La Clonazione delle Email Istituzionali: Non è Hacking, è una Mancanza di Sicurezza di Base

francesco.dichiara 7, Ott, 2025

Avvisi

L’episodio che ha coinvolto un indirizzo governo.it svela una vulnerabilità evitabile che espone lo Stato a rischi gravi.

La recente notizia della clonazione di un’indirizzo email della Presidenza del Consiglio dei Ministri ha messo in luce una falla di sicurezza allarmante. Contrariamente a quanto si potrebbe pensare, non si è trattato di un’intrusione hacker nei server di Stato, ma dello sfruttamento di una mancanza di configurazione nelle fondamenta stesse della posta elettronica.

Il Cuore del Problema: SPF, DKIM e DMARC

La vulnerabilità risiede nell’assenza o in una configurazione inefficace di tre protocolli di sicurezza essenziali, nati proprio per prevenire questo tipo di attacchi:

SPF (Sender Policy Framework): Come un elenco di indirizzi IP autorizzati a inviare posta per un dominio. Se questo elenco non esiste o è troppo vago, chiunque può impersonare il mittente.
DKIM (DomainKeys Identified Mail): Una firma digitale che autentica il messaggio, garantendo che non sia stato alterato e che provenga davvero dai server legittimi.
DMARC (Domain-based Message Authentication, Reporting & Conformance): Il “supervisore” che dice ai server cosa fare con le email che falliscono i controlli SPF e DKIM: bloccarle o metterle in quarantena.

Nel caso specifico, la mancanza di una politica DMARC forte (impostata su “p=reject“) ha permesso alla email clonata di superare i filtri di sicurezza e di essere recapitata come se fosse autentica.

Perché è Grave e Quali sono i Rischi?

Questa negligenza tecnica non è una semplice svista, ma un rischio concreto per la sicurezza nazionale. Apre la porta a:

Phishing Altamente Credibile: Dipendenti pubblici potrebbero ricevere ordini falsi o richieste di dati sensibili da quello che sembra un superiore.
Disinformazione: Diffusione di comunicati stampa e notizie false, con danni all’immagine e alla stabilità istituzionale.
Frode: Potenziali truffe economiche che sfruttano la fiducia in un dominio governativo.

Conclusione

L’episodio dimostra che la sicurezza informatica dello Stato non si gioca solo su firewall complessi, ma anche sulla corretta configurazione di protocolli di base, noti e obbligatori da anni per qualsiasi azienda seria. Una volta identificato, il problema è tecnicamente semplice da risolvere. La sua esistenza, tuttavia, solleva serie domande sulla cura dell’infrastruttura digitale pubblica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.