/

iwss - italian web security study

Quanto è sicuro il web italiano?

How Secure Is the Italian Web?

Uno studio di misurazione passiva su larga scala: 10.022 domini .it, l'intero elenco disponibile dalla lista Tranco top-1M, analizzati senza alcuna intrusione - solo richieste HTTP standard.

A large-scale passive measurement study: 10,022 .it domains - the entire pool available from the Tranco top-1M list - analyzed with no intrusion of any kind, only standard HTTP requests.

10.02210,022 dominidomains RaccoltaCollected 2026-07-09 FonteSource: Tranco 2026-07-08 Dataset dataset_primary_it_v1 PaperPaper DOI 10.5281/zenodo.21322437 DatasetDataset DOI 10.5281/zenodo.21323346

01

Quanti siti .it sono davvero raggiungibili?

How many .it sites are actually reachable?

Su 10.020 domini campionati, quasi 9 su 10 rispondono a una normale richiesta HTTP. Il resto si perde tra domini morti, DNS che non risolve, e certificati TLS non validi.

Out of 10,020 sampled domains, nearly 9 in 10 respond to a plain HTTP request. The rest is lost to dead domains, unresolvable DNS, and invalid TLS certificates.

88.1%
95% CI [87.5%, 88.7%]
raggiungibili (8.829 / 10.020)
reachable (8,829 / 10,020)
SuccessoSuccess 8.8298,829 Errore DNSDNS error 586 Timeout 334 Connessione rifiutataConnection refused 127 Risposta non validaInvalid response 86 Errore TLSTLS error 58

02

Quali header di sicurezza mancano più spesso?

Which security headers are most often missing?

Su 8.829 siti raggiungibili. Nessun header supera il 42% di adozione - la maggioranza dei siti italiani non dichiara nessuna delle protezioni HTTP di base. Intervalli al 95%, stima di Wilson.

Across 8,829 reachable sites. No single header clears 42% adoption - most Italian websites declare none of the baseline HTTP protections. 95% Wilson score intervals.

X-Frame-Options
41.8% [40.8, 42.9]
X-Content-Type-Options
37.6% [36.6, 38.6]
HSTS
32.8% [31.8, 33.8]
Referrer-Policy
29.0% [28.0, 30.0]
CSP
18.7% [17.9, 19.5]
Permissions-Policy
11.2% [10.6, 11.9]

03

Le policy CSP presenti sono davvero efficaci?

Are the CSP policies that exist actually effective?

Delle 1.646 policy CSP analizzate in dettaglio, quasi una su due usa 'unsafe-inline' - una direttiva che vanifica gran parte della protezione contro il cross-site scripting.

Of the 1,646 CSP policies analyzed in detail, nearly one in two uses 'unsafe-inline' - a directive that undermines most of the protection CSP is meant to provide against cross-site scripting.

0.7%
95% CI [0.4%, 1.2%]
restrittiva (11 / 1.646)
restrictive (11 / 1,646)
45.4%
usa unsafe-inline
uses unsafe-inline
11.1%
usa wildcard (*)
uses a wildcard (*)

Criterio "restrittiva": presenza di default-src o script-src, nessun unsafe-inline, nessun unsafe-eval, nessuna sorgente jolly. Definizione esatta e citabile - non un giudizio generico.

"Restrictive" criterion: default-src or script-src present, no unsafe-inline, no unsafe-eval, no wildcard source. An exact, citable definition - not a general judgment call.

04

I cookie proteggono davvero le sessioni?

Do cookies actually protect sessions?

Su 7.240 cookie osservati, più della metà manca di almeno un attributo di sicurezza di base.

Across 7,240 observed cookies, more than half are missing at least one basic security attribute.

Manca SameSite
Missing SameSite
51.8%
Manca HttpOnly
Missing HttpOnly
51.8%
Manca Secure
Missing Secure
47.5%

05

Che versione di TLS negoziano i siti raggiungibili?

Which TLS version do reachable sites negotiate?

Su 8.864 handshake TLS completati, nessuna cifratura debole rilevata (RC4/DES/MD5/EXPORT). TLS 1.3 è già lo standard di fatto.

Across 8,864 completed TLS handshakes, zero weak ciphers detected (RC4/DES/MD5/EXPORT). TLS 1.3 is already the de facto standard.

TLS 1.3
87.3%
TLS 1.2
12.7%

06

I domini sono protetti dallo spoofing via email?

Are domains protected against email spoofing?

SPF, DMARC e DKIM riguardano la sicurezza email del dominio - una postura distinta da quella del sito web. Misurati su 9.520 scansioni (sottoinsieme esteso, vedi nota).

SPF, DMARC, and DKIM concern the domain's email-spoofing-resistance posture - a distinct construct from website security. Measured on 9,520 scans (extended subset, see note).

SPF
55.5% [54.5, 56.5]
DMARC
43.8% [42.9, 44.8]
DKIM
36.6% [35.6, 37.6]
security.txt
security.txt
2.4% [2.1, 2.7]

Nota sui sottoinsiemi: la raccolta è avvenuta in tre run distinti nello stesso giorno (2026-07-09), che insieme coprono l'intero pool di 10.022 domini: pilot_500 (primi 500 domini, validazione iniziale del crawler), pilot_5000 (5.000 domini successivi, validazione su scala maggiore) e final_remaining_pool (i restanti 4.522 domini, fino a completare il pool). Gli analyzer di questa sezione sono stati introdotti dopo pilot_500, quindi coprono solo pilot_5000 + final_remaining_pool. Non è un dato mancante nascosto - è dichiarato esplicitamente nel dataset manifest.

Note on subsets: data collection ran as three distinct runs on the same day (2026-07-09), together covering the full 10,022-domain pool: pilot_500 (first 500 domains, initial crawler validation), pilot_5000 (next 5,000 domains, larger-scale validation) and final_remaining_pool (the remaining 4,522 domains, completing the pool). The analyzers in this section were introduced after pilot_500, so they cover only pilot_5000 + final_remaining_pool. Not a hidden gap - explicitly declared in the dataset manifest.

07

Che tecnologie girano dietro i siti .it?

What technology runs behind .it sites?

Rilevate come variabile di contesto, non come indicatore di sicurezza - utile per spiegare le differenze di postura tra tecnologie, non per giudicarle.

Detected as a context variable, not a security indicator - useful for explaining differences in posture across technologies, not for judging them.

01Cloudflare CDN 3.0533,053
02WordPress CMS 2.4872,487
03Nginx Server 1.7771,777
04Apache Server 1.5091,509
05PHP Lang 985
06jQuery JS 858
07Shopify CMS 325
08Drupal CMS 219
09Joomla CMS 129