Dados do SiteGuardian EU Web Security Benchmark — abril de 2026, 704 044 websites avaliados em 30 paises.
94,8% reprovam
Analisamos automaticamente 704 044 websites europeus — em seis dimensoes: cabecalhos de seguranca HTTP, configuracao TLS, seguranca DNS, autenticacao de e-mail, acessibilidade e conformidade de cookies.
Os resultados:
| Classificacao | Percentagem |
|---|---|
| A | 0,0% (16 websites) |
| B | 0,2% |
| C | 5,0% |
| D | 52,5% |
| F | 42,3% |
Nao se trata de websites de nicho. O benchmark inclui empresas, organismos governamentais, hospitais, bancos e plataformas de comercio eletronico de toda a UE — organizacoes abrangidas pela NIS2, DORA ou RGPD que processam dados pessoais diariamente.
O Panorama Regulamentar: O Que a UE Exige
Nos ultimos tres anos, a UE construiu um quadro regulamentar que transforma a seguranca web de um complemento opcional numa obrigacao legal. Tres regulamentos destacam-se:
NIS2 (Diretiva 2022/2555) — com prazo de transposicao nacional desde outubro de 2024. O artigo 21.o, n.o 2, exige que as entidades essenciais e importantes implementem medidas concretas: criptografia, resposta a incidentes, seguranca da cadeia de abastecimento e — na alinea e) — tratamento e divulgacao de vulnerabilidades. Setores abrangidos: energia, transportes, saude, infraestrutura digital, industria transformadora, alimentacao, servicos postais e prestadores de servicos digitais. Sancoes: ate 10 milhoes de EUR ou 2% da receita anual global.
DORA (Regulamento 2022/2554) — em vigor desde janeiro de 2025 para o setor financeiro. Os artigos 6.o a 8.o exigem a gestao do risco de TIC, incluindo a identificacao e correcao de vulnerabilidades. Entidades abrangidas: bancos, seguradoras, empresas de investimento, prestadores de servicos de criptoativos e os seus fornecedores criticos de TIC.
Cyber Resilience Act (Regulamento 2024/2847) — comunicacao obrigatoria de vulnerabilidades ativamente exploradas a partir de setembro de 2026 (art. 11.o), divulgacao coordenada de vulnerabilidades a partir de dezembro de 2027 (art. 14.o). Aplica-se a fabricantes, importadores e distribuidores de produtos digitais. Sancoes: ate 15 milhoes de EUR ou 2,5% da receita.
Os requisitos estao definidos. Como e a realidade?
Cabecalhos de Seguranca HTTP: A Primeira Linha de Defesa Esta Ausente
Os cabecalhos de seguranca sao instrucoes do lado do servidor que protegem o navegador — contra cross-site scripting, clickjacking, confusao MIME e ataques de downgrade. Nao custam nada, normalmente requerem uma unica linha de configuracao, e no entanto continuam praticamente por adotar:
| Cabecalho | Adocao | O Que Protege |
|---|---|---|
| Strict-Transport-Security (HSTS) | 27,6% | Impede o downgrade para HTTP |
| X-Content-Type-Options | 27,7% | Bloqueia o MIME sniffing |
| X-Frame-Options | 19,2% | Impede o clickjacking |
| Referrer-Policy | 13,1% | Controla fugas de referrer |
| Content-Security-Policy (CSP) | 10,8% | Mitiga XSS e injecao |
| Permissions-Policy | 6,4% | Restringe APIs do navegador |
Tres em cada quatro websites permitem ligacoes nao encriptadas, apesar de terem um certificado TLS — falta o HSTS. 24,3% nem sequer redirecionam para HTTPS automaticamente.
Content Security Policy — a defesa mais eficaz contra ataques XSS — esta ausente em 89% dos websites.
Seguranca de E-mail: Phishing Facilitado
O phishing e o Business Email Compromise sao os vetores de ataque mais comuns na Europa. As contramedidas tecnicas existem ha anos — e continuam por implementar:
| Norma | Adocao | Finalidade |
|---|---|---|
| SPF | 75,7% | Verificacao do remetente |
| STARTTLS | 56,3% | Encriptacao de transporte |
| DMARC | 46,8% | Aplicacao de politicas |
| DKIM | 31,1% | Integridade da mensagem |
| MTA-STS | 0,5% | Encriptacao de transporte obrigatoria |
O SPF sozinho nao e suficiente. Sem DMARC definido como reject ou quarantine, qualquer pessoa pode enviar e-mails em nome do seu dominio. Dos 46,8% que possuem DMARC, 63% definem a politica como none — ou seja, sem aplicacao. O dominio permanece vulneravel a spoofing.
As configuracoes incorretas que encontramos na pratica sao particularmente reveladoras. Vemos politicas DMARC como quarantaine, rejet, keiner, brak (polaco para "ausente"), beleidsnaam (neerlandes para "nome da politica") — e um website que colou a sua chave RSA inteira no campo da politica. Estes erros de configuracao sao dificeis de detetar — o registo existe, a lista de verificacao esta assinalada, mas a protecao nao funciona. E precisamente esta lacuna entre "configurado" e "eficaz" que o SiteGuardian foi criado para colmatar: verificacoes automaticas que validam nao apenas a presenca, mas o funcionamento correto de cada medida.
DNS: O Alicerce Sem Protecao
| Norma | Adocao | Finalidade |
|---|---|---|
| DNSSEC | 15,8% | Protecao contra spoofing de DNS |
| CAA | 3,0% | Controlo sobre emissao de certificados |
| MTA-STS | 0,5% | Encriptacao obrigatoria de e-mail |
| DANE/TLSA | <1% | Fixacao de certificados para SMTP |
84% dos dominios europeus nao possuem protecao DNSSEC. Um atacante que consiga manipular respostas DNS pode redirecionar utilizadores para websites fraudulentos — com um certificado TLS valido, se nenhum registo CAA restringir a emissao. 97% nao o possuem.
O Indicador security.txt
O RFC 9116 define um ficheiro de texto simples em /.well-known/security.txt que disponibiliza aos investigadores de seguranca um canal de comunicacao padronizado. A ENISA recomenda-o como boa pratica, a NIS2 exige a divulgacao de vulnerabilidades e o Cyber Resilience Act torna a divulgacao coordenada obrigatoria.
Taxa de adocao na UE: 2,8%.
A descoberta interessante: o security.txt correlaciona-se fortemente com a maturidade geral do website.
| Metrica | COM security.txt | SEM | Fator |
|---|---|---|---|
| Pontuacao composta | 55 | 42 | +31% |
| HSTS | 72% | 26% | 2,8x |
| Content Security Policy | 47% | 10% | 4,7x |
| Classificacao F | 6% | 44% | 7x menos |
O security.txt nao e uma solucao milagrosa. Quem dedica tempo a configura-lo geralmente ja tratou de tudo o resto. E um indicador de maturidade em seguranca — se esta ausente, normalmente tudo o resto tambem esta.
A Posicao da Europa: Ranking por Pais
| Posicao | Pais | Pontuacao | Quantidade |
|---|---|---|---|
| 1 | Malta | 46 | 640 |
| 2 | Islandia | 45 | 928 |
| 3 | Alemanha | 45 | 203 075 |
| 4 | Reino Unido | 44 | 73 769 |
| 5 | Luxemburgo | 44 | 1 303 |
| 6 | Suica | 43 | 26 248 |
| 7 | Noruega | 43 | 8 814 |
| 8 | Paises Baixos | 43 | 37 893 |
| ... | |||
| 26 | Espanha | 39 | 26 214 |
| 27 | Austria | 39 | 30 804 |
| 28 | Hungria | 38 | 6 886 |
| 29 | Lituania | 38 | 3 539 |
| 30 | Polonia | 37 | 30 694 |
A Alemanha lidera entre os grandes Estados-Membros da UE — mas com 45 em 100 pontos. O melhor entre os piores. A diferenca entre o 1.o e o 30.o lugar e de apenas 9 pontos. A Europa nao tem um lider a definir o padrao. Tem um deficit a escala continental.
O Que os CISO Devem Fazer Agora
1. Meca o seu ponto de partida. Nao e possivel gerir o que nao se mede. Analise os seus dominios — de forma automatica, regular, nas seis dimensoes.
2. Ative os cabecalhos de seguranca. HSTS, CSP, X-Content-Type-Options — tres cabecalhos que mitigam a maioria dos ataques web comuns. A maior parte das frameworks web consegue adiciona-los com uma unica linha de configuracao.
3. Defina o DMARC como reject. Comece com quarantine e pct=10, monitorize os relatorios e depois escale para reject. policy=none nao protege ninguem.
4. Ative o DNSSEC. Fale com o seu fornecedor de DNS. A maioria dos grandes fornecedores suporta — basta ativar.
5. Configure o security.txt. Cinco minutos de trabalho, RFC 9116. Dois campos obrigatorios: Contact e Expires. A ENISA lista-o como boa pratica e o art. 21.o, n.o 2, alinea e) da NIS2 exige a divulgacao de vulnerabilidades.
6. Nao analise apenas a pagina inicial. Subdominios, APIs, servidores de e-mail — a superficie de ataque e maior do que a pagina inicial. Um benchmark automatizado descobre sistematicamente o que as auditorias manuais deixam escapar.
Metodologia
Este artigo baseia-se no SiteGuardian EU Web Security Benchmark, que abrange 704 044 websites em 30 paises europeus (dados de abril de 2026). O benchmark avalia seis dimensoes: cabecalhos de seguranca HTTP, certificados TLS, seguranca DNS (DNSSEC, CAA, DANE, MTA-STS), autenticacao de e-mail (SPF, DKIM, DMARC, STARTTLS), acessibilidade (WCAG 2.2 AA) e conformidade de cookies. Todas as analises sao executadas de forma automatica e continua, sem selecao manual ou patrocinio.
O benchmark e acessivel gratuitamente em siteguardian.io/benchmark.
O SiteGuardian e uma ferramenta europeia de conformidade e monitorizacao de seguranca web, desenvolvida na Alemanha.