Spunta blu nelle email: capita spesso, aprendo Gmail, di notare accanto al nome di certi mittenti un piccolo logo ufficiale e, in alcuni casi, proprio quel simbolo di verifica che ormai associamo ai social. L’effetto è familiare, immediato, rassicurante. Ma dietro a quel segno grafico c’è molto più di quanto sembri, e la domanda che si fanno in tanti, soprattutto chi possiede un dominio, è semplice: quella spunta è alla portata di chiunque oppure resta un privilegio delle grandi aziende?
Per più di 20 anni la posta elettronica ha trascinato con sé un difetto difficile da estirpare: l’impersonificazione dei mittenti, il cosiddetto sender spoofing. I protocolli su cui nasce l’email, semplicemente, non avevano controlli abbastanza solidi per accertare chi stesse davvero inviando un messaggio. Da quella falla sono nati nel tempo strumenti come SPF, DKIM e DMARC, pensati per arginare spoofing e phishing. Poi il settore ha cominciato a lavorare anche sull’aspetto visivo della fiducia, dando vita a BIMI (Brand Indicators for Message Identification), una specifica che mostra il logo verificato del mittente direttamente nella casella di posta. Gmail ha spinto il concetto un passo oltre, introducendo appunto la spunta blu per alcuni domini autenticati.
Che cosa significa davvero quella spunta blu
Molti pensano che la spunta blu certifichi l’affidabilità di un’organizzazione. La verità è più sottile. Gmail si appoggia a BIMI e ad alcune verifiche aggiuntive per attestare una cosa precisa: che il dominio collegato all’email possiede davvero il marchio e il logo mostrati. Non dice nulla sulla bontà del contenuto del messaggio, né garantisce che dietro quell’azienda non si nascondano pratiche poco limpide.
Google ha portato la spunta blu in Gmail nel 2023, con l’idea di rendere la vita più dura a chi tenta di spacciarsi per i marchi più noti. Quando compare quel simbolo, vuol dire che Gmail ha già passato al setaccio una catena di autenticazione che mette insieme tecnologie diverse. SPF stabilisce quali server sono autorizzati a spedire per conto di un dominio. DKIM applica una firma crittografica ai messaggi, così il destinatario può verificare che il contenuto non sia stato manomesso durante il viaggio. DMARC fa da regista, coordina i risultati di SPF e DKIM e decide come trattare i messaggi che non superano i controlli. Chi invia almeno 5.000 email al giorno (e per chiunque costruisca canali di comunicazione con i clienti è una soglia bassissima) non vedrà più arrivare la propria posta a destinazione se non implementa correttamente questo trio. Google, Microsoft e Yahoo, che gestiscono volumi enormi, hanno deciso di stringere le maglie proprio per proteggere gli utenti.
C’è di più. Per usare BIMI il dominio deve di norma adottare una policy DMARC in modalità enforcement, cioè configurata con p=quarantine oppure p=reject. In pratica chi gestisce il dominio deve bloccare o isolare i messaggi fraudolenti che provano a sfruttarne il nome. È uno degli scogli più seri, perché richiede di monitorare con attenzione i flussi legittimi prima di attivare politiche tanto restrittive.
Quanto costa e a chi conviene davvero
Una volta sistemata l’autenticazione, entra in scena BIMI. Funziona tramite un record DNS dedicato che punta a un logo in formato SVG, compatibile con le specifiche richieste dai provider. Il destinatario riconosce il marchio ancora prima di aprire l’email. Tecnicamente l’implementazione non è complicatissima, e chi gestisce un dominio personale può configurarla da solo. Il nodo arriva quando si punta al livello di verifica più alto, quello legato alla spunta blu.
Qui il costo non sta nel DNS né nella configurazione del server, ma nei certificati di validazione del marchio. Per ottenere la spunta su Gmail serve un Verified Mark Certificate, il VMC: un certificato digitale X.509 rilasciato da autorità accreditate dopo una verifica che include il controllo sulla proprietà del marchio registrato e del logo. Fornitori come DigiCert propongono VMC con costi annui non proprio alla portata di tutti. Per una multinazionale è spesa trascurabile, per un libero professionista o una piccola associazione il discorso cambia parecchio.
Da poco esistono anche i Common Mark Certificate, i CMC, pensati per chi non possiede un marchio registrato ma può dimostrare l’uso continuativo di un logo nel tempo. Questi consentono di mostrare il logo su alcuni client compatibili, ma di solito non attivano la spunta blu di Gmail. Costano un po’ meno dei VMC, però restano cifre significative per chi usa un dominio senza un business commerciale solido alle spalle.
Per una banca, una compagnia assicurativa, un e-commerce o un servizio SaaS che spedisce milioni di email l’anno, il ritorno su BIMI e VMC arriva in fretta. Basta una riduzione anche piccola dei tentativi di impersonificazione, o un aumento del tasso di apertura, per giustificare la spesa. Diverso il caso di un dominio personale o di un progetto indipendente: qui conviene partire dalla configurazione corretta di SPF, DKIM e DMARC, tecnologie a costo zero che migliorano la reputazione del dominio e aumentano le probabilità che i messaggi finiscano in posta in arrivo.
Resta un punto delicato. BIMI e i certificati aiutano a riconoscere i messaggi autentici, ma non cancellano un problema vecchio: i domini molto simili a quelli originali. Un attaccante può registrare un indirizzo quasi identico a quello di un marchio noto, il cosiddetto typosquatting, e continuare con le campagne di phishing. La spunta blu protegge il dominio autentico, non impedisce le imitazioni credibili. Va detto però che obbligare al DMARC in enforcement un beneficio concreto lo porta: riduce drasticamente lo spoofing diretto del dominio ufficiale. La spunta blu, alla fine, resta un elemento accessorio. Suggestivo, certo. Ma la sicurezza vera della posta elettronica continua a dipendere dai meccanismi di autenticazione che lavorano dietro le quinte, quelli che la maggior parte degli utenti non vede nemmeno.
