Il 91% degli attacchi informatici inizia con un'email. Non con un hacker che buca il firewall, non con un virus su una chiavetta USB: con un'email che sembra legittima e che un dipendente apre senza pensarci troppo. BullTech Informatica, MSP attivo dal 2009 a Vimercate (MB), gestisce la sicurezza email di oltre 120 aziende e in questa guida ti spieghiamo come proteggere davvero le tue comunicazioni aziendali — con numeri, costi e strumenti concreti.
Perché le email aziendali sono il bersaglio numero uno
I numeri parlano chiaro. Secondo il rapporto Clusit 2025, in Italia gli attacchi via email sono aumentati del 37% rispetto al 2024. Il motivo è semplice: le email sono il punto di ingresso più facile. Un firewall costa migliaia di euro e richiede competenze per essere bypassato. Un'email di phishing costa 50 centesimi e basta che un dipendente su cento ci caschi.
Le tipologie di attacco via email che vediamo più spesso nei nostri clienti sono quattro. Il phishing classico: email che imita una banca, un corriere o un fornitore e chiede di cliccare un link. Il Business Email Compromise (BEC): l'attaccante si finge il CEO o il direttore finanziario e chiede un bonifico urgente — nel 2025 ha causato perdite medie di 125.000 euro per incidente in Italia. Lo spear phishing: email personalizzata con nome, cognome e dettagli aziendali reali, praticamente impossibile da distinguere da un'email vera senza strumenti tecnici. E il malware via allegato: PDF, Excel con macro, file ZIP con eseguibili nascosti.
Il problema più grosso? Il 67% delle PMI italiane non ha configurato nemmeno le protezioni base del dominio email (SPF, DKIM, DMARC). Significa che chiunque può mandare email fingendosi la tua azienda — ai tuoi clienti, ai tuoi fornitori, alle banche con cui lavori. E tu non lo sai nemmeno. E se un'email malevola passa, il rischio più concreto è il ransomware: leggi la nostra guida alla protezione ransomware aziendale per capire come difenderti.
SPF, DKIM e DMARC: le tre difese che devi avere (e che probabilmente non hai)
Se non sai cosa sono SPF, DKIM e DMARC, non preoccuparti: non è roba da nerd. Sono tre record DNS che dicono ai server email del mondo intero “le email del dominio bulltech.it possono partire solo da questi server”. Se qualcuno prova a mandare un'email da un server non autorizzato fingendosi bulltech.it, il server di destinazione la blocca o la mette in spam.
SPF (Sender Policy Framework) è il primo livello. Pubblichi un record DNS TXT che elenca gli IP autorizzati a inviare email per il tuo dominio. Se un'email arriva da un IP non in lista, il server di destinazione sa che è sospetta. Configurarlo richiede 10 minuti se sai cosa fai. L'errore più comune: dimenticare di includere tutti i servizi che inviano email per te (CRM, newsletter, ticketing, stampanti multifunzione con scansione via email). Ogni servizio dimenticato = email legittime che finiscono in spam.
DKIM (DomainKeys Identified Mail) aggiunge una firma crittografica a ogni email. Il server di destinazione verifica la firma con la chiave pubblica nel tuo DNS. Se la firma non corrisponde, l'email è stata modificata in transito o è un falso. DKIM è più complicato da configurare di SPF perché richiede di generare una coppia di chiavi e configurare il server email. Su Microsoft 365 si attiva dalla console admin in 5 minuti. Su server email on-premise serve più lavoro.
DMARC (Domain-based Message Authentication, Reporting and Conformance) è il pezzo che tiene insieme tutto. Dice ai server di destinazione cosa fare quando SPF o DKIM falliscono: niente (p=none, solo monitoraggio), metti in quarantena (p=quarantine, va in spam), o rifiuta (p=reject, l'email non arriva). Il percorso corretto è: parti con p=none per 2-4 settimane e analizza i report (chi sta mandando email a tuo nome?), poi passa a p=quarantine, e dopo 2-4 settimane a p=reject. Saltare a p=reject subito è rischioso: potresti bloccare email legittime.
| Protezione | Cosa fa | Tempo configurazione | Costo |
|---|---|---|---|
| SPF | Autorizza IP mittenti | 10-30 minuti | Gratis (record DNS) |
| DKIM | Firma crittografica | 15-60 minuti | Gratis (record DNS) |
| DMARC | Policy + reporting | 30 min + 4-8 settimane tuning | Gratis (record DNS) |
| Email Gateway | Filtra spam/malware/phishing | 1-4 ore | 2-5 €/casella/mese |
| MFA su caselle | Secondo fattore autenticazione | 5 min per utente | Incluso in M365 |
Un dato che ci fa rabbrividire: il 40% dei domini .it aziendali che analizziamo non ha nemmeno un record SPF configurato. Significa che chiunque può mandare email da quel dominio. È come lasciare il portone dell'ufficio spalancato con un cartello “Entrate pure”.
Gateway email e filtri avanzati: quale scegliere
SPF, DKIM e DMARC proteggono il tuo dominio in uscita. Ma le email pericolose arrivano dall'esterno. Per filtrarle servono strumenti dedicati. Ecco le opzioni reali per una PMI nel 2026, con i costi che paghiamo davvero per i nostri clienti.
Microsoft Defender for Office 365 è la scelta naturale se usi Microsoft 365. Il Plan 1 (1,90 euro/utente/mese, incluso in Business Premium) aggiunge Safe Attachments (gli allegati vengono aperti in una sandbox e analizzati prima di essere consegnati), Safe Links (i link nelle email vengono riscritti e verificati al momento del click), e anti-phishing avanzato con machine learning. Il Plan 2 (4,60 euro/utente/mese) aggiunge le simulazioni di phishing automatiche, threat investigation e automated response. Per la maggior parte delle PMI il Plan 1 è più che sufficiente.
Barracuda Email Security Gateway è il gateway che installiamo per i clienti che vogliono un livello di protezione in più, o che usano server email on-premise. Costa 3-5 euro per casella al mese e aggiunge filtro anti-spam con AI, sandboxing degli allegati, protezione da impersonation, e archiviazione email per compliance GDPR. Il vantaggio: funziona con qualsiasi provider email, non solo Microsoft.
Mimecast è la soluzione enterprise: 4-7 euro per casella al mese, con funzionalità superiori per aziende con 100+ caselle. Include URL rewriting in tempo reale, attachment sandboxing, impersonation protection e un servizio di awareness training integrato. Per PMI sotto i 50 dipendenti è spesso sovradimensionato, ma per aziende più grandi è eccellente.
Il nostro consiglio pratico: se usi Microsoft 365 Business Premium(20,60 euro/utente/mese), hai già Defender Plan 1 incluso. Attivalo e configuralo (spoiler: il 60% dei clienti che lo pagano non l'ha mai attivato). Se vuoi un livello di protezione aggiuntivo, aggiungi Barracuda come secondo filtro. Costa 1.500-2.000 euro all'anno per 30 caselle, ma blocca il 99,7% delle email pericolose.
Autenticazione a due fattori: non è opzionale
Nel 2026 avere caselle email aziendali senza MFA (Multi-Factor Authentication) è imperdonabile. Non c'è giustificazione. Il 78% degli account compromessi nella nostra esperienza non aveva MFA attivo. E la compromissione di un account email aziendale è la premessa per il 90% degli attacchi BEC.
Come funziona: oltre alla password, l'utente deve confermare l'accesso con un secondo fattore — di solito un'app sullo smartphone (Microsoft Authenticator, Google Authenticator) o un token fisico (chiavetta FIDO2, da 25-50 euro l'una). Il primo accesso richiede 30 secondi in più. Dopo, il dispositivo viene ricordato e la richiesta compare solo per accessi da nuovi dispositivi o posizioni insolite.
Su Microsoft 365 l'MFA è incluso in tutti i piani, anche il base. Si attiva dall'admin center in 5 minuti per tutti gli utenti. L'obiezione che sentiamo sempre: “Ma i miei dipendenti si lamentano”. La risposta: preferisci 30 secondi di fastidio o 3 settimane di downtime dopo un breach? Noi configuriamo MFA come primo step in ogni nuova installazione e dopo 2 giorni nessuno se ne ricorda più.
Un dettaglio tecnico importante: usa le Security Defaults di Microsoft 365 come minimo, oppure le Conditional Access Policies se hai Azure AD P1 (incluso in Business Premium). Le Conditional Access permettono di forzare MFA solo da posizioni non fidate, bloccare accessi da paesi dove non hai business, e richiedere dispositivi conformi. Sono molto più flessibili e meno invasive per gli utenti.
Crittografia email: quando serve e come implementarla
La crittografia email protegge il contenuto delle comunicazioni in transito e a riposo. Non tutte le aziende ne hanno bisogno allo stesso livello, ma alcune sì — studi legali, commercialisti, aziende che trattano dati sanitari, chi lavora con la pubblica amministrazione.
TLS (Transport Layer Security) è la crittografia base in transito: la email viaggia cifrata tra il tuo server e il server del destinatario. Nel 2026, il 95% dei server email supporta TLS. Su Microsoft 365 è attivo di default. Ma TLS protegge solo il trasporto, non il contenuto: se qualcuno accede alla casella del destinatario, legge tutto in chiaro.
Microsoft 365 Message Encryption (OME) è incluso in Business Premium e permette di inviare email crittografate end-to-end. Il destinatario riceve un link per leggere l'email in un portale sicuro, senza bisogno di certificati o software. Per la maggior parte delle PMI è la soluzione giusta: facile da usare e zero costi aggiuntivi se hai già Business Premium.
S/MIME (certificati digitali) e PGP sono le soluzioni più robuste ma anche più complicate. Richiedono certificati per ogni utente (50-100 euro/anno per certificato S/MIME), configurazione su ogni dispositivo, e soprattutto che anche il destinatario usi lo stesso sistema. Nella pratica, le vediamo usare solo in ambiti molto specifici: difesa, sanità, legal tech. Per una PMI normale, OME basta e avanza.
| Soluzione | Protezione | Costo | Ideale per |
|---|---|---|---|
| TLS | In transito | Gratis (default) | Tutte le aziende |
| M365 OME | End-to-end | Incluso in Business Premium | PMI con dati sensibili |
| S/MIME | End-to-end + firma | 50-100 €/utente/anno | Legal, sanità, PA |
| PGP | End-to-end | Gratis (open-source) | Utenti tecnici |
Formazione dipendenti: il firewall umano
Puoi mettere tutti i filtri che vuoi, ma se la segretaria apre l'allegato “Fattura_urgente.pdf.exe” perché nessuno le ha mai spiegato come riconoscere un'email sospetta, hai buttato via soldi. La formazione dei dipendenti è la misura di sicurezza con il miglior rapporto costo-efficacia in assoluto.
I dati dalla nostra esperienza: prima della formazione, il 28% dei dipendenti clicca su email di phishing simulate. Dopo una sessione di formazione di 2 ore, il tasso scende al 4%. Dopo 6 mesi senza rinforzo, risale al 15%. Dopo 6 mesi con simulazioni mensili, resta sotto il 6%. La formazione funziona, ma deve essere continua.
Cosa includiamo nelle nostre sessioni di formazione. Primo: come riconoscere un'email di phishing — 5 segnali pratici (mittente sospetto, urgenza ingiustificata, link che non corrispondono al testo, errori grammaticali, richieste anomale). Secondo: cosa fare quando si riceve un'email sospetta — non cliccare, non rispondere, non inoltrare, segnalare al responsabile IT (o a noi). Terzo:procedure per le richieste di pagamento — nessun bonifico sopra 500 euro senza conferma telefonica diretta al richiedente (non al numero nell'email).
Strumenti per le simulazioni automatiche: KnowBe4 (da 15 euro/utente/anno, il più usato al mondo), Proofpoint Security Awareness (da 20 euro/utente/anno), oppure le simulazioni integrate in Microsoft 365 Defender Plan 2 (4,60 euro/utente/mese). KnowBe4 è quello che usiamo noi per la maggior parte dei clienti: ha un catalogo di template di phishing enorme, report dettagliati, e moduli di formazione interattivi in italiano.
L'errore che vediamo più spesso
Fare una sessione di formazione all'anno e pensare di essere a posto. La sicurezza email è un processo continuo, non un evento. Le tecniche di phishing cambiano ogni settimana, e i dipendenti dimenticano. Sessioni semestrali + simulazioni mensili è il minimo per una protezione efficace. Costa 15-25 euro/utente/anno — meno di un caffè alla settimana.
Piano di implementazione: da zero a sicuro in 30 giorni
Ecco il piano che seguiamo noi di BullTech quando prendiamo in carico la sicurezza email di un nuovo cliente. È diviso in 4 settimane e copre tutto il necessario.
Piano 30 giorni per la sicurezza email
- Settimana 1: Audit e fondamenta — Analisi dominio con MXToolbox, verifica SPF/DKIM/DMARC, inventario caselle e servizi che inviano email, attivazione MFA su tutte le caselle. Costo: 200-400 euro.
- Settimana 2: Configurazione tecnica — Setup SPF corretto (tutti i servizi inclusi), generazione e pubblicazione DKIM, DMARC in modalità p=none con reporting. Attivazione Safe Attachments e Safe Links su M365. Costo: 300-500 euro.
- Settimana 3: Formazione e policy — Sessione formazione dipendenti (2 ore), distribuzione policy email aziendale, configurazione regole anti-impersonation, policy DLP base. Prima simulazione di phishing. Costo: 400-600 euro.
- Settimana 4: Tuning e go-live — Analisi report DMARC, correzione eventuali falsi positivi, passaggio a p=quarantine, configurazione alert automatici. Report finale. Costo: 200-300 euro.
Costo totale: 1.100-1.800 euro una tantum + eventuali licenze ricorrenti
Dopo le 4 settimane, il mantenimento richiede 2-3 ore al mese: revisione report DMARC, analisi email bloccate (falsi positivi), simulazioni di phishing, aggiornamento policy. Nei nostri contratti MSP (da 15 euro/utente/mese per il piano base) il monitoraggio email è incluso. Per chi vuole gestirlo internamente, serve un IT interno con le competenze giuste — e il tempo per farlo.
Un'ultima cosa: la sicurezza email non è un progetto con un inizio e una fine. È un processo continuo. Le minacce cambiano, gli strumenti si evolvono, i dipendenti cambiano. Chi pensa “ho configurato SPF e sono a posto” si ritrova con un breach entro 12 mesi. La domanda non è se verrà attaccato, ma quando — e se sarà preparato.
Vuoi un audit gratuito della sicurezza email?
Noi di BullTech offriamo un audit email gratuito di 30 minuti per PMI: verifichiamo SPF, DKIM, DMARC, MFA e configurazione del tuo dominio. Ti diciamo subito cosa va e cosa no, con un report chiaro e senza impegno. Chiamaci al 039 6099 023 o scrivici.