Risultati al minimo privilegio. Dati minimi, cancellabili su richiesta (GDPR).
Autenticazione forte insufficiente. MFA non obbligatoria su più account privilegiati.
Policy di accesso condizionale incomplete. Alcuni flussi non sono coperti.
Configurazione DMARC/DKIM parziale. Rischio di spoofing di dominio rilevato.