azienda?

Molte organizzazioni non sanno di rientrare nella normativa. Se operi in uno degli 11 settori altamente critici o nei 7 settori critici previsti dal decreto, o se sei fornitore di un soggetto NIS2, potresti essere coinvolto anche senza saperlo.

Chi è responsabile della compliance NIS2 in azienda?

La responsabilità non è solo tecnica: ricade sul management. Il D.Lgs. 138/2024 prevede che i vertici aziendali garantiscano l’adozione e il funzionamento delle misure, con responsabilità personali espressamente normate.

Serve cambiare tutta l’infrastruttura IT?

Non necessariamente. Ma nella maggior parte dei casi è necessario intervenire su configurazioni, processi e strumenti per raggiungere il livello di sicurezza richiesto dalle specifiche di base ACN.

Quanto tempo ho per adeguarmi?

Dalla comunicazione ufficiale di ACN hai 9 mesi per attivare il sistema di notifica degli incidenti e 18 mesi per implementare le misure di sicurezza complete. Chi ha ricevuto la comunicazione ad aprile 2025 ha le scadenze rispettivamente a gennaio e ottobre 2026.

Cos’è il punto di contatto CSIRT nella NIS2?

È il riferimento ufficiale verso il CSIRT nazionale per notifiche e gestione degli incidenti. Da solo non garantisce la conformità: deve essere supportato da processi, strumenti e competenze distribuite all’interno dell’organizzazione.

Posso fare tutto internamente?

Alcune attività possono essere gestite internamente, ma la definizione della strategia, la corretta implementazione tecnica e il rispetto delle scadenze normative richiedono quasi sempre il supporto di un partner esperto.

Workshop – NIS2: La Strada È Chiara. 9 mesi per essere pronti. 18 per essere solidi.

NIS2: La Strada È Chiara

9 mesi per essere pronti. 18 per essere solidi.

Gli aggiornamenti ACN di fine 2025 hanno segnato un punto di svolta: la NIS2 non è più un labirinto interpretativo, ma un percorso misurabile e strutturabile.

Oggi la domanda non è solo “Cosa prevede la norma?”
La domanda è: la tua azienda è pronta a dimostrare di essere conforme?

Il 20 marzo 2026 Alchimie Digitali Srl organizza un workshop operativo in presenza, dedicato alle aziende soggette alla Direttiva NIS2, pensato per trasformare l’obbligo normativo in metodo concreto e verificabile.

VENERDÌ 20 MARZO 2026 | 11:00 - 13:00

Giorno(s)

Ore(s)

Minuto(i)

Second(s)

Prenota il tuo posto

Perché partecipare

Il workshop offrirà:

Un inquadramento chiaro e aggiornato del contesto normativo NIS2 alla luce delle indicazioni ACN 2025
Una lettura operativa delle responsabilità del management
Un collegamento diretto tra norma, organizzazione e processi aziendali
Una roadmap concreta 9 mesi / 18 mesi

Non sarà un incontro teorico, ma un momento di approfondimento strutturato che unisce quadro normativo e applicazione pratica.

La NIS2 oggi si misura su elementi concreti:

Governance e responsabilità
Identificazione del perimetro e gestione del rischio
Misure di sicurezza documentate
Monitoraggio continuo e capacità di rilevamento
Gestione e notifica degli incidenti
Ripristino e continuità operativa

Cosa affronteremo durante l’incontro

Durante il workshop analizzeremo:

Gli aggiornamenti ACN 2025 e cosa comportano per le imprese
Le responsabilità dirette del management
Il processo di gestione degli incidenti e le tempistiche di notifica verso CSIRT e ACN
Il monitoraggio continuo di apparati, reti e servizi
Le evidenze documentali richieste in caso di verifica
La roadmap operativa: cosa deve esistere entro 9 mesi e cosa deve essere consolidato entro 18 mesi

L’obiettivo è fornire ai partecipanti una visione integrata tra norma, organizzazione e strumenti operativi.

Sessione finale: autovalutazione guidata NIS2

Nella parte conclusiva dell’evento proporremo un momento di autovalutazione strutturata.

Un questionario articolato in 15 indicatori chiave (75 punti complessivi) che consente di comprendere il livello attuale di preparazione dell’organizzazione rispetto agli obblighi NIS2.

Si tratta di uno strumento di presa di consapevolezza, pensato per aiutare aziende, IT Manager, Legal e Direzione a capire:

Quali elementi sono già presenti
Quali aspetti devono essere formalizzati
Dove manca monitoraggio o verifica
Quali aree richiedono priorità di intervento

Non è un audit. Non è una verifica formale. È un momento di analisi strutturata del proprio stato di avanzamento.

La NIS2 non è una questione di punteggio. È una questione di organizzazione, responsabilità ed evidenze.

Iscrizione

Se la tua azienda è soggetta alla NIS2 o sta valutando il proprio livello di conformità, questo workshop rappresenta un’occasione concreta per fare chiarezza e definire le priorità.A chi è rivolto

Il workshop è rivolto a:

IT Manager e Responsabili Cybersecurity
Legal e Compliance Officer
CEO e Direzione Generale

Particolarmente indicato per aziende con sede a Modena, in Emilia-Romagna e nel Nord Italia, ma aperto a organizzazioni su tutto il territorio nazionale.

Modalità e luogo

Il workshop si svolgerà esclusivamente in presenza.

Data: 20 Marzo 2026
Orario: 11:00 – 13:00
Sede: Alchimie Digitali Srl
Via Elia Rainusso 110 – 41124 Modena (MO)

Non è prevista modalità online o ibrida. La scelta dell’incontro in presenza nasce dalla volontà di favorire confronto diretto e dialogo tra professionisti.

Posti limitati, perciò per mantenere un contesto di confronto diretto e favorire la qualità dell’interazione tra i partecipanti, le richieste di partecipazione saranno confermate fino a esaurimento posti.

La conferma verrà inviata via mail una volta completata valutate le candidature previa registrazione.

FAQ

Cos’è la Direttiva NIS2 e chi riguarda?

La Direttiva NIS2 è la normativa europea che rafforza gli obblighi di cybersecurity per aziende considerate essenziali o importanti. In Italia è recepita e monitorata da ACN (Agenzia per la Cybersicurezza Nazionale). Riguarda imprese di diversi settori strategici e realtà che forniscono servizi critici o digitali.

Quali sono le principali novità degli aggiornamenti ACN 2025?

Gli aggiornamenti ACN 2025 hanno chiarito responsabilità del management, obblighi di notifica degli incidenti, requisiti di monitoraggio continuo e necessità di evidenze documentali verificabili. L’attenzione si sposta dalla teoria alla dimostrabilità delle misure adottate.

Cosa significa essere conformi alla NIS2?

Essere conformi alla NIS2 significa avere governance formalizzata, analisi del rischio aggiornata, misure di sicurezza documentate, monitoraggio continuo attivo, gestione strutturata degli incidenti e piani di ripristino verificati. Non basta avere strumenti: servono processi tracciabili.

Entro quando bisogna adeguarsi alla NIS2?

imi strutturali; entro 18 mesi occorre consolidare e rendere verificabile l’intero sistema organizzativo e tecnico.

Cosa succede se un’azienda non è conforme alla NIS2?

La mancata conformità può comportare sanzioni amministrative, responsabilità del management e impatti reputazionali. Inoltre, in caso di incidente informatico, l’assenza di evidenze organizzative può aggravare la posizione dell’azienda.

Il workshop è utile anche per CEO non tecnici?

Sì. Il workshop è progettato per essere comprensibile anche ai CEO e alla Direzione Generale. Non richiede competenze tecniche avanzate, ma offre una visione chiara delle responsabilità organizzative e decisionali.

È previsto supporto successivo all’evento?

Sì. Le aziende interessate potranno richiedere un approfondimento o un percorso strutturato di adeguamento NIS2 attraverso audit, roadmap operative e affiancamento tecnico-organizzativo.

« Post precedenti