Sicurezza email: cosa succede ai tuoi dati dopo l'invio?

Sicurezza email: perché la posta elettronica non protegge i dati riservati (e cosa fare)

Ogni giorno le aziende scambiano migliaia di documenti riservati via posta elettronica. Di fatto, l’email nasce nel 1971 per recapitare messaggi, non per proteggerli. Inoltre, GDPR, NIS2 e DORA richiedono controlli che una casella email standard non può garantire.

Introduzione

Spesso ci si chiede: la posta elettronica è sicura per inviare documenti aziendali riservati? La risposta è no: l’email standard è un canale di consegna, non garantisce controllo post‑invio, revoca, audit e protezione persistente dei documenti. Per dati riservati serve protezione data‑centric (i.e. cifratura, policy e tracciamento) o canali progettati per la riservatezza per rispettare i requisiti del GDPR, della NIS2 e di DORA

Email: un canale di comunicazione, non uno strumento di sicurezza

Il protocollo SMTP (Simple Mail Transfer Protocol), introdotto nel 1982, è lo standard che consente l’invio di email su Internet. In pratica agisce come un “postino digitale”: prende il messaggio dal client di posta (Outlook, Gmail e simili) e lo consegna al server del destinatario. L’SMTP, a oltre 40 anni dalla sua nascita, continua ad essere il motore della posta elettronica aziendale e veicola ogni giorno contenuti ad alta criticità, tra cui: contratti, dati sanitari, informazioni finanziarie e know-how industriale.

È proprio da qui che nasce il paradosso della sicurezza email: utilizziamo un protocollo progettato per recapitare messaggi, non per proteggere dati sensibili. Continuiamo a farlo per consuetudine, perché la posta è integrata nei flussi di lavoro e perché spesso sottovalutiamo il rischio. La posta elettronica è efficiente per comunicare, ma la sicurezza richiede controlli aggiuntivi applicati al contenuto.

I dati del “Data Breach Investigations Report (DBIR) 2025” di Verizon lo confermano:

• 94% dei malware tramite email - L'email si conferma il mezzo di diffusione principale per il malware, spesso sfruttando tecniche di phishing per indurre gli utenti a scaricare file dannosi.
• 68% dei data breach dovuto al fattore umano - I criminali informatici puntano sulla manipolazione utilizzando tecniche di social engineering via email.
• Email inviate al destinatario errato - Molti incidenti sono scaturiti da invii e da configurazioni errate (misconfiguration) che espongono dati sensibili a soggetti non autorizzati.

La sicurezza delle email: il problema risiede nella progettazione

L’email tradizionale soffre di limiti strutturali che nessuna password complessa o filtro antispam può risolvere e, precisamente:

• Nessuna cifratura nativa - Il contenuto può transitare in chiaro tra i server e non è protetto in modo end-to-end. Il protocollo TLS (Transport Layer Security) mette al sicuro il canale di trasmissione “in transito”, ma non cifra il messaggio e gli allegati “a riposo” sui server o nelle caselle di posta.
• Impossibile revocare l’email - Il mittente, una volta premuto il comando “Invia”, perde ogni controllo. Non è possibile richiamare un allegato inviato al destinatario sbagliato.
• Nessun tracciamento reale - Non si può sapere chi ha letto il documento, chi lo ha inoltrato o scaricato. Le conferme di lettura sono opzionali e aggirabili.
• Nessuna scadenza - Un allegato inviato cinque anni fa è ancora accessibile, scaricabile, inoltrabile. Non esiste un meccanismo nativo di scadenza del documento.

L’errore umano, nella sicurezza email, è spesso un errore di sistema

Quando ciò che si è descritto sopra si verifica, quasi mai si tratta di un singolo “errore umano”: più spesso è l’esito di un processo progettato male, in cui la scelta meno sicura è anche la più semplice. Basta un invio al destinatario sbagliato perché un documento riservato esca dal perimetro aziendale.

Lo definiamo “errore umano”, ma in realtà è un errore di processo: la via sicura è più lenta, quindi non viene adottata.

Di fatto, un dipendente, se per condividere un documento in modo sicuro, deve aprire una piattaforma separata, generare una password, inviarla su un secondo canale e tenere traccia manualmente degli accessi, l’email “normale” vincerà quasi sempre. Per questo la sicurezza deve essere by design e by default: la strada più semplice deve coincidere con quella più protetta, senza trasformarsi in un ostacolo aggiuntivo.

Anche il phishing è cambiato. Quello “classico” si individuava grazie a refusi, grafica approssimativa o link palesemente sospetti. Il phishing generato con AI, invece, è spesso impeccabile: testi corretti, tono credibile e messaggi personalizzati con dati OSINT (ad esempio informazioni pubbliche ricavate da LinkedIn o da altri social media). Inoltre, può essere prodotto e inviato su larga scala. Ne consegue che il vecchio perimetro di difesa, basato solo sull’attenzione dell’utente, non basta più.

Cosa succede dopo il "send"

Nell’email tradizionale, dopo l’invio, il destinatario può inoltrare il messaggio a chiunque, salvare l'allegato su dispositivi non gestiti dall'IT aziendale, archiviarlo in caselle personali per anni o condividerlo su piattaforme di terze parti, senza che il mittente lo sappia.

Inoltre, la casella email diventa un archivio non governato: fuori dal sistema documentale aziendale, invisibile all'IT, con anni di storico esposti, nel momento in cui la casella viene compromessa.

Di seguito un’analisi delle principali limitazioni e rischi associati all’email tradizionale.

• Inoltro email e caricamento allegati - L'inoltro automatico o l'invio di email aziendali a indirizzi esterni (es. Gmail personale) o l'uso di piattaforme di cloud non aziendali per caricare allegati comporta un alto rischio di data leak (perdita di dati). Senza dimenticare che l'inoltro di email contenenti informazioni riservate o dati personali è soggetto a restrizioni normative. Le aziende dovrebbero bloccare l'inoltro automatico verso domini esterni e limitare la dimensione degli allegati (spesso <25MB), incoraggiando l'uso di link condivisi in modo sicuro (es. repository aziendale) invece di allegati fisici.
• Salvataggio allegati su dispositivi non gestiti (BYOD – Bring Your Own Device) - Il salvataggio di allegati aziendali su dispositivi personali (smartphone, PC non protetti) rende i dati vulnerabili a infezioni da malware e accessi non autorizzati. Inoltre, tali file sfuggono al controllo dei backup aziendali e alle procedure di cancellazione sicura. È fondamentale utilizzare soluzioni di Virtual Desktop Infrastructure (VDI), Data Loss Prevention (DLP) e Mobile Device Management (MDM) per separare i dati lavorativi da quelli personali, oltre a vietare lo scaricamento di allegati su dispositivi non autorizzati.
• Archiviazione email in caselle personali (Shadow IT) - L'archiviazione di email aziendali in caselle personali per anni può comportare rischi di mancata compliance. Il datore di lavoro perde il controllo sui dati e non può garantirne la protezione o la cancellazione secondo le normative. Inoltre, è importante evidenziare che la conservazione prolungata (es. 5 anni) dei backup di email è spesso ritenuta non conforme alle normative vigenti. In aggiunta, dopo la fine del rapporto lavorativo, le caselle devono essere disattivate e le email aziendali devono essere conservate su sistemi aziendali per 10 anni (ove previsto), non su caselle private.
• Condivisione email su piattaforme di terze parti - L'uso di piattaforme di terze parti (es. tool di IA generativa, servizi di messaggistica non approvati) per analizzare o per condividere il contenuto delle email può causare una violazione della confidenzialità. Si consiglia di formare i dipendenti sui rischi della "Shadow IT" e sui metodi sicuri di gestione dei dati, oltre ad implementare rigide policy di sicurezza dell’email.
  
  

La PEC certifica invio e ricezione: non protegge la riservatezza

È importante chiarire un punto: la PEC (Posta Elettronica Certificata) non è una soluzione di sicurezza, dato che serve a fornire prova legale di invio e di ricezione (con data e ora opponibili). Essa, infatti, non cifra il contenuto, non impedisce l’inoltro e non offre un tracciamento affidabile di chi ha aperto o scaricato l’allegato.

Per la riservatezza, serve cifrare il contenuto. Un’email cifrata, basata su standard come S/MIME (Secure/Multi-purpose Internet Mail Extensions) o PGP (Pretty Good Privacy), può proteggere il contenuto sia in transito sia a riposo e soddisfare in modo più completo i requisiti di riservatezza e accountability previsti da GDPR, NIS2 e DORA.

Conservazione delle email (data retention): un rischio spesso sottovalutato

Un tema spesso trascurato nella sicurezza email è la conservazione (data retention). Molte organizzazioni definiscono una retention policy “uguale per tutte” per la casella di posta, fissando un numero di mesi o anni. Il problema è che il GDPR ragiona, invece, per finalità di trattamento e per categorie di dati, non per strumento.

Ad esempio, un contratto può richiedere 10 anni, una comunicazione marketing 24 mesi, mentre i dati sanitari o HR seguono regole specifiche. La casella email, tuttavia, non distingue automaticamente tra questi contenuti e tende a conservare tutto nello stesso archivio. Ciò contribuisce ad aumentare l’esposizione in caso di compromissione, oltre a rendere difficile dimostrare una conservazione davvero conforme, selettiva e verificabile.

Cosa serve davvero per chiudere le falle

Non esiste una soluzione unica per ovviare ai punti di cedimento delle email in termini di salvaguardia dei dati. Tuttavia, si consiglia alle organizzazioni di considerare le seguenti strategie:

• Cifratura end-to-end dei documenti allegati - Non basta il canale cifrato, il documento deve essere protetto indipendentemente dal mezzo di trasporto, con chiavi che l'azienda mittente controlla.
• Tracciamento granulare degli accessi - È importante sapere chi ha aperto il file, quando, da quale dispositivo e da quale paese. Soprattutto quando si tratta di rispondere a un audit o di ricostruire un incidente.
• Revoca e scadenza dei documenti - È necessario poter disattivare l'accesso a un file anche dopo l'invio e impostare una data di scadenza automatica. Ovvero, il mittente deve conservare il controllo nel tempo.
• Processo di sicurezza email user-friendly - I controlli vanno integrati nei workflow esistenti (i.e. client di posta, approvazioni, condivisione file), senza introdurre frizione. Se il percorso sicuro richiede più passaggi di quello insicuro, l’adozione calerà e prevarrà l’email tradizionale.

Conclusione

La posta elettronica resta uno strumento straordinario per comunicare, ma non nasce per proteggere informazioni riservate. Pertanto, è necessario adottare una strategia data‑centric: proteggere il documento con cifratura e policy di accesso, mantenere controllo post‑invio e governare la retention per finalità. Solo in questo modo l’email resta un canale efficiente, senza diventare il punto debole della protezione dati.