Dati dal SiteGuardian EU Web Security Benchmark — aprile 2026, 704.044 siti analizzati in 30 Paesi.
Il 94,8% non supera l'esame
Abbiamo scansionato automaticamente 704.044 siti web europei su sei dimensioni: header di sicurezza HTTP, configurazione TLS, sicurezza DNS, autenticazione e-mail, accessibilità e conformità dei cookie.
I risultati:
| Voto | Percentuale |
|---|---|
| A | 0,0% (16 siti) |
| B | 0,2% |
| C | 5,0% |
| D | 52,5% |
| F | 42,3% |
Non si tratta di siti di nicchia. Il benchmark comprende imprese, enti pubblici, ospedali, banche e piattaforme e-commerce di tutta l'UE — organizzazioni soggette a NIS2, DORA o GDPR che trattano dati personali ogni giorno.
Il quadro normativo: cosa richiede l'UE
Negli ultimi tre anni l'UE ha costruito un quadro regolamentare che trasforma la sicurezza web da opzione auspicabile a obbligo di legge. Tre normative in particolare:
NIS2 (Direttiva 2022/2555) — il recepimento nazionale era previsto entro ottobre 2024. L'articolo 21(2) impone ai soggetti essenziali e importanti misure concrete: crittografia, risposta agli incidenti, sicurezza della supply chain e — al paragrafo (e) — gestione e divulgazione delle vulnerabilità. I settori interessati comprendono energia, trasporti, sanità, infrastrutture digitali, manifattura, alimentare, servizi postali e fornitori digitali. In Italia l'ACN (Agenzia per la Cybersicurezza Nazionale) è l'autorità competente. Sanzioni: fino a 10 milioni di euro o il 2% del fatturato globale annuo.
DORA (Regolamento 2022/2554) — in vigore da gennaio 2025 per il settore finanziario. Gli articoli 6-8 impongono una gestione del rischio ICT che include l'identificazione e la correzione delle vulnerabilità. Si applica a banche, assicurazioni, società di investimento, fornitori di servizi in cripto-attività e ai loro fornitori ICT critici.
Cyber Resilience Act (Regolamento 2024/2847) — obbligo di segnalazione delle vulnerabilità attivamente sfruttate da settembre 2026 (art. 11), divulgazione coordinata delle vulnerabilità da dicembre 2027 (art. 14). Si applica a produttori, importatori e distributori di prodotti digitali. Sanzioni: fino a 15 milioni di euro o il 2,5% del fatturato.
I requisiti ci sono. Com'è la realtà?
Header di sicurezza HTTP: la prima linea di difesa è assente
Gli header di sicurezza sono istruzioni lato server che proteggono il browser da cross-site scripting, clickjacking, confusione MIME e attacchi di downgrade. Non costano nulla, di solito richiedono una sola riga di configurazione, eppure restano pressoché inutilizzati:
| Header | Adozione | Protezione |
|---|---|---|
| Strict-Transport-Security (HSTS) | 27,6% | Impedisce il downgrade a HTTP |
| X-Content-Type-Options | 27,7% | Blocca il MIME sniffing |
| X-Frame-Options | 19,2% | Previene il clickjacking |
| Referrer-Policy | 13,1% | Controlla la fuga dei referrer |
| Content-Security-Policy (CSP) | 10,8% | Mitiga XSS e injection |
| Permissions-Policy | 6,4% | Limita le API del browser |
Tre siti su quattro consentono connessioni non crittografate, anche se è presente un certificato TLS — manca l'HSTS. Il 24,3% non reindirizza nemmeno automaticamente a HTTPS.
Content Security Policy — la difesa più efficace contro gli attacchi XSS — è assente nell'89% dei siti web.
Sicurezza e-mail: phishing a portata di mano
Phishing e Business Email Compromise sono i vettori di attacco più comuni in Europa. Le contromisure tecniche esistono da anni — e restano inapplicate:
| Standard | Adozione | Scopo |
|---|---|---|
| SPF | 75,7% | Verifica del mittente |
| STARTTLS | 56,3% | Crittografia del trasporto |
| DMARC | 46,8% | Applicazione delle policy |
| DKIM | 31,1% | Integrità del messaggio |
| MTA-STS | 0,5% | Crittografia del trasporto forzata |
Il solo SPF non basta. Senza DMARC impostato su reject o quarantine, chiunque può inviare e-mail a nome del vostro dominio. Del 46,8% che ha DMARC, il 63% imposta la policy su none — ossia nessuna applicazione. Il dominio resta falsificabile.
Le configurazioni errate che rileviamo sono particolarmente eloquenti. Troviamo policy DMARC come quarantaine, rejet, keiner, brak (polacco per "assente"), beleidsnaam (olandese per "nome della policy") — e un sito che ha incollato l'intera chiave RSA nel campo della policy. Questi errori di configurazione sono difficili da individuare — il record esiste, la casella di conformità è spuntata, ma la protezione non funziona. È esattamente il divario tra "configurato" ed "efficace" che SiteGuardian è stato creato per colmare: controlli automatici che verificano non solo la presenza, ma il corretto funzionamento di ogni misura.
DNS: le fondamenta sono scoperte
| Standard | Adozione | Scopo |
|---|---|---|
| DNSSEC | 15,8% | Protezione contro lo spoofing DNS |
| CAA | 3,0% | Controllo sull'emissione dei certificati |
| MTA-STS | 0,5% | Crittografia e-mail forzata |
| DANE/TLSA | <1% | Pinning del certificato per SMTP |
L'84% dei domini europei non ha protezione DNSSEC. Un attaccante in grado di manipolare le risposte DNS può reindirizzare gli utenti verso siti fraudolenti — completi di certificato TLS valido, se nessun record CAA limita l'emissione. Il 97% non ne ha.
L'indicatore security.txt
L'RFC 9116 definisce un semplice file di testo in /.well-known/security.txt che offre ai ricercatori di sicurezza un canale di segnalazione standardizzato. L'ENISA lo raccomanda come best practice, la NIS2 richiede la divulgazione delle vulnerabilità e il Cyber Resilience Act rende obbligatoria la divulgazione coordinata.
Tasso di adozione nell'UE: 2,8%.
Il dato interessante: security.txt correla fortemente con la maturità complessiva del sito.
| Metrica | CON security.txt | SENZA | Fattore |
|---|---|---|---|
| Punteggio composito | 55 | 42 | +31% |
| HSTS | 72% | 26% | 2,8x |
| Content Security Policy | 47% | 10% | 4,7x |
| Voto F | 6% | 44% | 7 volte meno |
security.txt non è la soluzione a tutto. Chi si prende il tempo di configurarlo ha di solito curato anche tutto il resto. È un indicatore di maturità nella sicurezza — se manca, di solito manca anche tutto il resto.
La situazione in Europa: la classifica per Paese
| Pos. | Paese | Punteggio | Siti analizzati |
|---|---|---|---|
| 1 | Malta | 46 | 640 |
| 2 | Islanda | 45 | 928 |
| 3 | Germania | 45 | 203.075 |
| 4 | Regno Unito | 44 | 73.769 |
| 5 | Lussemburgo | 44 | 1.303 |
| 6 | Svizzera | 43 | 26.248 |
| 7 | Norvegia | 43 | 8.814 |
| 8 | Paesi Bassi | 43 | 37.893 |
| ... | |||
| 26 | Spagna | 39 | 26.214 |
| 27 | Austria | 39 | 30.804 |
| 28 | Ungheria | 38 | 6.886 |
| 29 | Lituania | 38 | 3.539 |
| 30 | Polonia | 37 | 30.694 |
La Germania è in testa tra i grandi Stati membri dell'UE — ma con 45 punti su 100. Il migliore di un gruppo mediocre. Lo scarto tra il primo e l'ultimo è di soli 9 punti. L'Europa non ha un capofila che detti lo standard. Ha un deficit su scala continentale.
Cosa dovrebbero fare i CISO adesso
1. Misurate la vostra baseline. Non si può gestire ciò che non si misura. Scansionate i vostri domini — automaticamente, regolarmente, su tutte e sei le dimensioni.
2. Attivate gli header di sicurezza. HSTS, CSP, X-Content-Type-Options — tre header che mitigano la maggior parte degli attacchi web comuni. La maggior parte dei framework può aggiungerli con una sola riga di configurazione.
3. Impostate DMARC su reject. Partite con quarantine e pct=10, monitorate i report, poi passate a reject. policy=none non protegge nessuno.
4. Attivate DNSSEC. Parlate con il vostro provider DNS. La maggior parte dei provider principali lo supporta — basta attivarlo.
5. Create il file security.txt. Cinque minuti di lavoro, RFC 9116. Due campi obbligatori: Contact ed Expires. L'ENISA lo indica come best practice e l'art. 21(2)(e) della NIS2 richiede la divulgazione delle vulnerabilità.
6. Non scansionate solo la homepage. Sottodomini, API, server di posta — la superficie di attacco è più ampia della homepage. Un benchmark automatizzato individua sistematicamente ciò che gli audit manuali perdono.
Metodologia
Questo articolo si basa sul SiteGuardian EU Web Security Benchmark che copre 704.044 siti web in 30 Paesi europei (dati di aprile 2026). Il benchmark valuta sei dimensioni: header di sicurezza HTTP, certificati TLS, sicurezza DNS (DNSSEC, CAA, DANE, MTA-STS), autenticazione e-mail (SPF, DKIM, DMARC, STARTTLS), accessibilità (WCAG 2.2 AA) e conformità dei cookie. Tutte le scansioni avvengono automaticamente e in modo continuativo, senza selezione manuale o sponsorizzazioni.
Il benchmark è accessibile gratuitamente su siteguardian.io/benchmark.
SiteGuardian è uno strumento di compliance e monitoraggio per la sicurezza web con sede nell'UE, sviluppato in Germania.