Nel 2026 la cybersecurity smetterà definitivamente di essere, per migliaia di imprese italiane, una voce discrezionale di budget o un adempimento delegato all'ultimo fornitore IT disponibile. Con l'entrata a regime della direttiva NIS2, la sicurezza digitale diventerà un obbligo organizzativo, tecnico e persino reputazionale per una platea molto più ampia rispetto al passato. Non si parla più soltanto di grandi infrastrutture critiche o di operatori strategici: il nuovo impianto normativo europeo estende gli obblighi a circa 160.000 soggetti in Europa, secondo le stime richiamate dalla Commissione europea e da diversi analisti di settore. In Italia questo significa che una parte rilevante del tessuto produttivo, comprese molte PMI con un semplice sito web aziendale e un dominio .it, dovrà interrogarsi seriamente sul proprio livello di conformità. E qui emerge il problema: una quota ancora troppo ampia del web italiano non è pronta.
La NIS2, approvata a livello europeo per rafforzare la resilienza cyber degli Stati membri, amplia il numero dei settori coinvolti, irrigidisce gli obblighi di gestione del rischio, introduce requisiti di notifica degli incidenti e chiama direttamente in causa il management. Il principio di fondo è chiaro: la sicurezza informatica non è più un tema confinato ai data center o agli operatori di telecomunicazioni, ma una responsabilità che tocca l'intera catena digitale di un'organizzazione, dal dominio internet alla posta elettronica, dai sistemi DNS ai servizi cloud, fino ai fornitori terzi. Per un Paese come l'Italia, caratterizzato da una forte presenza di piccole e medie imprese spesso digitalizzate in modo incompleto, l'impatto sarà significativo non tanto sul piano teorico, quanto su quello operativo.
I numeri aiutano a capire la posta in gioco. Secondo i dati del Registro .it, il dominio nazionale italiano continua a mostrare una base ampia e dinamica, con milioni di nomi registrati e una presenza particolarmente concentrata nel tessuto delle micro e piccole imprese. Il dominio .it resta uno degli asset identitari più rilevanti per il business digitale italiano, ma il possesso di un nome a dominio non equivale affatto a una postura di sicurezza adeguata. Parallelamente, i dati ISTAT sulla digitalizzazione delle imprese mostrano da anni un quadro duale: cresce l'adozione di strumenti online, dell'e-commerce e dei servizi cloud, ma restano forti divari dimensionali e competenziali. Le imprese più piccole sono quelle che più spesso dispongono di una presenza web minima, senza una governance strutturata della sicurezza. In altre parole, il sito c'è, il dominio anche, ma i controlli essenziali mancano o sono configurati in modo incompleto.
Il primo nodo è HTTPS. Oggi la cifratura del traffico web dovrebbe essere la base minima di qualunque presenza online. Eppure, nonostante la forte spinta del mercato e dei browser, esistono ancora migliaia di siti italiani che non reindirizzano correttamente da HTTP a HTTPS, utilizzano certificati mal configurati, lasciano scadere i certificati o espongono sottodomini non protetti. Le rilevazioni globali di operatori come Netcraft e i report di settore dedicati all'adozione del protocollo TLS mostrano da tempo una crescita strutturale del web cifrato, ma il dato aggregato nasconde una realtà meno confortante per il segmento delle PMI: la qualità della configurazione conta quanto la presenza del lucchetto nel browser. Un certificato gratuito installato male, senza HSTS, con versioni obsolete di TLS o catene incomplete, offre una protezione solo apparente e può esporre l'azienda a problemi di affidabilità, SEO, compliance e fiducia dell'utente.
Il secondo grande vulnus è DNSSEC, ancora poco adottato in modo sistematico. Eppure il DNS è il cuore della reperibilità di un dominio e, al tempo stesso, uno dei suoi punti più delicati. Il Domain Name System Security Extensions serve a proteggere l'integrità delle risposte DNS e a ridurre il rischio di manipolazioni come il cache poisoning o il dirottamento della risoluzione. In Italia, nonostante il supporto tecnico sia disponibile da anni presso numerosi registrar e provider, l'adozione resta limitata rispetto al potenziale. Il motivo è semplice: DNSSEC viene spesso percepito come un'opzione tecnica avanzata, non come un requisito di base. Ma nella logica NIS2 questa lettura non regge più. Se il dominio è la porta d'accesso ai servizi digitali dell'impresa, la sua protezione non può essere facoltativa.
Il terzo punto riguarda la protezione WHOIS e, più in generale, la corretta gestione dei dati di registrazione del dominio. Va chiarito che il quadro europeo, anche per effetto del GDPR, ha già modificato profondamente la visibilità pubblica dei dati dei registranti. Tuttavia, nella pratica, molte imprese italiane continuano ad avere domini intestati in modo opaco, con contatti amministrativi non aggiornati, email tecniche che non esistono più, numeri di telefono non presidiati e talvolta intestazioni in capo a fornitori esterni o ex consulenti. Non è solo un problema formale. Un dominio con dati di contatto disallineati è un dominio vulnerabile: più difficile da recuperare in caso di incidente, più esposto a dispute, più fragile nelle procedure di rinnovo o trasferimento. La sicurezza, qui, coincide con la governance patrimoniale dell'asset digitale.
Il quarto elemento, spesso sottovalutato ma sempre più decisivo, è la sicurezza della posta elettronica tramite SPF, DKIM e, idealmente, anche DMARC. Molti domini .it inviano email senza policy di autenticazione robuste, rendendo più semplice lo spoofing del mittente, il phishing verso clienti e fornitori e il danno reputazionale conseguente. In un'economia in cui gran parte delle frodi B2B passa ancora dalla casella email, non avere questi record DNS configurati correttamente è un rischio operativo prima ancora che normativo. Secondo gli analisti di settore, la crescita degli attacchi di business email compromise e di impersonificazione del brand rende ormai insufficiente la sola protezione antispam lato provider. La responsabilità ricade anche sul titolare del dominio, che deve rendere verificabile l'autenticità dei messaggi inviati.
Il quadro si inserisce in un contesto europeo di minaccia crescente. I report di ENISA, l'Agenzia dell'Unione europea per la cybersicurezza, evidenziano con continuità un aumento della sofisticazione degli attacchi, della superficie esposta e della dipendenza delle organizzazioni da servizi online interconnessi. Anche i dati Eurostat mostrano che la digitalizzazione delle imprese europee cresce anno su anno, trainata da cloud, e-commerce e scambio elettronico di informazioni, ma l'aumento dell'esposizione non sempre è accompagnato da un analogo salto di qualità nelle misure di protezione. Il risultato è un paradosso molto italiano: più siti web, più servizi online, più transazioni digitali, ma non necessariamente più sicurezza reale.
Per le PMI italiane, il passaggio più urgente consiste nel cambiare approccio mentale. La conformità NIS2 non si risolve acquistando un singolo servizio o installando un plugin di sicurezza sul CMS. Serve una revisione dell'intera catena digitale che parte dal dominio e arriva all'organizzazione interna. La prima verifica pratica riguarda il fatto che il sito web sia accessibile esclusivamente in HTTPS, con certificati validi, rinnovi automatici attivi, redirect corretti e configurazioni TLS aggiornate. La seconda verifica riguarda il DNS: bisogna sapere chi gestisce le zone, dove sono ospitate, con quali credenziali si accede e se è possibile attivare DNSSEC senza interrompere i servizi. La terza verifica investe la proprietà del dominio: intestazione corretta all'azienda, contatti amministrativi presidiati, email tecniche funzionanti, procedure di rinnovo tracciate e accessi custoditi con autenticazione multifattore.
Subito dopo viene il capitolo email security. Ogni dominio aziendale dovrebbe avere almeno un record SPF coerente con i sistemi autorizzati all'invio, firme DKIM attive per i servizi di posta in uso e una policy DMARC progressiva, inizialmente in monitoraggio e poi più restrittiva, per ridurre gli abusi. È poi necessario verificare che il sito, il pannello di hosting, il registrar e gli eventuali servizi cloud usino credenziali uniche e autenticazione a più fattori. Un'altra area spesso trascurata è la gestione delle vulnerabilità: CMS, plugin, temi, componenti server e librerie devono essere aggiornati con regolarità, perché molte compromissioni non derivano da attacchi sofisticati ma da falle note lasciate aperte per mesi.
Una checklist seria, per quanto non formalizzata in un elenco burocratico, comprende anche la disponibilità di backup verificati, un piano di ripristino testato, log conservati per un tempo congruo, monitoraggio delle anomalie e una procedura interna per la gestione degli incidenti. Nella filosofia NIS2 conta infatti non solo prevenire, ma anche essere in grado di rilevare, reagire e notificare. Le aziende dovrebbero inoltre mappare i fornitori coinvolti: hosting, software house, web agency, provider email, cloud provider, consulenti sistemistici. Molte PMI scopriranno che il loro sito web dipende da una filiera frammentata, con responsabilità poco chiare e documentazione scarsa. È proprio in queste zone grigie che si annidano i rischi più gravi.
Secondo gli analisti di settore, il mercato della cybersecurity per le PMI è destinato a crescere sensibilmente nei prossimi due anni, spinto da fattori normativi, assicurativi e reputazionali. Non si tratta solo di evitare sanzioni o contestazioni, ma di proteggere continuità operativa, credibilità commerciale e relazioni con clienti e partner. Sempre più spesso, nelle filiere industriali e nei rapporti B2B, la sicurezza minima del dominio e della posta elettronica diventa un prerequisito di affidabilità. Un sito privo di HTTPS corretto, un dominio senza DNSSEC o un sistema email senza SPF/DKIM non trasmettono soltanto debolezza tecnica: segnalano una governance digitale immatura.
La vera sfida italiana, in vista del 2026, sarà evitare che la NIS2 venga letta come l'ennesimo adempimento formale. Sarebbe un errore strategico. La direttiva può diventare invece l'occasione per fare ordine in un patrimonio digitale spesso costruito in modo incrementale, senza standard e senza visione. Il dominio internet, in questo scenario, smette di essere un semplice indirizzo web e torna a essere ciò che realmente è: un'infrastruttura critica in miniatura, il primo punto di contatto tra impresa, clienti e rete. Se il sistema produttivo italiano saprà comprenderlo per tempo, il 2026 non sarà l'anno della compliance subita, ma quello di una maturità digitale finalmente più solida. In caso contrario, molte aziende scopriranno troppo tardi che la vulnerabilità del proprio sito non era un dettaglio tecnico, ma un rischio di business a tutti gli effetti.
| Dominio | Status | Registrar |
|---|---|---|
| nisguard.it | Occupato | INTERNETXGMBH-REG |
| domisicuro.it | Libero | |
| cyberobbligo.it | Libero | |
| sitosicuro.it | Occupato | AM-REG |
| dnsshield.it | Libero | |
| normadominio.it | Libero | |
| mailprotetta.it | Libero | |
| webconforme.it | Libero | |
| secureitalia.it | Libero | |
| prontonis2.it | Libero |