Guida NIS2 · 7 min
Impersonificazione dei fornitori e frode del CEO (BEC): spoofing dell'e-mail, DMARC e NIS2
Uno degli attacchi alla catena di fornitura più comuni non richiede alcuna violazione: un attaccante invia e-mail che sembrano provenire da un fornitore (o da te) e devia un pagamento o ruba dati. È la frode del CEO (BEC) e l'impersonificazione dei fornitori, rese possibili da un'autenticazione e-mail debole che chiunque può verificare dall'esterno. Con NIS2 sei responsabile della sicurezza delle relazioni con i fornitori (articolo 21(2)(d)), e la falsificabilità dell'e-mail è uno dei segnali più chiari ed economici da correggere. Questa guida spiega come funziona l'attacco, quali impostazioni SPF, DKIM e DMARC lo fermano e come si inserisce in NIS2.
Punti chiave
- • Il BEC e l'impersonificazione dei fornitori sfruttano un'autenticazione e-mail debole, non una violazione tecnica.
- • SPF, DKIM e una policy DMARC applicata bloccano l'e-mail falsificata, e sono verificabili pubblicamente.
- • Con NIS2 questo rientra nella sicurezza della relazione con i fornitori e protegge sia te sia i tuoi fornitori.
Come funzionano l'impersonificazione dei fornitori e il BEC
L'attaccante non deve violare nessuno. Se un dominio non applica l'autenticazione e-mail, può inviare posta che sembra provenire da esso: una fattura falsa con nuove coordinate bancarie 'dal tuo fornitore', o una richiesta urgente 'dal tuo amministratore delegato'. Il destinatario si fida del mittente familiare e agisce. Poiché fornitori e clienti si scrivono di continuo, un solo dominio debole nella catena diventa il problema di tutti. L'articolo 21(2)(d) di NIS2 rende tua la gestione di questo rischio di relazione.
Fonte ufficiale: Direttiva NIS2 su EUR-Lex — articolo 21(2) (misure di sicurezza, incl. comunicazioni sicure) e 21(2)(d) (sicurezza della catena di approvvigionamento).
I controlli che fermano lo spoofing
Sono standard, gratuiti da distribuire nel DNS e verificabili pubblicamente. Corrispondono alla base per comunicazioni sicure dell'articolo 21(2) e al funzionamento reale dell'attacco.
SPF (Sender Policy Framework)
Pubblica quali server possono inviare posta per il tuo dominio. Senza di esso, o con un record troppo permissivo, i mittenti falsificati passano senza controllo. Pubblica SPF e mantienilo accurato man mano che aggiungi servizi di posta.
DKIM (DomainKeys Identified Mail)
Firma crittograficamente la tua posta in uscita così che i destinatari possano verificare che non sia stata alterata e provenga davvero dal tuo dominio. Abilita DKIM su ogni servizio che invia a tuo nome.
DMARC con una policy applicata
Collega SPF e DKIM al tuo indirizzo Da visibile e dice ai destinatari cosa fare della posta che fallisce. Una policy p=none si limita a monitorare; passa a p=quarantine o p=reject per bloccare davvero lo spoofing.
Report DMARC (rua) e monitoraggio
I report aggregati mostrano chi invia a nome del tuo dominio, così trovi i tuoi mittenti legittimi prima di applicare la policy e individui gli abusi dopo. Indirizza i report dove vengono letti.
MTA-STS e report TLS (irrobustimento extra)
Imponi la consegna cifrata verso il tuo dominio e ricevi un avviso quando fallisce, chiudendo una via di downgrade che un attaccante potrebbe altrimenti usare per intercettare la posta.
Scopri come si posizionano davvero i tuoi fornitori
7 giorni gratuiti · senza carta di credito · disdici quando vuoi
Perché conta con NIS2, per te e per i tuoi fornitori
Un'autenticazione e-mail applicata protegge i tuoi clienti e partner dall'essere truffati a tuo nome, e protegge te dalla fattura falsificata di un fornitore. Poiché è visibile dall'esterno, è proprio il segnale che un cliente verifica valutandoti come fornitore con NIS2, e ciò che un attaccante sonda per primo. Il monitoraggio continuo del tuo dominio e dei tuoi fornitori fa emergere una policy DMARC debole o alla deriva (ad esempio ancora p=none) e la mappa al dovere di catena di fornitura dell'articolo 21(2)(d), così da correggerla prima che venga sfruttata.
Errori comuni
- ✕Pubblicare DMARC su p=none e non passare mai all'applicazione, così nulla viene davvero bloccato.
- ✕SPF o DKIM sul dominio principale ma non sui sottodomini o sui servizi di invio di terzi.
- ✕Presumere che l'e-mail di fattura di un fornitore sia autentica perché il nome mittente sembra giusto.
- ✕Nessun processo per verificare un pagamento o un cambio di coordinate bancarie tramite un secondo canale.
Non devi leggere i report da solo
I report aggregati DMARC sono file XML giornalieri, e nessuno vuole leggerli a mano. norppa.io li riceve per te a un indirizzo di report unico, li trasforma in analisi del tasso di successo e in un inventario dei mittenti, ed eleva le fonti di spoofing attive a rilievi prioritizzati. I report TLS-RPT sono gestiti allo stesso modo. Ospitato nell'UE, solo dati aggregati, incluso in ogni piano.
Scopri come funziona il monitoraggio della sicurezza email →
Guarda come la tua postura e-mail si mappa su NIS2
Un report fornitore di esempio (rilievi, mappatura NIS2 ed evidenze) in due minuti.
7 giorni gratuiti · senza carta di credito · disdici quando vuoi
Guide correlate
Come conformarsi a NIS2: una roadmap passo dopo passo
I passi verso la conformità NIS2 in ordine: confermare l'ambito, registrarsi, responsabilità della dirigenza (art. 20), le misure dell'art. 21(2), sicurezza della supply chain, notifica degli incidenti (art. 23) e garanzia continua e dimostrata.
Chi rientra nell'ambito di NIS2? Soggetti essenziali e importanti, settori e soglie dimensionali
Stabilite se NIS2 vi riguarda: i due livelli, i settori degli allegati I/II, le soglie dimensionali, le eccezioni indipendenti dalla dimensione e come la supply chain vi coinvolge anche senza designazione.
NIS2 per i fornitori: non siete designati, ma i vostri clienti sì
La maggior parte delle aziende non viene mai designata ai sensi di NIS2, ma molte devono comunque conformarsi. Come l'obbligo sulla catena di approvvigionamento di un cliente soggetto (articolo 21, paragrafo 2, lettera d) ricade su di voi, cosa chiederà e come rispondere in modo credibile.
NIS2 e il requisito della supply chain: cosa significa nella pratica
NIS2 obbliga i soggetti essenziali e importanti a valutare i rischi informatici della loro supply chain. Classificazione dei fornitori, rischio di quarta parte, notifica Art. 23 e cosa cercano i revisori.
Valutazione del rischio informatico dei fornitori: cosa verifica il monitoraggio NIS2 automatizzato
Tutte le categorie di controllo spiegate: ransomware, fughe dark web, TLS/DNSSEC, sicurezza dei cookie, CVE/EPSS, sanzioni, blacklist MX e SAQ. Ciclo di vita dei risultati e mappatura degli articoli NIS2.
NIS2 Art. 21(2): checklist di sicurezza per fornitori
Checklist per i team di approvvigionamento e sicurezza: cosa chiedere, quali prove raccogliere e come rispondere quando un fornitore non soddisfa i requisiti. Include documenti di prova suggeriti.
Questionario fornitori NIS2 (SAQ): cosa chiedere, come valutarlo e un modello gratuito
Cosa chiedere ai fornitori ai sensi dell'art. 21(2)(d), come valutare le risposte e gestire le lacune, perché l'autodichiarazione va verificata, e un modello gratuito.
Notifica degli incidenti NIS2: le scadenze di 24 e 72 ore spiegate
Cosa è un incidente significativo, il calendario dell'articolo 23 (preallarme a 24 h, notifica a 72 h, relazione finale a un mese) e quando l'incidente di un fornitore diventa il vostro obbligo.
NIS2 e la responsabilità della dirigenza: cosa devono sapere consiglio e vertici
Cosa si aspetta NIS2 dall'organo di gestione: doveri di approvazione e vigilanza, responsabilità personale (art. 20), formazione, KPI di reporting al consiglio e sanzioni dell'art. 34.
ISO 27001 e NIS2: cosa copre già il vostro SGSI, e le lacune che restano
Se avete la ISO 27001: cosa si riporta su NIS2 e cosa no (notifica di legge, responsabilità della dirigenza, registrazione e assicurazione continua) e come colmare la lacuna.
Sanzioni e multe NIS2: quanto, chi è responsabile e come evitarle
Cosa sono le sanzioni NIS2: i massimali dell'articolo 34 (10 M€ / 2 % per i soggetti essenziali, 7 M€ / 1,4 % per quelli importanti), la responsabilità personale della dirigenza (art. 20, art. 32), le misure non pecuniarie e come evitarle.
NIS2 vs DORA: differenze, sovrapposizioni e quale si applica a te
In cosa differiscono e si sovrappongono i due regimi UE, perché DORA è lex specialis per i soggetti finanziari, quale si applica a te, e cosa significano entrambi per il rischio terze parti.
GDPR vs NIS2: sovrapposizioni, differenze e quando un incidente attiva entrambi
In cosa differiscono e si sovrappongono GDPR e NIS2, quando un incidente attiva entrambi (GDPR art. 33 72 h all'autorità di controllo vs NIS2 art. 23 24 h/72 h/un mese al CSIRT), la cooperazione dell'art. 35 e il divieto di doppia sanzione, e cosa significano entrambi per la due diligence sui fornitori.
Il Cyber Resilience Act dell'UE (CRA): ambito, calendario e cosa significa per la vostra supply chain
Cosa richiede il CRA, le sue date scaglionate (in vigore 2024, notifica set 2026, piena conformità dic 2027), chi rientra nell'ambito e perché il SaaS puro spesso no, come integra NIS2 e cosa significa per gli acquisti e la due diligence sui fornitori.
Il regolamento UE sull'IA: livelli di rischio, calendario e cosa devono fare i deployer (articolo 26)
Cosa richiede il regolamento UE sull'IA: i livelli di rischio, le date scaglionate (in vigore 2024, vietato feb 2025, GPAI ago 2025, alto rischio ago 2026), gli obblighi del deployer dell'art. 26, come si combina con NIS2 e il GDPR, e cosa significa per l'acquisto di IA.
Stato di recepimento di NIS2: in quali Paesi UE è in vigore
Quali dei 27 Stati membri UE hanno recepito NIS2 nella legge nazionale e quali la stanno ancora completando, e perché i divari raggiungono comunque la tua catena di fornitura.
Clausole contrattuali per i fornitori NIS2: cosa pretendere dai tuoi fornitori
Le clausole che rendono azionabile l'obbligo sulla catena di fornitura di NIS2: base di sicurezza, finestra di notifica, diritti di prova e audit, trasferimento ai subappaltatori e verifica continua.
La tua postura di sicurezza esterna sotto NIS2: cosa vedono fornitori e clienti
I segnali pubblicamente visibili che i clienti valutano ai sensi dell'art. 21(2)(d) di NIS2: falsificabilità dell'e-mail (SPF/DMARC), igiene dei certificati, sistemi esposti a internet e credenziali trapelate, perché ciascuno conta e come verificarli e correggerli.
I tuoi fornitori usano l'IA? Il rischio fornitori di NIS2 incontra il regolamento IA dell'UE
I fornitori integrano sempre più l'IA nei servizi da cui dipendi, e così i loro fornitori. Dove l'IA dei fornitori e dell'ennesima parte crea rischio ai sensi dell'art. 21(2)(d) di NIS2 e del regolamento IA, cosa valutare e come mantenere la visibilità.
Ultima revisione: 19 giugno 2026
Questa guida fornisce informazioni generali sul diritto dell'UE, non consulenza legale. NIS2 entra in vigore tramite la legge di recepimento nazionale di ciascuno Stato membro dell'UE, che può differire nei dettagli. Verifica gli obblighi che ti riguardano con la tua autorità competente o un consulente legale.