Analisi della conformità agli standard Internet moderni dei domini istituzionali della PA italiana

Utilizzando la test suite Internet.nl, ho analizzato i domini istituzionali delle pubbliche amministrazioni centrali e locali italiane, estratti da Indice PA, per verificare l'adozione e la corretta implementazione degli standard moderni di Internet come IPv6, DNSSEC, HTTPS, DMARC e altri.

Cos'è Internet.nl

Internet.nl è uno strumento libero e gratuito che consente di verificare se un sito web, un servizio di posta elettronica o una connessione Internet adottano gli standard moderni e sicuri di Internet. Il progetto è un'iniziativa del Dutch Internet Standards Platform, una collaborazione tra enti governativi dei Paesi Bassi e organizzazioni della comunità Internet, con l'obiettivo di promuovere l'adozione di protocolli aggiornati per rendere la rete più affidabile e sicura.

Oltre che sul sito del progetto, la test suite è anche disponibile come software libero (licenza Apache 2.0), installabile come container Docker.

Cos'è Indice PA

Indice PA è una banca dati pubblica gestita dall'Agenzia per l'Italia Digitale (AgID) che contiene i riferimenti, tra i quali i siti web e gli indirizzi di posta elettronica istituzionali, delle pubbliche amministrazioni e dei gestori di servizi pubblici.

La banca dati è alimentata dagli enti stessi, che sono tenuti a mantenere aggiornate le proprie informazioni, ed è fruibile come Open data secondo i termini della licenza Creative Commons Attribution 4.0.

Metodologia

Partendo dai dataset di Indice PA, il primo passo è consistito nella verifica della qualità e nella correzione dei dati: in molti casi, infatti, il principale dato utilizzato per l'analisi (l'indirizzo del sito web istituzionale dell'ente) è risultato assente o manifestamente errato. Dopo aver individuato e corretto gli indirizzi errati si è passati a verificarne l'effettiva esistenza risolvendo, in IPv4, i nomi. Si sono così individuati (tabella 1.1) 16.695 enti con nomi a dominio validi, così distribuiti:

Natura ente	Enti con FQDN valido	Enti con MX valido
Organi costituzionali o a rilevanza costituzionale, Ministeri, Agenzie, Amministrazioni centrali e Autorità indipendenti	51	46
Regioni (Giunte e Consigli regionali)	37	36
Province, Province autonome e Città metropolitane	102	102
Comuni	7.741	7.524
Comuni con meno di 5.000 abitanti	5.385	5.227
Comuni con popolazione da 5.000 a 20.000 abitanti	1.845	1.798
Comuni con popolazione superiore a 20.000 abitanti	511	499
Comunità montane e Unioni di comuni	513	485
Aziende e enti del servizio sanitario nazionale e Agenzie sanitarie regionali	201	195
Università pubbliche	70	70
Istituti e scuole pubbliche di ogni ordine e grado	7.040	6.613
Istituti e enti pubblici di ricerca	48	47
Enti previdenziali pubblici e privati	22	22
Altri enti pubblici non economici nazionali e locali	607	579
Enti pubblici economici, enti e consorzi di diritto privato	263	250
Totale	16.695	15.969

In seguito, per ciascun dominio valido si sono ricavati gli Autonomous System (AS) di appartenenza degli indirizzi IPv4 dei siti web, dei name server autoritativi (record SOA e NS) e dei server di posta (record MX). Ciò ha permesso una prima serie di analisi sulla concentrazione del mercato dei servizi di hosting e sulla dipendenza da fornitori stranieri, in particolare extra-UE.

Inoltre, prendendo spunto da questo articolo di Giovane Moura su RIPE Labs, si è svolta un'analisi della resistenza a guasti e attacchi DDoS valutando quanti nomi a dominio definiscono un numero di name server autoritativi superiore al minimo consentito di due (ridondanza), quanti server DNS sono collocati in Sistemi Autonomi e Prefissi BGP distinti (diversificazione topologica), nonché quanti adottano Anycast.

Infine, sui domini validi è stata eseguita la test suite di Internet.nl, installando un'istanza ad hoc del sistema su un server virtuale (VPS) attivato nel data center OVH di Francoforte. I test sono stati eseguiti nella prima metà di ottobre 2025.

Per la descrizione dettagliata dei test effettuati si rimanda alle note sul sito del progetto; in sintesi la test suite verifica, attribuendo una valutazione Passed - Warning - Failed - Info a ogni singolo test e un punteggio complessivo sulla scala 0-100:

se il nome a dominio è correttamente autenticato con DNSSEC
se il server web, i server DNS autoritativi e i server di posta del dominio sono raggiungibili in IPv6
se il sito web implementa i Security headers (Content-Security-Policy, X-Frame-Options e simili)
se la posta elettronica è protetta dal phishing implementando correttamente DMARC, DKIM e SPF
se il server web e i server di posta implementano allo stato dell'arte le tecniche di connessione sicura (HTTPS, STARTTLS, TLSA/DANE)
se le reti in cui sono collocati il server web, i server DNS autoritativi e i server di posta del dominio sono protette dal BGP Hijacking implementando correttamente RPKI.

Il punteggio massimo del 100% indica la piena conformità ai requisiti minimi ("MUST"/"REQUIRED" secondo la definizione di RFC 2119) indicati dalle linee guida del Governo dei Paesi Bassi per i servizi web governativi. La non conformità ai requisiti consigliati ma non obbligatori ("SHOULD"/"RECOMMENDED") e facoltativi ("MAY"/"OPTIONAL") non influisce sul punteggio complessivo e viene indicata come Warning o Info nel risultato del relativo test.

Risultati

Scarica il foglio di calcolo con le tabelle di dettaglio, in formato LibreOffice Calc.

Sistemi Autonomi e ISP (tabelle da 1.2 a 1.5)

L'analisi della distribuzione per Autonomous System dell'hosting e dei front-end dei domini istituzionali evidenzia una notevole concentrazione in un numero limitato di fornitori: oltre il 50% dei domini esaminati è ospitato in soli tre AS.

Concentrandosi sugli enti che si rivolgono agli operatori di mercato, tralasciando quindi quelle categorie di enti che storicamente hanno costituito consorzi o società in house per internalizzare la gestione delle infrastrutture di rete e che possiedono propri AS (ad esempio GARR per le università e gli enti di ricerca), notiamo che gran parte delle amministrazioni si rivolge soprattutto a grandi ISP italiani (Aruba, Telecom Italia IDC) e statunitensi (Amazon AWS, Google, Defense.Net).

Ancora più marcata è la concentrazione dei servizi di posta elettronica: il 65% degli enti acquisisce tale servizio da soli tre operatori, due dei quali statunitensi - Google e Microsoft, con punte superiori all'80% tra Scuole e Università.

Rappresentazione con grafici a torta dei dati dettagliati nelle tabelle 1.2 e 1.3 (https://www.fabriziotarizzo.org/static/analisi-siti-pa-2025/Tabelle.ods) — Fig. 1 - Principali Sistemi Autonomi (IPv4) di appartenenza dei nomi a dominio (siti web, server DNS SOA e server di posta) censiti in Indice PA.

Ridondanza e diversificazione dei server DNS (tabelle 2.1 e 2.2)

Dall'analisi effettuata risulta che solo l'11,37% dei nomi a dominio esaminati ha almeno un name server autoritativo con indirizzo anycast, con differenze significative tra le varie categorie di enti: si va dal 4,55% dei piccoli Comuni e degli enti previdenziali fino al 31,37% delle amministrazioni centrali.

Si rileva inoltre che:

il 60,05% dei domini esaminati ha un numero di name server autoritativi maggiore del minimo previsto (due)
il 58,90% ha i name server autoritativi collocati in almeno due AS distinti
il 90,35% ha i name server autoritativi collocati in almeno due prefissi BGP distinti
il 48.48% soddisfa tutte e tre le condizioni

anche in questo caso con differenze significative tra le categorie di enti (tabella 2.1). Significative anche le differenze tra i vari fornitori (tabella 2.2).

Rappresentazione con grafici a torta delle misure dettagliate nella tabella 2.1 (https://www.fabriziotarizzo.org/static/analisi-siti-pa-2025/Tabelle.ods) — Fig. 2 - Analisi della ridondanza, della diversificazione topologica e dell’adozione di DNS Anycast nei nomi a dominio censiti in Indice PA (IPv4).

Esecuzione della test suite (tabelle da 3.1 a 3.9)

Dai risultati dell'esecuzione della test suite emerge una situazione complessivamente critica:

Solo lo 0,55% dei domini istituzionali degli enti pubblici italiani è autenticato con DNSSEC. La percentuale scende allo 0,09% se si considerano anche i server di posta elettronica.
Solo l'1,67% dei siti istituzionali e il 14,37% dei server di posta è raggiungibile con IPv6.
Solo il 12% dei siti istituzionali implementa in modo corretto la connessione sicura (HTTPS). Le maggiori cause di non conformità (tabella 3.4) sono l'assenza della policy HSTS (64,21% dei siti esaminati), il supporto ad algoritmi e parametri crittografici considerati deboli e la mancanza della redirezione automatica dalla versione HTTP a quella HTTPS del sito.
Praticamente nessun sito implementa correttamente l'header Content-Security-Policy (la test suite non distingue il caso il cui l'header è assente e quello in cui è presente ma con impostazioni non adeguatamente restrittive).
Solo il 4,75% dei domini di posta elettronica adotta adeguate misure di protezione dal phishing (DMARC, DKIM, SPF).
Solo lo 0,04% dei server di posta implementa correttamente la connessione sicura STARTTLS. Ciò è principalmente dovuto al fatto che viene richiesta la corretta configurazione dei record DANE/TLSA, la quale a sua volta ha come prerequisito che il dominio sia autenticato con DNSSEC. Se non si considera questo requisito, la percentuale sale al 10,08%, comunque molto bassa.
Più alte le percentuali relative alla protezione dal route hijacking: il 65,55% dei siti e il 72,74% dei server di posta sono collocati in reti protette con RPKI.

In quasi tutti i test si evidenziano differenze significative tra le categorie di enti, in particolare:

per IPv6, si va dallo 0,17% dei Comuni a poco oltre l'8% degli enti di ricerca e il 9% degli enti previdenziali
per HTTPS, si va dallo 0,47% degli Istituti scolastici a oltre il 33% dei grandi Comuni
per la corretta implementazione delle misure anti phishing, si va dall'1,16% degli Istituti scolastici a percentuali oltre il 20% tra Università, Province, Regioni e Amministrazioni centrali

Rappresentazione con grafici a torta dei dati dettagliati nelle tabelle 3.2 e 3.3 (https://www.fabriziotarizzo.org/static/analisi-siti-pa-2025/Tabelle.ods) e descritti nel paragrafo precedente. — Fig. 3 - Esito dell'esecuzione della test suite

Dall'analisi dei punteggi complessivi (tabella 3.1) si nota che solo il 2% dei siti web e il 10% dei server di posta elettronica supera la soglia del 70%, mentre è trascurabile (< 0,01%) la percentuale di siti che superano la soglia del 90%.

Un solo sito, quello del Comune di Ascoli Piceno, raggiunge il 100%.

Rappresentazione con istogramma della distribuzione dei punteggi - Tabella 3.1 (https://www.fabriziotarizzo.org/static/analisi-siti-pa-2025/Tabelle.ods) — Fig. 4.1 - Distribuzione dei punteggi complessivi (tabella 3.1)

Rappresentazione con box plot della distribuzione dei punteggi - Tabella 3.1 (https://www.fabriziotarizzo.org/static/analisi-siti-pa-2025/Tabelle.ods) — Fig. 4.2 - Distribuzione per percentili dei punteggi complessivi (tabella 3.1)

Conclusioni

Si sono presi in esame i siti web e i server di posta istituzionali di oltre 16.000 enti pubblici italiani, nazionali e locali, di varia dimensione e natura giuridica, misurandone con una test suite standardizzata e con degli script realizzati ad hoc la conformità allo stato dell'arte degli standard di Internet e il livello di dipendenza da fornitori di servizi extra UE.

I risultati evidenziano una situazione critica: pur con qualche differenza significativa, il livello di conformità agli standard è complessivamente molto basso, sia tra gli enti locali e territoriali che tra le amministrazioni centrali; tanto tra gli enti che si affidano a operatori di mercato grandi e piccoli quanto tra quelli che internalizzano in house la gestione delle infrastrutture tecnologiche.

Inoltre, l'elevata dipendenza da un numero limitato di fornitori, spesso statunitensi, ha implicazioni importanti per la sicurezza e l'indipendenza digitale.

Una maggior apertura del settore pubblico alla cooperazione con le organizzazioni indipendenti della comunità tecnica di Internet, con la realizzazione di iniziative come la citata Dutch Internet Standards Platform, è fondamentale al fine di garantire servizi digitali affidabili, sicuri e interoperabili.

Ringraziamenti

Lavori precedenti

Cito con piacere alcune analisi precedenti che mi sono state d'ispirazione per questo lavoro:

Antonio Prado: 2014 (ISP, Antispam, IPv6, DNSSEC, HTTPS), 2016 (ISP/IPv6, Antispam), 2019 (DNSSEC), 2020 (ISP/IPv6)
Matteo Contrini: 2022, 2023, 2024
il già citato articolo di Giovane Moura su RIPE Labs

Dataset utilizzati

Elenco delle amministrazioni: dataset "Enti" di Indice PA, licenza Creative Commons BY 4.0, aggiornato al 30 settembre 2025
Per la "pulizia" del dataset di Indice PA è stato usato lo script normalize.py dal progetto Monitora PA
Per reperire i Sistemi Autonomi di appartenenza degli indirizzi IPv4 censiti, è stato usato il database di IPNetDB, licenza Creative Commons BY-NC-ND 4.0, aggiornato al 4 ottobre 2025.
Per rilevare l'adozione di Anycast, è stato utilizzato il censimento dei prefissi Anycast del progetto bgp.tools, licenza non dichiarata, aggiornato al 4 ottobre 2025

Puoi utilizzare il tuo account Mastodon o un altro account ActivityPub per commentare questo articolo rispondendo al toot associato.

Nel Fediverso ci sono

- boost:
- preferiti:
- risposte: