Email spoofing di Meloni. L’analisi tecnica del caso

8 Ottobre 2025

Questa analisi ha lo scopo di chiarire gli aspetti tecnici dell’accaduto, spiegando perché, in questo caso, non si possa parlare di “compromissione” di account di posta elettronica. L’articolo di Emanuele De Lucia, Chief Intelligence Officer – Meridian Group.

Recentemente una notizia relativa alla presunta “clonazione” dell’indirizzo di posta elettronica di Giorgia Meloni ha suscitato un dibattito pubblico sulla sicurezza informatica e sui protocolli di posta elettronica. La notizia ha mostrato un’email che sembrava provenire da un indirizzo di posta ufficiale del governo italiano, suggerendo l’esistenza di una vulnerabilità a livello sistemico.

Questa analisi ha lo scopo di chiarire gli aspetti tecnici dell’accaduto, spiegando perché, in questo caso, non si possa parlare di “compromissione” di account di posta elettronica.

Si parla al contrario di come una caratteristica intrinseca di uno dei protocolli di base della rete Internet può essere sfruttata anche oggi (come già a partire dalla metà degli anni 90) per inviare messaggi con mittenti (“sender”) totalmente arbitrari.

La tecnica utilizzata è una forma di falsificazione digitale nota come email spoofing, che consiste nel modificare a piacimento l’indirizzo del mittente visualizzato dal destinatario. È importante sottolineare che tentativi di questo genere hanno scarse possibilità di avere successo se condotti contro moderne infrastrutture di posta elettronica correttamente configurate.

I domini email governativi ed enterprise sono generalmente protetti da protocolli di sicurezza standard a livello internazionale (SPF, DKIM e DMARC). Questi sistemi di controllo mirano esattamente ad identificare tali messaggi come “non autentici”, bloccandoli prima che possano raggiungere la casella di posta del destinatario.

Lo “spoofing controllato”

La discussione è nata da un servizio video che presentava una dimostrazione tecnica. Nel video un informatico mostrava come fosse possibile inviare un’email facendo apparire come mittente un indirizzo istituzionale. L’email veniva visualizzata nella casella di posta di un destinatario, suggerendo l’esistenza di una vulnerabilità che avrebbe potuto esporre le comunicazioni a rischi significativi.  

Tuttavia, ad un occhio esperto, è stato fin da subito chiaro che la riuscita della dimostrazione è stata basata molto probabilmente su una condizione specifica: l’ipotesi tecnicamente più plausibile, infatti, è che l’invio dell’email sia andato a buon fine grazie ad un server di posta ricevente non correttamente configurato o che non abbia eseguito i controlli standard di verifica.

Tale casistica, se non adeguatamente contestualizzata, rischia di essere percepita come una minaccia generalizzata. Se l’email fosse stata inviata a un qualsiasi sistema di posta moderno e correttamente configurato, infatti, sarebbe stata bloccata o quanto meno “marcata” come fraudolenta.

L’Anatomia della Tecnica: Email Spoofing vs. Account Takeover

Per comprendere a fondo la questione, è fondamentale distinguere tra la tecnica effettivamente utilizzata (email spoofing) e ciò che il termine “clonazione” suggerisce (un vero e proprio Account Takeover). Si tratta di due tipi di attacchi informatici con livelli di gravità e meccanismi di difesa molto diversi.

L’email spoofing consiste nell’inviare un’email con un indirizzo mittente contraffatto. Questa è una tecnica resa possibile dal design originale del protocollo di posta elettronica, il Simple Mail Transfer Protocol (SMTP), che non include un sistema di base per la verifica dell’identità del mittente (sender).  

Questo permette, nella pratica, di inviare messaggi con un mittente totalmente arbitrario. E’ importante sottolineare che online esistono molti servizi che permettono di farlo in modo estremamente semplice e rapido. L’ email spoofing è una tecnica che fino a qualche anno fa era massivamente usata nel phishing e nello spam per tentare di ingannare i destinatari, inducendoli a compiere azioni dannose come cliccare su link malevoli o fornire dati sensibili. Oggi vista l’ adozione di protocolli di sicurezza nella grande maggioranza delle caselle “riceventi” a livello sia istituzionale che enterprise, applicare una c.d. “email spoofing” in un attacco di tipo phishing potrebbe addirittura essere contro-producente in quanto il messaggio con estrema probabilità fallirebbe anche solo nel raggiungere il destinatario.

L’Account Takeover (ATO), invece, è qualcosa di molto più grave, in cui un malintenzionato ottiene il pieno controllo di una casella di posta dopo averne rubato le credenziali di accesso.

Gli attacchi ATO non sfruttano generalmente debolezze del protocollo email, ma la compromissione delle credenziali dell’utente, che può avvenire tramite:

  • Phishing: La vittima viene indotta con l’inganno a inserire le proprie credenziali su una pagina di login falsa.
  • Data Breach: Le credenziali rubate da un sito vengono provate su altri servizi, sfruttando la tendenza degli utenti a riutilizzare le password.
  • Malware: Software dannosi come i keylogger registrano ciò che l’utente digita, inclusa la password.

La distinzione tra spoofing e ATO è fondamentale per una corretta percezione del rischio. Confondere le due pratiche può generare un allarme sproporzionato, distogliendo l’attenzione da minacce più concrete e diffuse come il phishing, che richiede la vigilanza dell’utente. L’uso di termini imprecisi può orientare l’attenzione verso problemi tecnici complessi, quando invece le difese più efficaci contro gli attacchi più dannosi risiedono spesso in buone pratiche di sicurezza individuali.

Sistemi di difesa: come funzionano SPF, DKIM e DMARC

L’email spoofing è una tecnica nota da moltissimo tempo. Il motivo per cui i tentativi di email spoofing sono oggi ben identificati in sistemi di posta adeguatamente configurati risiede nell’esistenza di meccanismi di difesa a più livelli.

Per sopperire alle mancanze del protocollo SMTP originale (già ampiamente sfruttate a partire dalla metà degli anni 90 per condurre campagne di phishing), sono stati sviluppati standard di autenticazione che funzionano come sistema di verifica per le email in arrivo.

I tre protocolli principali — SPF, DKIM e DMARC — lavorano insieme per verificare l’identità del mittente e proteggere le caselle di posta.

1. SPF (Sender Policy Framework): La Lista dei Mittenti Autorizzati

Il Sender Policy Framework (SPF) è il primo livello di difesa. Risponde a una domanda semplice: il server che ha inviato questa email è autorizzato a farlo per conto di questo dominio? In estrema sintesi, quando un server ricevente (come quello di Gmail) riceve un’email, confronta l’IP del server mittente (che potrebbe falsificare il mittente) con l’elenco presente nel record SPF. Se l’IP è autorizzato, il controllo passa; altrimenti, fallisce e l’email viene contrassegnata come “fraudolenta”.

2. DKIM (DomainKeys Identified Mail): Il Sigillo di Garanzia

Mentre l’SPF verifica l’origine, il DomainKeys Identified Mail (DKIM) verifica l’integrità e l’autenticità del messaggio. Assicura che l’email provenga da un server autorizzato e che il suo contenuto non sia stato alterato durante il transito. Il DKIM utilizza la crittografia a chiave pubblica. Il server mittente firma digitalmente ogni email in uscita con una chiave privata. La corrispondente chiave pubblica viene pubblicata nel DNS del dominio. Il server ricevente utilizza la chiave pubblica per verificare la firma. Se la verifica ha successo, si ha la certezza che l’email sia autentica e che il suo contenuto non sia stato manomesso.

3. DMARC (Domain-based Message Authentication, Reporting, and Conformance): Le Istruzioni Operative

Il DMARC unisce SPF e DKIM, consentendo al proprietario del dominio di specificare come i server riceventi debbano trattare le email che non superano i controlli di autenticazione. Questa “policy” può essere impostata su tre livelli :

  • p=none: Modalità di monitoraggio. L’email viene recapitata, ma il fallimento viene segnalato al proprietario del dominio.
  • p=quarantine: L’email viene contrassegnata come sospetta e spostata nella cartella spam.
  • p=reject: L’email viene bloccata e cancellata completamente, senza mai raggiungere il destinatario.

Dalla consapevolezza all’azione: raccomandazioni per cittadini e organizzazioni

L’analisi di questo caso di studio offre una lezione importante di alfabetizzazione digitale. Una maggiore consapevolezza dei rischi reali permette a cittadini e organizzazioni di adottare misure concrete per migliorare la propria sicurezza.

Per i singoli cittadini, la protezione nel mondo digitale si basa principalmente su un atteggiamento prudente:

  • Imparare a Riconoscere il Phishing: La maggior parte degli attacchi informatici di successo inizia con un tentativo di phishing. Imparare a riconoscere i segnali di allarme è una competenza fondamentale. Tra gli indicatori comuni vi sono, per l’appunto, il mittente sospetto. Verificaresempre l’indirizzo email completo del mittente, non solo il nome visualizzato.  

Per aziende e istituzioni, la sicurezza si basa sull’integrazione tra tecnologia e formazione del personale.

  • Implementare l’Autenticazione Tecnica: Tutte le organizzazioni dovrebbero configurare correttamente i protocolli SPF, DKIM e DMARC (con una policy p=quarantine o p=reject). Questo protegge il proprio dominio da tentativi di impersonificazione e contribuisce a un ecosistema email più sicuro per tutti.
  • Investire nel “Fattore Umano”: La tecnologia da sola non basta. È fondamentale investire in programmi di formazione continua sulla sicurezza per tutto il personale. Simulazioni di phishing regolari possono aiutare i dipendenti a riconoscere e segnalare i tentativi di ingegneria sociale, trasformandoli in una linea di difesa attiva.  

Per approfondire, l’articolo del Direttore:
Falsificazione dell’email di Meloni, perché l’email spoofing non è una novità e cosa insegna il clamore mediatico

PrecedenteSuccessivo

esperto di cyber sicurezza ed intelligence

Related Posts

AI McKinsey

Due ore per hackerare la piattaforma AI di McKinsey con un agente autonomo. L’esperimento

12 Marzo 2026
Stryker

Attacco cyber Stryker, c’è la rivendicazione del gruppo filo-iraniano Handala. Quando colpire la sanità diventa “un’operazione geopolitica”

12 Marzo 2026
Salt Telco

Salt Typhoon, rischi per le Telco globali e competizione geo-economica per la cybersicurezza

12 Marzo 2026

Coruna, toolkit che sta colpendo gli iPhone a livello globale

12 Marzo 2026

Ultime news

AI McKinsey
Stryker
Salt Telco
Europol Iran
Rudd Cyber