Atualizado semanalmente · 2447 sites

Benchmark de segurança web da UE

Name: EU Website Security Benchmark
Creator: SiteGuardian
License: https://creativecommons.org/licenses/by/4.0/

Analisamos 2447 sites europeus todas as semanas — banca, farmacêutica, comércio eletrónico, governo, tecnologia. Nenhum site individual é identificado. A questão não é quem falhou, mas quais setores estão expostos.

59.7/100

Pontuação média

47%

E-mail falsificável

79%

Sem DNSSEC

63%

Cabeçalhos de segurança em falta

68.7/100

Pontuação de acessibilidade

5.3

Cookies pré-consentimento média

Como se compara o seu setor?

Postura de segurança por setor — ordenada por pontuação média. Clique num setor para ver a sua análise detalhada.

Indústria	Sites	Pontuação	Desprotegido	Falsificável	Inseguro	Distribuição de notas
Pharma	46	55.9	57%	57%	7%	C D
Technology	1005	57.5	68%	50%	10%	C D
Media	390	58.4	75%	55%	3%	C D
Saúde	12	60.0	58%	67%	0%	B C D
E-Commerce	220	61.0	58%	38%	11%	C D
Telecomunicações	52	61.2	67%	40%	4%	C D
Automotive	45	61.5	53%	53%	4%	C D
Banking	137	61.6	46%	38%	14%	C D
Transporte	39	62.0	56%	33%	10%	B C D
Educação	140	63.0	66%	49%	1%	B C D
Government	133	63.0	47%	47%	5%	B C D
Insurance	47	64.7	38%	40%	13%	B C D
Imobiliário	17	64.9	53%	35%	6%	B C D
Energia	68	65.0	41%	37%	4%	B C D
Regulatório	96	65.9	49%	28%	6%	B C D

Ordenado por pontuação média de segurança (mais baixa primeiro). Explicação das colunas: Desprotegido = 3+ cabeçalhos HTTP críticos em falta. Falsificável = DMARC ausente ou fraco. Inseguro = sem redirecionamento HTTPS.

A B C D F

Como se compara o seu país?

Postura de segurança por país — clique num país para ver a sua análise detalhada.

🇦🇹

Austria

95 sites

56.9 🇧🇪

Belgium

95 sites

56.8 🇧🇬

Bulgaria

46 sites

52.3 🇨🇭

Switzerland

95 sites

62.7 🇨🇾

Cyprus

16 sites

51.8 🇨🇿

Czech Republic

94 sites

62.5 🇩🇪

Germany

241 sites

63.4 🇩🇰

Denmark

92 sites

62.0 🇪🇪

Estonia

48 sites

63.7 🇪🇸

Spain

204 sites

57.2 🇪🇺

European Union

18 sites

63.7 🇫🇮

Finland

93 sites

65.2 🇫🇷

France

228 sites

61.8 🇬🇧

United Kingdom

64 sites

61.2 🇬🇷

Greece

89 sites

53.2 🇭🇷

Croatia

48 sites

54.0 🇭🇺

Hungary

92 sites

54.8 🇮🇪

Ireland

95 sites

58.9 🇮🇸

Iceland

28 sites

55.5 🇮🇹

Italy

193 sites

56.7 🇱🇮

Liechtenstein

28 sites

47.9 🇱🇹

Lithuania

48 sites

51.8 🇱🇺

Luxembourg

43 sites

57.5 🇱🇻

Latvia

43 sites

52.4 🇲🇹

Malta

26 sites

52.0 🇳🇱

Netherlands

145 sites

69.4 🇳🇴

Norway

23 sites

71.6 🇵🇱

Poland

37 sites

60.3 🇵🇹

Portugal

17 sites

60.7 🇷🇴

Romania

13 sites

52.5 🇸🇪

Sweden

40 sites

67.5 🇸🇮

Slovenia

4 sites

54.5 🇸🇰

Slovakia

6 sites

64.5

Onde se enquadra o seu site neste panorama?

Execute uma análise de segurança gratuita — sem necessidade de conta. Veja a sua pontuação, nota e como se compara com o seu setor.

Analise o seu website agora

O que encontrámos

As falhas de segurança mais comuns em 2447 sites europeus — e as regulamentações que violam.

63%

Missing Security Headers

Visitors are exposed to clickjacking, XSS, and content injection because critical HTTP headers are missing.

NIS2 Art. 21

47%

Weak Email Authentication

Emails from these domains can be spoofed — invoices, password resets, anything. No DMARC enforcement.

NIS2 Art. 21 / DORA Art. 9

79%

Sem DNSSEC

DNS responses are unsigned. Attackers can redirect visitors to fake sites without detection.

NIS2 Art. 21

Mostrar todas as descobertas

95%

No MTA-STS

Inbound emails can be downgraded to plaintext by an attacker — the server doesn't enforce TLS.

NIS2 Art. 21

11%

No SMTP Encryption

Email is transmitted in cleartext. Anyone on the network can read it.

GDPR Art. 32

80%

No security.txt

No public vulnerability disclosure contact — security researchers have nowhere to report issues.

CRA Art. 11

79%

No CAA Records

Any certificate authority can issue certificates for this domain — no restrictions.

NIS2 Art. 21

No HTTPS Redirect

Visitors connect over unencrypted HTTP. Credentials and data are visible on the network.

GDPR Art. 32

92%

No DANE/TLSA

No certificate pinning for email transport — vulnerable to man-in-the-middle on SMTP.

NIS2 Art. 21

Acessibilidade, desempenho e conformidade de cookies

Além da segurança — como os sites europeus se saem em acessibilidade, Core Web Vitals e consentimento de cookies.

Acessibilidade (WCAG 2.2)

782 sites analisados · EAA / BFSG

68.7

Pontuação média

4.5

Violações médias

551

Críticos total

Automotive

72.0

Banking

70.7

E-Commerce

70.7

Educação

80.0

Energia

69.2

Government

78.5

Saúde

78.5

Insurance

68.8

Media

58.8

Pharma

62.4

Imobiliário

64.2

Regulatório

68.8

Technology

67.7

Telecomunicações

66.1

Transporte

76.5

Conformidade de Cookies

782 sites analisados · ePrivacy / TTDSG

5.3

Pré-consentimento média

289

Sem banner

267

Sem rejeitar

Automotive

3.0

Banking

5.4

E-Commerce

5.6

Educação

4.0

Energia

5.8

Government

2.4

Saúde

1.5

Insurance

7.6

Media

7.2

Pharma

5.3

Imobiliário

2.2

Regulatório

2.2

Technology

4.6

Telecomunicações

9.7

Transporte

3.9

Core Web Vitals

759 sites analisados

84.3

Pontuação perf.

1.5s

LCP

0.076

CLS

1.1s

FCP

770.0ms

TBT

0ms

TTFB

Automotive

86.3

Banking

81.6

E-Commerce

84.9

Educação

78.0

Energia

83.3

Government

91.5

Saúde

85.5

Insurance

82.0

Media

79.6

Pharma

82.5

Imobiliário

86.1

Regulatório

94.7

Technology

84.9

Telecomunicações

78.8

Transporte

86.1

Metodologia e pontuação

Como analisamos, o que medimos, como as pontuações são calculadas.

Cada site é analisado semanalmente nestas dimensões de segurança. As pontuações são calculadas numa escala de 100 pontos.

Cabeçalhos de Segurança 25 pts

HSTS, CSP, X-Frame-Options, X-Content-Type, Referrer-Policy, Permissions-Policy

Certificado 20 pts

Key strength, signature algorithm, chain depth, TLS version, forward secrecy

Sem imposição de HTTPS 10 pts

HTTP-to-HTTPS redirect for all visitors

Autenticação 15 pts

SPF, DKIM (key strength), DMARC (policy enforcement)

Segurança DNS 15 pts

DNSSEC signing, CAA records, DoH consistency, DANE/TLSA

security.txt 5 pts

Vulnerability disclosure contact per RFC 9116

MTA-STS 3 pts

Inbound email TLS enforcement (enforce vs. testing mode)

TLS-RPT 2 pts

SMTP TLS failure reporting endpoint

Privacidade do servidor 5 pts

No server version disclosure, no X-Powered-By, restricted CORS

Dados baseados em análises semanais automatizadas de websites acessíveis publicamente.Dados baseados em análises semanais automáticas de websites acessíveis publicamente.

Nenhum nome de site individual é divulgado. Todas as estatísticas são anonimizadas por indústria.

As referências regulamentares indicam quais requisitos se aplicam a cada descoberta. Não afirmam o incumprimento de qualquer organização específica.

Os seus concorrentes estão nestes dados. É melhor ou pior?

Execute uma análise de segurança gratuita e veja a sua pontuação, a sua nota e como se compara — em 30 segundos, sem necessidade de conta.

Analise o seu website agora Conheça o SiteGuardian

Estes dados também estão disponíveis em JSON através da a API de Benchmark.

Benchmark de segurança web da UE

Como se compara o seu setor?

Como se compara o seu país?

Onde se enquadra o seu site neste panorama?

O que encontrámos

Missing Security Headers

Weak Email Authentication

Sem DNSSEC

Acessibilidade, desempenho e conformidade de cookies

Acessibilidade (WCAG 2.2)

Conformidade de Cookies

Core Web Vitals

Metodologia e pontuação

Os seus concorrentes estão nestes dados. É melhor ou pior?

Tem certeza?