Microsoft ha pubblicato nel luglio 2025 un nuovo rapporto trimestrale di benchmarking sulla sicurezza delle email aziendali, sostenendo che il proprio strumento Defender for Office 365 intercetta la quasi totalità dei messaggi dannosi in modo autonomo, con un miglioramento inferiore allo 0,05% apportato dai partner integrati di terze parti. L'annuncio rimette in discussione l'approccio "defense in depth" adottato da molte imprese, basato sull'impiego combinato di più soluzioni di sicurezza.
Il mercato della sicurezza email aziendale vale miliardi di dollari a livello globale e vede competere fornitori specializzati come Mimecast, Proofpoint e Abnormal con la piattaforma nativa di Microsoft, integrata negli ambienti Microsoft 365. La posta in gioco è il budget per la cybersecurity delle organizzazioni, che devono decidere se investire in soluzioni aggiuntive rispetto a quanto già incluso nelle licenze Microsoft, o consolidare la spesa su un unico fornitore.
Secondo i dati del rapporto, la piattaforma registra un tasso di mancata rilevazione di minacce ad alta gravità inferiore del 59% rispetto agli altri fornitori di Secure Email Gateway (SEG) analizzati — tra cui Mimecast, Proofpoint, Hornetsecurity, Trend Micro, Cisco IronPort, Barracuda e FireEye (Trellix). Tradotto in numeri assoluti, il sistema manca 194 minacce per ogni 1.000 dipendenti, contro le 478 di Mimecast e le 483 di Proofpoint. In termini di protezione post-consegna, la quota di email dannose rimosse dall'inbox ha raggiunto il 96,03%, rispetto al 45% registrato al momento del primo rilevamento.
È proprio su questo punto che si concentra il dissenso degli esperti. Seva Ioussoufovitch, senior research analyst presso Info-Tech Research Group, avverte che le percentuali aggregate nascondono la natura e la gravità delle minacce che sfuggono ai filtri. Il fatto che basti un solo messaggio per generare un incidente di sicurezza relativizza significativamente l'efficacia di qualsiasi tasso di rilevazione, per quanto elevato. L'argomento del "sub 1% di miglioramento" proposto da Microsoft appare statisticamente solido, ma omette la domanda cruciale: cosa contiene esattamente quel residuo che non viene intercettato?
David Shipley, di Beauceron Security, sottolinea che la tipologia di contenuto che riesce a eludere i filtri spazia da messaggi banali a sofisticati attacchi "time-delayed". Un fattore determinante è la configurazione delle allowlist: modalità più restrittive ottengono tassi di rilevazione più elevati, ma generano anche un numero maggiore di falsi positivi, con ricadute operative concrete sulle organizzazioni. Shipley identifica inoltre un rischio emergente legato ai modelli linguistici (Large Language Model, LLM) di tipo agentivo usati nell'analisi delle email, vulnerabili a tecniche di manipolazione tramite contenuto nascosto.
Il contesto competitivo rivela anche una chiara strategia di mercato. Come osserva Shipley, Microsoft compete per lo stesso budget di sicurezza degli altri fornitori e ha tutto l'interesse a convincere le imprese a dismettere i vendor specializzati in favore di una spesa più concentrata sul proprio ecosistema. Il rapporto trimestrale, in questo senso, è uno strumento di posizionamento commerciale oltre che tecnico, e va letto come tale.
Ioussoufovitch consiglia ai responsabili della sicurezza informatica (CISO) di non estrarre dal rapporto conclusioni operative generalizzate, ma di utilizzarlo come punto di partenza per una valutazione interna dell'ambiente specifico. La decisione di aggiungere o rimuovere vendor dovrebbe essere basata sull'appetito al rischio dell'organizzazione, sul budget complessivo e sulle caratteristiche del proprio perimetro digitale.
Resta aperta una domanda strutturale per l'intero settore: mentre l'intelligenza artificiale migliora la qualità degli attacchi di phishing, rendendo i messaggi malevoli più credibili e difficili da rilevare, fino a che punto le soluzioni di filtraggio — anche le più performanti — potranno tenere il passo? La risposta non è solo tecnica: riguarda modelli di spesa, responsabilità organizzative e la capacità delle imprese di formare i propri dipendenti a riconoscere ciò che nessun filtro riesce ancora a bloccare.