Mondiali di calcio 2026, attenzione alle frodi via email: oltre un terzo dei partner ufficiali espone il pubblico al rischio

Aprile 14, 2026

Un’analisi di Proofpoint rivela che, sebbene la maggior parte delle aziende partner abbia implementato un’autenticazione email di base, molte non stanno ancora bloccando in modo proattivo i messaggi fraudolente che impersonano i loro marchi

Proofpoint, azienda leader nella cybersecurity e nella compliance, ha pubblicato i risultati di uno studio che mostra come oltre un terzo (il 36%) tra sponsor ufficiali, fornitori, partner e sostenitori associati ai Mondiali di calcio 2026, che si svolgeranno dall’11 giugno al 19 luglio 2026, non disponga delle misure di sicurezza email necessarie per proteggersi dall’impersonificazione del dominio. Questo potrebbe esporre tifosi, clienti e partner a un incremento del rischio di frodi via email che sfruttano la notorietà e la fiducia di questi brand.

I cyber criminali cercano abitualmente di trarre vantaggio dai grandi eventi sportivi globali, prendendo di mira i tifosi con truffe di ingegneria sociale che si fingono sponsor, compagnie aeree, brand legati all’hospitality, servizi di delivery o brand consumer, utilizzando domini dall’aspetto simile ed email di spoofing. In vista di un torneo che genera un picco significativo di viaggi, interesse per i biglietti, promozioni e attività di merchandising, l’intero ecosistema deve essere rafforzato contro le minacce veicolate via email, principale vettore di attacco per le frodi.

Per verificare lo stato attuale delle difese dal rischio di impersonificazione, Proofpoint ha analizzato il livello di adozione del protocollo DMARC (Domain-based Message Authentication, Reporting and Conformance) su un elenco di domini degli sponsor della Coppa del Mondo.

DMARC, la prima linea di difesa dalle frodi via email

Negli ultimi anni, Proofpoint ha osservato i cyber criminali utilizzare sempre più una serie di tattiche per spacciarsi per organizzazioni legittime al fine di raggiungere i propri obiettivi, anziché violare e infiltrarsi in reti e infrastrutture tecniche delle loro vittime.

DMARC è un protocollo di autenticazione delle email ideato per proteggere i nomi di dominio dall’abuso da parte di attori malintenzionati, convalidando l’identità del mittente prima di permettere che un messaggio raggiunga la propria destinazione. DMARC ha tre livelli di protezione: monitoraggio, quarantena e reject, con quest’ultimo che rappresenta la modalità più sicura per impedire a messaggi sospetti di raggiungere la casella di posta.

L’implementazione di DMARC consente a un’azienda di definire quale trattamento debba essere applicato ai messaggi email che utilizzano il suo nome di dominio, nonché la policy da applicare in caso di fallimento durante la verifica: accettare il messaggio email (p=nessuna, dove “p” sta per policy), classificarlo come spam (p=quarantena), o eliminarlo (p=reject).

Ecco i principali risultati emersi dalla ricerca:

Sono stati analizzati i nomi di dominio che compongono l’ecosistema degli sponsor, partner, fornitori e associati dei Mondiali di calcio 2026, con i seguenti risultati:

Dei 25 domini analizzati, 24 (96%) hanno pubblicato un record DMARC a livello base, di conseguenza la maggior parte delle aziende ha iniziato a implementare protezioni dall’impersonificazione dei domini email.
Tuttavia, solo 16 dei 25 domini (64%) proteggono attivamente il proprio nome con la policy DMARC più robusta “reject”, che impedisce la consegna di email non autenticate e spoofed.
Ciò significa che oltre un terzo (il 36%) non sta ancora bloccando in modo proattivo le email fraudolente che tentano di impersonare il proprio marchio.
Otto domini (il 32%) hanno DMARC impostato in modalità monitoraggio o con una postura applicativa parziale, che fornisce visibilità ma non impedisce alle email spoofed di raggiungere le caselle di posta.

“Grandi eventi, come i Mondiali di calcio, generano un enorme entusiasmo, dai piani di viaggio all’acquisto di biglietti, alle offerte speciali, al merchandising. Sfortunatamente, questo crea anche opportunità per i truffatori di approfittarsi dei tifosi,” spiega Loic Guezo, Director, Cybersecurity Strategy, SEUR diProofpoint. “Sebbene sia certamente incoraggiante che molti brand partner abbiano adottato misure per migliorare la propria sicurezza email, troppi stanno ancora lasciando la porta aperta ai messaggi fraudolenti. Senza protezioni più robuste in atto, diventa più semplice per i criminali impersonare marchi affidabili e ingannare gli utenti, affinché condividano dati personali o effettuino pagamenti per offerte false.”

I tifosi dovrebbero essere particolarmente cauti in vista del torneo e seguire le seguenti raccomandazioni:

Il modo più sicuro per acquistare i biglietti è direttamente tramite la FIFA, che ha già implementato una policy DMARC completa di tipo 'reject'."
Diffidare da email, SMS o chiamate non richieste, specialmente quelle che sollecitano azioni urgenti o pagamenti immediati.
Non condividere mai informazioni finanziarie o password tramite email o SMS; in caso di dubbio, contattare l’azienda tramite i canali ufficiali.
Utilizzare una password unica per ogni account e abilitare l’autenticazione multi-fattore (MFA) ove possibile.

Per saperne di più su DMARC https://www.proofpoint.com/uk/threat-reference/dmarc

Metodologia della ricerca:

Per valutare il livello di adozione del DMARC tra gli sponsor ufficiali dei Mondiali di calcio 2026, Proofpoint ha condotto un’analisi dei principali domini aziendali di ogni organizzazione elencata sul sito web della FIFA, insieme a Sports Business Journal. L’analisi è stata effettuata a febbraio 2026.

Proofpoint
Proofpoint, Inc. è leader mondiale nella cybersecurity incentrata su persone e agenti, che protegge il modo in cui individui, dati e agenti di intelligenza artificiale si connettono tramite email, cloud e strumenti di collaborazione. Proofpoint è un partner affidabile di oltre 80 aziende Fortune 100, oltre 10.000 grandi imprese e milioni di organizzazioni più piccole per bloccare le minacce, prevenire la perdita di dati e rafforzare la resilienza nei flussi di lavoro basati su persone e intelligenza artificiale. La piattaforma di collaborazione e sicurezza dei dati di Proofpoint aiuta organizzazioni di tutte le dimensioni a proteggere e abilitare i propri dipendenti, adottando al contempo l’intelligenza artificiale in modo sicuro e affidabile. Per ulteriori informazioni www.proofpoint.com.

Collegati con Proofpoint su LinkedIn.

La cybersicurezza per l’ambiente di lavoro agentico inizia con la piattaforma di sicurezza di Proofpoint, incentrata su persone e agenti.

Partecipa a un evento Protect dal vivo e scopri come proteggere persone, dati e AI

Ferma le minacce informatiche con una protezione multicanale basata sull’IA.

Scopri Core Email Protection in azione — blocca il 99,99% delle minacce email

Trasforma la sicurezza dei dati con un approccio unificato e omnicanale.

Comprendi i principali rischi per la sicurezza dei dati che le organizzazioni devono affrontare — e come restare un passo avanti

Le tecnologie Proofpoint che alimentano una sicurezza incentrata su persone e agenti.

Esplora i pacchetti Proofpoint

Ottimizza le soluzioni Proofpoint con servizi specialistici.

«La partnership con Proofpoint è un’estensione del nostro team.» — Celesta Capital

Soluzioni complete per le minacce di cybersicurezza di oggi.

Scopri i nuovi rischi legati all’IA e come costruire una base sicura per l’adozione in ambito aziendale

Protezione superiore per ogni settore, dalle piccole imprese alle grandi aziende.

Scopri i rischi per la sicurezza che le organizzazioni sanitarie non possono permettersi di ignorare

Oltre 80 aziende Fortune 100 scelgono Proofpoint per proteggere persone, dati e IA.

Stai valutando fornitori di sicurezza? Confrontaci con analisi affiancate.

Ricerche, approfondimenti e risorse dagli esperti Proofpoint.

Nuovi agenti, nuovi attacchi: proteggere la collaborazione nell’era agentica

Impara dalla nostra threat intelligence e da analisi esclusive che non troverai altrove.

Proofpoint DISCARDED: storie dalle trincee della ricerca sulle minacce

Scopri di più sul team che guida una sicurezza incentrata su persone e agenti.

Pronto a entrare in un’azienda che sta ridefinendo la cybersicurezza?