In sintesi – SPF, DKIM e DMARC proteggono il dominio aziendale solo se rispecchiano davvero tutte le sorgenti di invio: server interni, CRM, newsletter, gestionali e piattaforme esterne. Una configurazione realizzata anni fa può non includere più i servizi aggiunti nel tempo, lasciando il dominio esposto a spoofing e impersonificazione. DMARC produce report che segnalano fallimenti e tentativi di abuso ma solo se qualcuno li legge e li interpreta. La posta elettronica aziendale non va solo fatta funzionare: va governata.

La posta elettronica aziendale è uno di quei servizi che vengono dati per scontati fino al giorno in cui qualcosa smette di funzionare. Una newsletter finisce nello spam. Un gestionale non recapita più le notifiche. Un cliente riceve una falsa richiesta di pagamento. Un fornitore segnala un messaggio sospetto. Oppure il dominio aziendale viene usato — o tentato di essere usato — per inviare email che sembrano legittime ma non lo sono.

In molti casi, quando si comincia a indagare, la risposta è sempre la stessa: “Ma la posta ha sempre funzionato.”

Ed è proprio qui il problema.

Una configurazione che sembrava corretta dieci anni fa non è detto che sia corretta oggi. Nel frattempo sono cambiati i provider, sono aumentate le piattaforme esterne, sono entrati in azienda CRM, gestionali, sistemi di ticketing, newsletter, servizi cloud, firme automatiche, inoltri, vecchi server rimasti accesi e account configurati manualmente. La posta elettronica non passa più soltanto dal “server mail dell’azienda”. Spesso esce da molti punti diversi: non sempre censiti, non sempre autorizzati, non sempre firmati correttamente.

SPF, DKIM e DMARC servono proprio a mettere ordine in questo scenario. Ma pubblicare tre record DNS non basta. Il vero lavoro è capire se quei record descrivono davvero il modo in cui l’azienda invia email ogni giorno.

La posta elettronica nasce in un mondo che non esiste più

I primi esperimenti di posta elettronica di rete risalgono al 1971, in un contesto tecnico radicalmente diverso da quello attuale. Allora non esistevano phishing industrializzato, spoofing di dominio, piattaforme marketing cloud, CRM con invii automatici, portali SaaS o supply chain digitali complesse.

L’email si è evoluta nel tempo aggiungendo controlli, policy e strumenti di autenticazione sopra un modello nato quando il livello di fiducia della rete era incomparabilmente più alto. Questo spiega perché molte configurazioni “storiche” continuano a funzionare tecnicamente, ma non sono più adeguate dal punto di vista della sicurezza, della recapitabilità e della governance.

Un server può ancora inviare posta. Un account può ancora spedire messaggi. Un gestionale può ancora produrre notifiche. Una newsletter può ancora partire. Ma questo non significa che tutto sia coerente con SPF, DKIM e DMARC, né che il dominio aziendale sia protetto da abusi o errori silenziosi.

Nel 2026, il tema non è più solo “la posta funziona?”. La domanda corretta è: la posta esce davvero dai server che il dominio dichiara come autorizzati?

SPF, DKIM e DMARC non sono decorazioni DNS

SPF, DKIM e DMARC vengono spesso trattati come tre voci tecniche da sistemare una volta sola. In realtà sono tre strumenti distinti, che funzionano bene soltanto se rappresentano fedelmente l’infrastruttura reale di invio.

SPF indica quali server sono autorizzati a inviare posta per conto di un dominio. Il problema è che molte aziende, nel tempo, accumulano servizi su servizi: Microsoft 365, Google Workspace, CRM, piattaforme newsletter, gestionali, sistemi di fatturazione, ticketing, portali HR, software verticali. Ogni servizio deve essere incluso correttamente. Ma SPF ha anche un limite tecnico critico: la valutazione non deve superare i 10 meccanismi che causano query DNS aggiuntive (come definito dall’RFC 7208). Se il record diventa troppo esteso o disordinato, può fallire restituendo un PermError — proprio mentre cerca di autorizzare troppe sorgenti. E quando SPF fallisce in questo modo, DMARC perde uno dei suoi due pilastri di allineamento.

Il punto è questo: SPF, DKIM e DMARC non servono a “mettere il bollino” sulla posta. Servono a dichiarare, verificare e monitorare l’identità tecnica delle email aziendali.

Se ciò che è scritto nei DNS non corrisponde a ciò che accade davvero, DMARC comincia a mostrare il problema.

Quando DMARC segnala un fallimento, di solito ha ragione

DMARC non è capriccioso: confronta quello che il dominio dichiara con quello che i server riceventi osservano. Se una newsletter parte da una piattaforma non autorizzata, DMARC rileva un fallimento. Se un gestionale invia email senza DKIM configurato correttamente, DMARC rileva un fallimento. Se un account viene usato tramite il server SMTP sbagliato, DMARC rileva un fallimento. Se un vecchio server interno continua a spedire posta — anche se nessuno lo considera più parte dell’infrastruttura ufficiale — DMARC rileva un fallimento.

In altre parole, DMARC non scopre solo gli attacchi. Scopre anche il disordine.

E nelle aziende, il disordine della posta elettronica è molto più comune di quanto sembri.

Il problema dei vecchi server e delle configurazioni ereditate

Molte infrastrutture email aziendali non sono state progettate da zero in modo ordinato. Sono state costruite nel tempo: un provider cambiato, un server migrato, un gestionale aggiunto, una newsletter esternalizzata, un dominio secondario, un sistema di ticketing, un vecchio applicativo che manda notifiche automatiche, un server SMTP interno rimasto attivo “perché tanto serve ancora”.

Questa stratificazione genera debito tecnico. Non solo codice vecchio o software non aggiornato: anche una configurazione che nessuno ha più il coraggio, il tempo o la memoria storica per toccare. La posta continua a funzionare, quindi non viene analizzata. Ma nel frattempo i criteri antispam si sono irrigiditi, i grandi provider valutano con maggiore attenzione l’autenticazione, i clienti sono più esposti a tentativi di frode e i domini aziendali sono diventati asset reputazionali da proteggere.

Una configurazione email vecchia non è per forza sbagliata. Va verificata. Il rischio reale è che l’azienda continui a ragionare come se esistesse un solo server di posta, mentre nella realtà le email escono da molti sistemi diversi.

Open relay, server mal configurati e relay permissivi

Un tema spesso sottovalutato riguarda i relay. Un open relay è un server che consente a soggetti non autorizzati di inviare posta verso terzi: una configurazione che da decenni dovrebbe essere evitata, perché può essere sfruttata per spam e invii non controllati. Oggi un mailserver ben gestito non dovrebbe accettare traffico da open relay e dovrebbe affidarsi anche a controlli reputazionali, blacklist e meccanismi di blocco.

Ma non esistono solo gli open relay evidenti. Ci sono anche configurazioni meno appariscenti ma comunque problematiche: server con comportamenti troppo permissivi, MTA installati frettolosamente, vecchie macchine lasciate attive, applicativi che usano credenziali generiche, account configurati in modo da usare sempre lo stesso server SMTP anche quando il mittente appartiene a un dominio diverso.

In questi casi il problema può non sembrare grave: l’invio parte, il messaggio arriva, l’utente non vede errori. Ma dal punto di vista dell’autenticazione, quella posta può non essere coerente. Ed è qui che nascono molti fallimenti difficili da diagnosticare.

Il caso degli account multipli e del server di uscita sbagliato

Un esempio molto comune riguarda i client di posta configurati con più account. Un utente gestisce cinque, dieci, a volte decine di caselle condivise o alias. Se il client usa sempre lo stesso server SMTP di uscita — oppure se l’account principale spedisce messaggi per identità diverse senza controlli adeguati — il risultato può essere tecnicamente incoerente.

Dal punto di vista dell’utente è tutto normale: seleziona il mittente, scrive e invia. Dal punto di vista del server ricevente, però, il messaggio racconta un’altra storia: un dominio nel campo mittente, un server di invio non previsto, una firma DKIM assente o non allineata, una policy DMARC che non trova corrispondenza tra ciò che viene dichiarato e ciò che sta accadendo.

Un mailserver ben configurato dovrebbe governare queste situazioni. Ma molte infrastrutture non lo fanno, soprattutto quando sono nate per accumulo o per urgenza.

Le newsletter sono spesso il punto in cui il problema emerge

Le piattaforme newsletter rappresentano uno dei casi più frequenti. Un’azienda decide di inviare comunicazioni commerciali o informative usando una piattaforma esterna. Il reparto marketing carica i contatti, crea il template, imposta il mittente con il dominio aziendale e inizia a spedire. Tutto sembra funzionare.

Ma se la piattaforma non è stata autorizzata correttamente in SPF, se DKIM non è configurato sul dominio, se il dominio di ritorno non è allineato, o se DMARC è già impostato in modo restrittivo, la newsletter può generare fallimenti, finire nello spam o danneggiare la reputazione del dominio.

Il punto non è “la newsletter è fatta male”. Il punto è che ogni piattaforma che invia email per conto dell’azienda deve essere trattata come parte dell’infrastruttura email aziendale. CRM, ERP, gestionali, sistemi di marketing automation, portali per preventivi, software di assistenza, piattaforme di fatturazione e strumenti di ticketing devono essere mappati, verificati e configurati in modo coerente.

DMARC senza monitoraggio è un’occasione sprecata

Uno degli errori più frequenti è pubblicare DMARC e poi non leggere i report. Questo approccio trasforma DMARC in una semplice riga nel DNS, non in uno strumento di sicurezza operativo.

I report DMARC servono a ricostruire cosa accade al dominio: quali server stanno inviando email, quali passano SPF o DKIM, quali falliscono, quali sorgenti sono legittime ma non ancora configurate, quali invii sembrano sospetti. I report aggregati offrono il quadro complessivo; quelli di fallimento — quando disponibili e supportati dal sistema ricevente — forniscono informazioni più granulari sui singoli messaggi.

Questo significa che non basta “mettere l’indirizzo dei report”. Serve qualcuno, o qualcosa, che li riceva, li analizzi e li trasformi in decisioni operative.

Un dominio può avere DMARC attivo e continuare a essere configurato male. Un dominio può ricevere report pieni di segnali utili senza che nessuno li guardi. Un dominio può mostrare tentativi di abuso, sorgenti dimenticate o invii non conformi — e l’azienda se ne accorge solo quando il problema diventa visibile a un cliente, a un fornitore o a un sistema antispam.

I segnali tecnici: SpamAssassin, DMARC e l’intelligence operativa

In molte infrastrutture, i sistemi antispam non si limitano a decidere se una mail è buona o cattiva. Raccolgono segnali, applicano regole, verificano reputazione, autenticazione, contenuto e comportamento. SpamAssassin, per esempio, include un plugin DMARC che verifica se i messaggi rispettano la policy dichiarata e richiede che siano abilitati anche i controlli SPF e DKIM. In base alla configurazione, questi sistemi possono contribuire a rendere disponibili dati utili sui fallimenti.

Il principio è importante: l’autenticazione email produce segnali tecnici che possono essere raccolti, analizzati e usati per capire cosa accade davvero. Senza monitoraggio, quei segnali restano rumore. Con il monitoraggio, diventano intelligence operativa.

Il rischio più serio non è lo spam: è l’impersonificazione

Quando si parla di SPF, DKIM e DMARC, molte aziende pensano prima di tutto alla recapitabilità. “Mi serve per non finire nello spam.” È vero, ma è solo una parte del problema.

Il tema più serio è l’impersonificazione. Se un attaccante riesce a inviare email che sembrano provenire dal dominio aziendale, può tentare frodi verso clienti, fornitori, amministrazione, direzione o reparti sensibili: una falsa richiesta di pagamento, una modifica IBAN, una comunicazione tecnica contraffatta, una richiesta urgente del management.

Quando l’attacco è rivolto a figure apicali o soggetti ad alto valore, si parla spesso di whaling — una forma mirata di phishing. In questo contesto, DMARC non elimina il rischio, ma può ridurre la possibilità che email non allineate al dominio vengano considerate legittime dai server riceventi, e può aiutare a ricostruire tentativi di abuso attraverso i report.

Il punto non è poter dire “avevamo DMARC”. Il punto è poter dimostrare che il dominio è stato configurato, monitorato e governato in modo coerente nel tempo.

Il falso senso di sicurezza: “abbiamo Microsoft 365” o “abbiamo Google Workspace”

Microsoft 365 e Google Workspace offrono strumenti solidi per la gestione della posta, ma non risolvono automaticamente tutto ciò che ruota intorno al dominio aziendale. Se tutte le email partissero solo da Microsoft o solo da Google, la situazione sarebbe più semplice. Ma raramente è così.

Molte aziende usano piattaforme esterne per newsletter, CRM, fatturazione, ticketing, preventivi, gestionali, e-commerce, portali clienti, sistemi di notifica, software verticali. Alcune usano più domini. Altre hanno sottodomini. Altre ancora hanno vecchi server interni che continuano a inviare email per applicativi legacy.

La domanda giusta non è: “Uso Microsoft 365 o Google Workspace, sono a posto?”

La domanda giusta è: tutte le email che sembrano uscire dal mio dominio passano davvero da sorgenti autorizzate, firmate e monitorate?

Cosa dovrebbe controllare un’azienda

Un controllo serio della posta elettronica aziendale non si limita a verificare se SPF, DKIM e DMARC esistono. Deve ricostruire il perimetro reale. In concreto, bisogna verificare quali domini e sottodomini inviano email, quali server sono autorizzati da SPF, se il record SPF supera o rischia di superare il limite dei 10 lookup DNS, quali piattaforme esterne inviano email per conto dell’azienda e se tutte firmano correttamente con DKIM. Vanno verificati l’allineamento DKIM al dominio mittente, la policy DMARC attiva (osservazione, quarantena o rifiuto), dove arrivano i report e chi li interpreta con quale frequenza. Non vanno trascurati i vecchi server SMTP, MTA, relay, inoltri o applicativi legacy, né i client di posta con account multipli che potrebbero usare server di uscita incoerenti. Vanno mappati newsletter, CRM, ERP e gestionali, e vanno analizzati i segnali di spoofing, abuso o configurazioni non autorizzate.

Questa analisi non serve solo a “mettere a posto la posta”. Serve a ridurre una superficie di rischio che spesso resta invisibile finché non produce un danno reale.

Cosa succede quando si passa troppo presto a DMARC reject

Impostare DMARC con policy p=reject può essere la scelta giusta, ma solo quando l’infrastruttura è stata mappata e verificata. Passare troppo presto a una policy restrittiva può bloccare email legittime: newsletter, notifiche di gestionali, messaggi automatici, comunicazioni da CRM, sistemi di ticketing o applicativi verticali.

Per questo l’approccio corretto è progressivo: prima si osserva, poi si mappano le sorgenti, poi si correggono SPF e DKIM, poi si analizzano i report, poi — con ragionevole certezza che gli invii legittimi siano allineati — si passa a una policy più restrittiva.

DMARC non deve essere usato come interruttore. Deve essere usato come processo.

Una configurazione email va mantenuta, non solo realizzata

La posta elettronica aziendale non è un impianto che si configura una volta e poi si dimentica. Ogni nuovo servizio può cambiare lo scenario. Ogni nuovo CRM può aggiungere una sorgente di invio. Ogni nuova piattaforma newsletter può richiedere una firma DKIM. Ogni cambio provider può modificare SPF. Ogni vecchio server lasciato acceso può continuare a produrre traffico non documentato. Ogni report DMARC ignorato può nascondere un segnale importante.

La sicurezza della posta elettronica deve entrare nella manutenzione ordinaria dell’infrastruttura IT — non come attività estetica, ma come presidio di sicurezza, continuità operativa e reputazione digitale.

In sintesi

SPF, DKIM e DMARC sono strumenti fondamentali, ma non bastano se vengono trattati come semplici record DNS da pubblicare una volta e dimenticare. Il tema centrale è la coerenza tra ciò che il dominio dichiara e ciò che l’azienda fa davvero quando invia email. Se la posta esce da server vecchi, piattaforme non censite, CRM non configurati, newsletter senza firma DKIM, account multipli con SMTP incoerenti o relay gestiti male, DMARC fa emergere il problema. E se nessuno legge i report, il problema resta lì.

Una configurazione email che funzionava dieci anni fa non è automaticamente adeguata oggi. Nel frattempo sono cambiati i rischi, i controlli, le aspettative dei provider, la complessità delle infrastrutture e il valore del dominio come identità digitale.

La posta elettronica non va solo fatta funzionare. Va governata.

Parla con Alchimie Digitali per una verifica della configurazione email aziendale. Se vuoi capire se la tua posta aziendale è davvero configurata in modo coerente, non limitarti a controllare che “funzioni”. Verifica da dove escono le email, chi le firma, quali server sono autorizzati e chi sta leggendo i segnali che DMARC produce.

FAQ

Safer Internet Day 2026: sicurezza online, comportamenti digitali e responsabilità per le imprese

Oggi, 10 febbraio, si celebra il Safer Internet Day 2026, la giornata internazionale promossa a livello europeo per riflettere sull’uso sicuro e consapevole di Internet. Il tema di quest’anno è incentrato in particolare sul rapporto tra giovani e intelligenza artificiale, affiancato – come da tradizione – dall’attenzione ai fenomeni di cyberbullismo e comportamenti digitali a rischio.

Un approccio importante, ma che riguarda solo una parte del problema.

Dal punto di vista delle imprese, la sicurezza online non è una questione di sensibilizzazione occasionale: è un tema strutturale, continuo, che coinvolge tecnologia, persone e responsabilità legali. Ed è proprio da qui che vogliamo partire.

Navigare sicuri in rete: cosa significa davvero per un’azienda

Sicurezza online in azienda: dal “tool” al rischio misurabile

In azienda, la sicurezza online non è un prodotto: è una riduzione del rischio.

Per un’organizzazione, “navigare sicuri in rete” non significa semplicemente evitare contenuti pericolosi o adottare buone pratiche individuali. Significa ridurre il rischio digitale complessivo che può impattare su dati, operatività e reputazione.

Navigare in modo sicuro significa:

• proteggere dati e informazioni aziendali
• ridurre l’esposizione a incidenti informatici
• prevenire accessi non autorizzati e abusi
• governare l’uso degli strumenti digitali
• limitare rischi operativi, reputazionali e legali

La sicurezza online, in ambito aziendale, va quindi letta come processo di governance, non come semplice adozione di strumenti tecnici.

Quando il fattore umano diventa il punto debole (e come ridurre il rischio)

Il rischio più comune non è una falla: è un comportamento

Il fattore umano non è “il problema”: è il perimetro più esposto.

Molti incidenti informatici non hanno origine da una vulnerabilità tecnologica, ma da comportamenti digitali non governati. Email, chat, piattaforme collaborative e social network sono oggi parte integrante anche dei contesti lavorativi, e introducono dinamiche relazionali che, se trascurate, possono trasformarsi in rischio.

Fenomeni come molestie digitali, conflitti online, uso improprio degli strumenti aziendali o escalation di comportamenti ostili rappresentano spesso il primo anello di una catena che può portare a problemi ben più concreti.

Cosa insegna la lotta al cyberbullismo quando il digitale entra in azienda

Quando le dinamiche online diventano policy, procedure e responsabilità

Senza regole chiare, il digitale amplifica conflitti e ambiguità.

Da anni, accanto all’attività tecnica e consulenziale, opera anche l’esperienza dell’APS Zemian Dojo, impegnata nella lotta al cyberbullismo e nello studio delle dinamiche relazionali online.
Il lavoro svolto dall’associazione evidenzia un punto chiave anche per il mondo aziendale: la sicurezza digitale non dipende solo dalla tecnologia, ma dai comportamenti delle persone che la utilizzano.

Le stesse logiche che alimentano il cyberbullismo – mancanza di consapevolezza, uso distorto degli strumenti digitali, sottovalutazione delle conseguenze – sono spesso presenti anche in contesti professionali.

Quando un conflitto online diventa un caso aziendale (e legale)

Tracce digitali, contesto e tutela: cosa cambia quando “resta tutto scritto”

Nel digitale, ciò che accade spesso lascia tracce. Il punto è gestirle correttamente.

Quando un comportamento digitale supera una certa soglia, il tema non è più solo organizzativo o disciplinare. In alcuni casi, può trasformarsi in un problema tecnico-legale, con impatti diretti sull’azienda.

Chat, email, profili social, dispositivi e account diventano tracce digitali persistenti, che possono essere contestate, analizzate e utilizzate come elementi di tutela o di difesa.

Quando servono prove e metodo: il ruolo dell’informatica forense

Dati, log, chat e dispositivi: perché la prova digitale non si improvvisa

Se la prova non è gestita bene, il problema non è solo tecnico: diventa anche legale.

Nei casi più complessi, che coinvolgono fenomeni di cyberbullismo, cyberstalking o abusi digitali con rilevanza giuridica, è necessario un approccio tecnico rigoroso. È qui che entra in gioco l’informatica forense, anche quando è necessario analizzare e gestire correttamente prove digitali a supporto di tutela, contenziosi o procedimenti.

Per approfondire l’ambito tecnico-forense: Periti Digitali.

L’analisi delle prove digitali richiede competenze specifiche, metodo e rispetto delle procedure, soprattutto quando le evidenze devono essere utilizzate in ambito legale o a supporto di contenziosi.

La sicurezza online in azienda è governance, non solo IT

Un modello efficace unisce prevenzione, comportamento e capacità di intervento

La sicurezza online funziona quando è un processo: continuo, misurabile, condiviso.

Il Safer Internet Day può essere un utile momento di riflessione, ma per le imprese la sicurezza online non si esaurisce in una giornata. È una responsabilità continua che coinvolge:

• infrastruttura IT
• processi organizzativi
• comportamenti digitali
• gestione del rischio
• consapevolezza delle implicazioni legali

Affrontarla in modo efficace significa adottare una visione integrata, capace di unire cybersecurity, fattore umano e competenze forensi.

Perché parlare di sicurezza online solo un giorno all’anno non è sufficiente

Navigare sicuri in rete oggi significa riconoscere che la sicurezza digitale non è solo una questione tecnologica. È un equilibrio tra prevenzione, consapevolezza dei comportamenti e capacità di intervenire in modo tecnico quando il digitale diventa un problema reale.

Domande frequenti dei clienti

CVE-2025-24990: la vulnerabilità del driver fax dimenticato in Windows che minaccia la sicurezza aziendale

Una vulnerabilità nascosta da quasi vent’anni

La falla di sicurezza identificata come CVE-2025-24990 riguarda un vecchio driver presente da anni nei sistemi Windows: ltmdm64.sys, originariamente creato per gestire i modem fax dei primi anni 2000. Sebbene questo hardware sia ormai scomparso, il driver è rimasto attivo in molte versioni del sistema operativo, dai PC ai server.

Perché questo driver rappresenta un rischio reale

Il problema: escalation di privilegi

La vulnerabilità consente a un attaccante con accesso minimo alla macchina di ottenere privilegi amministrativi completi.
Per chi non avesse familiarità: l’escalation di privilegi è la capacità di ottenere poteri che un utente non dovrebbe avere, come accedere a dati riservati, disinstallare protezioni, modificare configurazioni critiche o installare malware. In sintesi, dà all’attaccante il pieno controllo del dispositivo.

Perché riguarda tutte le aziende

Il driver è stato distribuito nativamente sin dal 2006.
Di conseguenza, moltissimi computer e server – anche recenti – potrebbero ancora contenerlo, anche se nessuno in azienda ha mai utilizzato un modem fax.
Se il file è presente, la vulnerabilità esiste.

La risposta di Microsoft: rimozione totale

Microsoft ha scelto di rimuovere definitivamente il driver nell’aggiornamento cumulativo di ottobre 2025, spiegando che il codice era troppo obsoleto per essere corretto in modo sicuro.
Ogni hardware fax-modem che lo utilizzava smetterà di funzionare dopo l’aggiornamento.

Come verificare se il driver è presente nel sistema

Controllo rapido

1. Premi Windows + R
2. Incolla nella finestra:
   

   C:\Windows\System32\drivers

3. Cerca il file ltmdm64.sys

Controllo via PowerShell

Se il comando restituisce “True”, il driver è presente.

Impatti su sicurezza, NIS2 e GDPR

Questa vulnerabilità non ha solo implicazioni tecniche, ma anche normative.
NIS2 e l’art. 32 del GDPR richiedono alle aziende di adottare misure per prevenire vulnerabilità note.
Mantenere attivo un driver obsoleto e vulnerabile può costituire:

• una violazione della sicurezza

• una mancanza di misure tecniche adeguate

• un rischio operativo e reputazionale

• un problema di conformità

In altre parole, ignorare la vulnerabilità espone l’azienda a rischi che vanno oltre la tecnologia.

Cosa fare subito

Installare gli aggiornamenti di Windows

L’update di ottobre 2025 rimuove automaticamente il driver vulnerabile.

Verificare la presenza del driver su tutta l’infrastruttura

Dagli endpoint ai server di produzione.

Aggiornare l’inventario software e i processi interni

Questo caso dimostra quanto sia essenziale avere un monitoraggio costante del software legacy.

Rafforzare i processi di cyber hygiene

Patching, hardening, vulnerability assessment e gestione del rischio devono essere continui e documentati.

In Conclusione

CVE-2025-24990 dimostra quanto anche un componente dimenticato, nato per un hardware ormai superato, possa diventare una vulnerabilità seria per l’intera infrastruttura aziendale.
La sicurezza richiede attenzione costante, aggiornamenti tempestivi e una gestione proattiva del rischio.

FAQ

Sei sicuro che i dati della tua azienda non siano già nel Dark Web?

Ogni giorno migliaia di credenziali aziendali e dati sensibili vengono venduti nel Dark Web. Il più delle volte, le aziende non se ne accorgono fino a quando non è troppo tardi. E non si tratta solo di grandi gruppi o multinazionali: le PMI italiane, soprattutto in Emilia-Romagna, sono tra i bersagli preferiti dei cybercriminali.

Secondo recenti report, l’80% delle vittime globali di ransomware sono piccole e medie imprese. E se la tua azienda opera nei settori manifatturiero, logistica, sanità o servizi industriali, il rischio è ancora più concreto.

Dark Web: un mercato invisibile ma molto attivo

Il Dark Web ospita marketplace dove vengono scambiati accessi a server, account email, database aziendali, documenti riservati. Spesso, questi dati derivano da credenziali compromesse in attacchi precedenti o campagne di phishing mirate. Se i dati della tua azienda sono finiti in questi circuiti, il rischio è che vengano usati per compromettere i tuoi sistemi o rivenduti al miglior offerente.

Come capire se sei già esposto

Ecco alcuni segnali e strumenti utili per verificare:

• Controlli pubblici su data breach: esistono strumenti (es. Have I Been Pwned) per verificare se le email aziendali sono comparse in fughe di dati note.

• Monitoraggio delle reti e dei servizi esposti: porte aperte, credenziali di default o server mal configurati possono diventare vulnerabilità critiche.

• Attività sospette sugli account: accessi da IP non riconosciuti, tentativi di login falliti ripetuti, reimpostazioni non autorizzate.

Best practice minime di sicurezza

Ogni PMI dovrebbe adottare almeno queste misure:

• Utilizzo di password complesse e uniche, gestite con un password manager.

• Attivazione dell’autenticazione multi-fattore (MFA) per account sensibili.

• Formazione del personale su phishing e minacce comuni.

• Aggiornamento regolare dei sistemi e verifica delle configurazioni di rete.

Attacchi recenti nel nostro territorio

Non si tratta di rischi teorici. In Emilia-Romagna abbiamo assistito a casi concreti:

• L’attacco all’AUSL di Modena ha portato all’esfiltrazione di oltre 950 GB di dati sanitari, poi pubblicati nel Dark Web.

• Diversi fornitori industriali del modenese e reggiano hanno subito violazioni tramite accessi remoti compromessi o phishing mirato.

NIS2: nuove responsabilità per le aziende

Con l’entrata in vigore della Direttiva NIS2, molte imprese italiane saranno tenute a dimostrare di saper prevenire e rilevare incidenti di sicurezza. Non si tratta solo di compliance: la direttiva chiede alle aziende di avere visibilità sul proprio rischio cyber e adottare misure adeguate per ridurlo.

La Cyber Risk Investigation di Alchimie Digitali

Per aiutare le PMI a mappare il proprio rischio reale, offriamo la Cyber Risk Investigation:

• Verifica delle credenziali compromesse collegate al dominio aziendale.

• Analisi dell’esposizione di rete (servizi attivi, porte aperte, configurazioni a rischio).

• Ricerca di tracce nel Dark Web relative a dati aziendali (documenti, domini, utenze).

Il risultato è un report dettagliato con evidenze concrete e priorità d’intervento. È il primo passo per costruire una difesa informata, efficace e conforme alla NIS2.

Scopri se la tua azienda è già nel mirino.
Approfondisci il servizio di Cyber Risk Investigation »

FAQ

Un problema che cresce sotto gli occhi di tutti

Ti è mai capitato di vedere un annuncio su Facebook che promette un iPhone di ultima generazione a meno di 200 euro? Oppure un investimento “garantito” che in pochi giorni raddoppia il capitale?
Questi esempi non sono casi isolati, ma la punta di un iceberg che riguarda milioni di utenti. Secondo recenti segnalazioni, le truffe online diffuse tramite inserzioni sponsorizzate sono in crescita costante e colpiscono indistintamente giovani, adulti e persino professionisti esperti.

“Il fatto che un annuncio sia pubblicato su Facebook non significa che sia affidabile. La fiducia cieca nella piattaforma è il primo passo verso l’inganno.”

Perché gli annunci truffa non vengono fermati

La domanda più comune è: se Facebook dispone di sistemi avanzati di controllo, perché queste truffe passano comunque?
Le ragioni principali sono due:

• Volume immenso di contenuti: ogni giorno vengono caricati milioni di inserzioni e contenuti. È impossibile che un algoritmo filtri in tempo reale ogni tentativo fraudolento.

• Tecniche elusive dei truffatori: cambiano costantemente domini, loghi e nomi per sfuggire ai sistemi di riconoscimento. A volte clonano perfettamente siti reali, rendendo quasi indistinguibile il falso dall’originale.

Un esempio concreto? Diversi utenti hanno segnalato campagne che sponsorizzano scarpe di brand noti come Nike o Adidas a prezzi stracciati. Cliccando sull’annuncio si viene indirizzati a un sito apparentemente autentico, con loghi e layout identici all’originale. In realtà si tratta di una copia creata per raccogliere dati di pagamento e informazioni personali.

Quali rischi corri se ti fidi di questi annunci

Le conseguenze non si limitano alla perdita economica. Un annuncio truffa può portare a:

• Furto dei dati personali e bancari, con utilizzo illecito delle carte di credito.

• Infezione del dispositivo con malware, che possono rubare password o trasformare il PC in uno strumento di attacco.

• Furto d’identità digitale, sfruttando le tue informazioni per creare falsi profili o aprire conti a tuo nome.

• Alimentazione di reti criminali, che reinvestono i proventi delle truffe in altre attività illegali.

Come difendersi concretamente

La vera difesa è la consapevolezza. Alcuni segnali dovrebbero sempre far scattare un campanello d’allarme:

• Prezzi troppo bassi per essere realistici.

• Urgenza nell’acquisto (“solo per oggi”, “ultimi pezzi disponibili”).

• Link a siti con domini strani o non ufficiali (es. .shop invece di .it o .com).

• Pagine che richiedono subito i dati della carta senza procedure sicure di pagamento.

Un consiglio pratico: prima di cliccare su Acquista ora, cerca il prodotto direttamente sul sito ufficiale del brand. Se l’offerta non è presente lì, molto probabilmente si tratta di una truffa.

Il ruolo della legge e della prevenzione

L’Unione Europea e l’Italia hanno adottato normative specifiche contro le frodi online e la pubblicità ingannevole. Tuttavia, la normativa da sola non basta se gli utenti non segnalano e non agiscono tempestivamente.
Denunciare un annuncio sospetto alla Polizia Postale o direttamente a Meta può contribuire a ridurre il fenomeno. Ma la vera protezione resta la prevenzione: imparare a riconoscere i segnali di pericolo e tutelare i propri dati.

Tirando le somme

Gli annunci truffa su Facebook continueranno a esistere, perché ogni giorno nascono nuove tecniche di inganno. Ma la legge, la tecnologia e soprattutto la tua consapevolezza possono ridurre il rischio.
Proteggersi significa non fidarsi ciecamente della piattaforma e ricordare che “se sembra troppo bello per essere vero, probabilmente non lo è”.

FAQ

Immagina di entrare in una gelateria del centro e scoprire che la telecamera sopra la cassa non protegge, ma espone. È quello che è successo davvero: sistemi di videosorveglianza collegati a Internet, configurati in modo superficiale, permettono a chiunque, anche senza competenze da “super hacker”, di sbirciare dentro negozi, uffici e abitazioni private.

“Non esistono hacker cattivi: esistono sistemi progettati male.”

— Pietro Suffritti, CEO di Alchimie Digitali e sensei di Zanshin Tech presso Zemian Dojo

Il problema reale: la cybersicurezza assente nelle telecamere di sorveglianza

Oggi esistono siti pubblici che raccolgono in un unico punto telecamere non protette in tutto il mondo. Basta selezionare una città, ad esempio Modena e si può entrare nelle telecamere di attività commerciali o abitazioni private.
Nel nostro caso, durante una lezione di Zanshin Tech  con lo Zemian Dojo, è bastato un click per entrare nel sistema di videosorveglianza di una gelateria del centro di Modena per arrivare a leggere addirittura l’importo stampato su uno scontrino alla cassa.

Il problema non è la “cattiveria degli hacker”, ma l’assenza di configurazioni minime di sicurezza: username e password predefinite lasciate in chiaro, porte esposte su Internet, sistemi installati senza competenza.

Videosorveglianza e GDPR: due facce della stessa medaglia

Molti dimenticano che una telecamera non riprende solo “immagini”, ma dati personali.
Per questo motivo il GDPR regola in modo preciso il trattamento dei dati della videosorveglianza:

• È obbligatorio informare gli interessati con cartelli visibili.

• Occorre definire una base giuridica (spesso l’interesse legittimo).

• I tempi di conservazione devono essere proporzionati e limitati.

• Le registrazioni devono essere protette con misure di cybersecurity adeguate.

Una telecamera non sicura non è solo un rischio informatico: è anche una violazione normativa.

Cybersecurity come requisito di legge

Proteggere un sistema di videosorveglianza non significa solo difendersi da intrusi digitali. Significa rispettare i principi di accountability del GDPR e dimostrare di aver adottato tutte le misure necessarie a tutelare la privacy delle persone riprese.
Alchimie Digitali integra questi due mondi: cybersecurity e compliance, per dare alle aziende strumenti concreti per essere sicure e conformi.

Come difendersi davvero

• Affidarsi a installatori e consulenti competenti.

• Non lasciare mai credenziali predefinite.

• Proteggere l’accesso remoto con firewall, VPN e sistemi aggiornati.

• Integrare controlli periodici con un Cyber Audit.

• Definire policy GDPR corrette per la videosorveglianza.

Cybersecurity e GDPR: la difesa che non puoi rimandare

La normativa europea, dal GDPR alle linee guida del Garante, è stata scritta per proteggere cittadini e imprese. Ma la protezione non è automatica: diventa reale solo se chi utilizza un impianto di videosorveglianza adotta misure adeguate di sicurezza e conformità.

In altre parole, la legge è al tuo fianco, ma solo se dimostri di aver fatto la tua parte. Installare telecamere senza competenza, lasciare credenziali di default o non aggiornare i sistemi significa rinunciare a quella tutela e restare esposti sia agli hacker sia a sanzioni pesanti.

FAQ

Non ignorare questo messaggio: il tuo SSD è al sicuro?

Hai notato comportamenti insoliti sul tuo PC dopo aver installato un aggiornamento di sicurezza di Windows 11? Potrebbe trattarsi dell’aggiornamento KB5063878, distribuito in Italia da metà agosto 2025. Secondo diverse segnalazioni — confermate anche da Phison, noto produttore di controller SSD — questo update sembra provocare la scomparsa o il malfunzionamento degli SSD, soprattutto quando sotto stress o con spazio limitato

Cosa sta succedendo, esattamente?

• Gli SSD si “nascondono” al sistema operativo durante trasferimenti di grandi file (oltre 50 GB), specialmente se l’unità è più del 60 % piena.

• Alcuni casi si risolvono con un semplice riavvio, altri invece lasciano l’unità in stato RAW o non più accessibile

• Phison ha confermato l’indagine con Microsoft e altri partner, ma non si hanno ancora soluzioni ufficiali.

Come capire se sei vulnerabile

Hai installato Windows 11 24H2 (KB5063878)?

Ti sei accorto di SSD che spariscono, errori in Esplora risorse o blocchi durante aggiornamenti voluminosi? Questi sintomi richiedono immediata attenzione.

Come verificare in due click:
Accedi a Impostazioni → Windows Update → Cronologia aggiornamenti → Disinstalla aggiornamenti e cerca KB5063878. Se presente, è il caso di agire.

Cosa fare (e cosa non fare)

1. Disinstalla subito l’aggiornamento KB5063878 e riavvia il sistema.
2. Blocca temporaneamente gli aggiornamenti: Windows 11 consente una sospensione fino a 5 settimane — ideale per attendere la patch correttiva senza rischi.
3. Evita trasferimenti di grandi file finché la situazione non si stabilizza.
4. Effettua backup immediati con la regola 3‑2‑1 (tre copie, su due supporti e una off‑site).

“…avoid writing large files (tens of gigabytes) or multiple large files… write them in smaller batches over time.”

Perché Alchimie Digitali può aiutarti davvero

Se temi danni agli SSD o non sei sicuro di gestire questa situazione, rivolgiti a noi. Alchimie Digitali garantisce:

• Verifica tecnica puntuale dello stato dei tuoi sistemi Windows 11.

• Supporto professionale nel gestire update, configurazioni e sicurezza.

• Servizio rapido a Modena e in tutta Italia, per evitare danni e perdite dati.

Domande che potresti farti (e le risposte chiare)

FAQ

Red Team vs. Blue Team: una sfida che ha lasciato il segno

Un evento di formazione, confronto e networking sulla sicurezza informatica

TestFlight Cybersecurity: L’evento che rivoluzionerà la sicurezza della tua azienda!

HackInBo® Business Edition Winter 2024: Il Talk di Pietro Suffritti sulla NIS2

Il 15 novembre 2024, HackInBo® Business Edition Winter ha accolto professionisti ed esperti del settore per una giornata ricca di dibattiti e approfondimenti sulla sicurezza informatica. Tra i momenti più apprezzati, spicca il talk intitolato “NIS2: l’intelligente direttiva di guerra” presentato da Pietro, nostro CEO. La sua presentazione ha conquistato il pubblico, fornendo spunti essenziali per comprendere come la direttiva NIS2 stia cambiando le regole del gioco in termini di cyber-resilienza per le aziende.

NIS2: Un cambio di paradigma nella sicurezza informatica

Pietro ha esplorato i dettagli di questa direttiva europea, sottolineando l’importanza di strategie innovative per proteggere infrastrutture e dati critici. Il talk si è distinto per la chiarezza e la schiettezza con cui ha illustrato l’impatto delle nuove normative e le azioni necessarie per adeguarsi al meglio, rendendo complessi temi tecnici accessibili e coinvolgenti.

Dietro le quinte di un talk vincente

Le foto e l’estratto video del talk di Pietro catturano la schiettezza con cui ha affrontato il tema, evidenziando il suo approccio diretto: meglio una verità difficile che una bella bugia. L’intervento ha mostrato come la trasparenza sia fondamentale per affrontare le sfide imposte dalla direttiva NIS2 e potenziare la cyber-resilienza.

Vuoi vedere le foto e rivivere l’evento?

Scopri la gallery esclusiva e immergiti nell’atmosfera unica di HackInBo®. Dai uno sguardo dietro le quinte e rivivi i momenti più significativi di un talk che ha segnato un punto di svolta per la comprensione della sicurezza informatica aziendale.

La gallery della giornata: