iwss - italian web security study
Quanto è sicuro il web italiano?
How Secure Is the Italian Web?
Uno studio di misurazione passiva su larga scala: 10.022 domini .it, l'intero
elenco disponibile dalla lista Tranco top-1M, analizzati senza alcuna intrusione - solo
richieste HTTP standard.
A large-scale passive measurement study: 10,022 .it domains - the entire pool
available from the Tranco top-1M list - analyzed with no intrusion of any kind, only
standard HTTP requests.
01
Quanti siti .it sono davvero raggiungibili?
How many .it sites are actually reachable?
Su 10.020 domini campionati, quasi 9 su 10 rispondono a una normale richiesta HTTP. Il resto si perde tra domini morti, DNS che non risolve, e certificati TLS non validi.
Out of 10,020 sampled domains, nearly 9 in 10 respond to a plain HTTP request. The rest is lost to dead domains, unresolvable DNS, and invalid TLS certificates.
02
Quali header di sicurezza mancano più spesso?
Which security headers are most often missing?
Su 8.829 siti raggiungibili. Nessun header supera il 42% di adozione - la maggioranza dei siti italiani non dichiara nessuna delle protezioni HTTP di base. Intervalli al 95%, stima di Wilson.
Across 8,829 reachable sites. No single header clears 42% adoption - most Italian websites declare none of the baseline HTTP protections. 95% Wilson score intervals.
03
Le policy CSP presenti sono davvero efficaci?
Are the CSP policies that exist actually effective?
Delle 1.646 policy CSP analizzate in dettaglio, quasi una su due usa 'unsafe-inline' - una direttiva che vanifica gran parte della protezione contro
il cross-site scripting.
Of the 1,646 CSP policies analyzed in detail, nearly one in two uses 'unsafe-inline' - a directive that undermines most of the protection CSP is
meant to provide against cross-site scripting.
Criterio "restrittiva": presenza di default-src o script-src, nessun unsafe-inline, nessun unsafe-eval,
nessuna sorgente jolly. Definizione esatta e citabile - non un giudizio generico.
"Restrictive" criterion: default-src or script-src present,
no unsafe-inline, no unsafe-eval, no wildcard source. An exact,
citable definition - not a general judgment call.
04
I cookie proteggono davvero le sessioni?
Do cookies actually protect sessions?
Su 7.240 cookie osservati, più della metà manca di almeno un attributo di sicurezza di base.
Across 7,240 observed cookies, more than half are missing at least one basic security attribute.
05
Che versione di TLS negoziano i siti raggiungibili?
Which TLS version do reachable sites negotiate?
Su 8.864 handshake TLS completati, nessuna cifratura debole rilevata (RC4/DES/MD5/EXPORT). TLS 1.3 è già lo standard di fatto.
Across 8,864 completed TLS handshakes, zero weak ciphers detected (RC4/DES/MD5/EXPORT). TLS 1.3 is already the de facto standard.
06
I domini sono protetti dallo spoofing via email?
Are domains protected against email spoofing?
SPF, DMARC e DKIM riguardano la sicurezza email del dominio - una postura distinta da quella del sito web. Misurati su 9.520 scansioni (sottoinsieme esteso, vedi nota).
SPF, DMARC, and DKIM concern the domain's email-spoofing-resistance posture - a distinct construct from website security. Measured on 9,520 scans (extended subset, see note).
Nota sui sottoinsiemi: la raccolta è avvenuta in tre run distinti nello stesso
giorno (2026-07-09), che insieme coprono l'intero pool di 10.022 domini: pilot_500 (primi 500 domini, validazione iniziale del crawler), pilot_5000 (5.000 domini successivi, validazione su scala maggiore) e final_remaining_pool (i restanti 4.522 domini, fino a completare il pool).
Gli analyzer di questa sezione sono stati introdotti dopo pilot_500, quindi
coprono solo pilot_5000 + final_remaining_pool. Non è un dato
mancante nascosto - è dichiarato esplicitamente nel dataset manifest.
Note on subsets: data collection ran as three distinct runs on the same day
(2026-07-09), together covering the full 10,022-domain pool: pilot_500 (first 500 domains, initial crawler validation), pilot_5000 (next 5,000 domains, larger-scale validation) and final_remaining_pool (the remaining 4,522 domains, completing the pool).
The analyzers in this section were introduced after pilot_500, so they
cover only pilot_5000 + final_remaining_pool. Not a hidden
gap - explicitly declared in the dataset manifest.
07
Che tecnologie girano dietro i siti .it?
What technology runs behind .it sites?
Rilevate come variabile di contesto, non come indicatore di sicurezza - utile per spiegare le differenze di postura tra tecnologie, non per giudicarle.
Detected as a context variable, not a security indicator - useful for explaining differences in posture across technologies, not for judging them.