Un penetration test (o pentest) è un attacco informatico simulato e autorizzato, condotto per identificare le vulnerabilità di sicurezza di un'infrastruttura IT prima che vengano sfruttate da un attaccante reale.
In termini semplici: assumiamo il ruolo di un hacker e proviamo a "entrare" nella tua rete, nelle tue applicazioni web o nei tuoi sistemi. La differenza? Lo facciamo in modo controllato, documentato e con il tuo consenso. Alla fine ricevi un report dettagliato con tutte le falle trovate e le soluzioni per correggerle.
Perché il Penetration Test È Fondamentale
I numeri parlano chiaro
- Il 68% delle PMI italiane ha subito almeno un incidente di sicurezza nell'ultimo anno
- Il costo medio di un data breach in Italia è di 3,5 milioni di euro
- Il tempo medio per identificare una violazione è di 207 giorni senza monitoraggio attivo
- Il 95% degli attacchi sfrutta vulnerabilità note e risolvibili
Non basta il firewall
Molte aziende credono che avere un firewall e un antivirus significhi essere protetti. La realtà è diversa: le configurazioni cambiano, i software si aggiornano (o non si aggiornano), i dipendenti commettono errori. Un penetration test verifica che tutte le difese funzionino realmente in uno scenario di attacco.
È un requisito di legge
Con l'entrata in vigore della Direttiva NIS2, il penetration test è diventato un requisito esplicito per molte categorie di aziende. L'articolo 21 richiede la "valutazione dell'efficacia delle misure di gestione dei rischi di cybersecurity", e il pentest è lo strumento principale per farlo.
Tipologie di Penetration Test
Per ambito
| Tipo | Cosa si testa | Quando serve |
|---|---|---|
| Network pentest | Rete interna ed esterna, server, router, switch | Sempre (è il test base) |
| Web application pentest | Siti web, portali clienti, e-commerce, API | Se hai applicazioni web |
| Email / Social engineering | Phishing simulato, tentativi di ingegneria sociale | Per testare i dipendenti |
| Wireless pentest | Reti Wi-Fi aziendali | Se hai reti wireless |
| Physical pentest | Accesso fisico agli uffici e ai sistemi | Per aziende ad alta sicurezza |
Per livello di informazione
| Approccio | Informazioni fornite al tester | Simula |
|---|---|---|
| Black box | Nessuna (solo il nome dell'azienda) | Un attaccante esterno che non sa nulla |
| Grey box | Parziali (credenziali base, schema di rete) | Un ex dipendente o un partner |
| White box | Complete (codice sorgente, architettura, credenziali admin) | Un audit approfondito interno |
Il nostro consiglio: Per la maggior parte delle PMI, un test grey box sulla rete + un test black box sulle applicazioni web offre il miglior rapporto costo/copertura.
Come Funziona: Le 7 Fasi
Fase 1: Scoping e autorizzazione
Definiamo insieme cosa testare (quali IP, quali applicazioni, quali reti), i limiti del test e i tempi. Firmiamo un accordo di autorizzazione (NDA + autorizzazione al test).
Fase 2: Ricognizione (Reconnaissance)
Raccogliamo informazioni pubblicamente disponibili sull'azienda: domini, sottodomini, indirizzi IP, tecnologie utilizzate, email dei dipendenti. Tutto quello che un attaccante troverebbe con una ricerca.
Fase 3: Scansione e analisi
Utilizziamo strumenti professionali per mappare la rete, identificare porte aperte, servizi esposti e potenziali vulnerabilità. Questa fase è quasi completamente automatizzata.
Fase 4: Exploitation
Qui avviene l'"attacco" vero e proprio. Proviamo a sfruttare le vulnerabilità trovate per ottenere accesso ai sistemi. Questo è il cuore del penetration test e richiede competenze specialistiche.
Fase 5: Post-exploitation
Se riusciamo ad entrare, verifichiamo quanto lontano possiamo arrivare: possiamo accedere ai dati sensibili? Spostarci lateralmente nella rete? Ottenere privilegi di amministratore?
Fase 6: Report
Produciamo un report dettagliato che include:
- Executive summary per la direzione (non tecnica)
- Dettaglio tecnico per il team IT
- Classificazione delle vulnerabilità per gravità (critica, alta, media, bassa)
- Raccomandazioni specifiche per ogni vulnerabilità
Fase 7: Remediation e re-test
Supportiamo il team IT nella correzione delle vulnerabilità e, dopo la remediation, eseguiamo un re-test per verificare che le correzioni siano efficaci.
Un Caso Reale: 47 Minuti
Di recente abbiamo condotto un penetration test per una PMI manifatturiera italiana. Il risultato?
In 47 minuti eravamo all'interno della rete aziendale con accesso completo.
Come ci siamo riusciti:
- Minuto 0-5: Ricognizione. Abbiamo trovato un server web esposto con una versione obsoleta di Apache.
- Minuto 5-12: Scansione. Il server aveva 3 vulnerabilità critiche non patchate.
- Minuto 12-25: Exploitation. Attraverso una vulnerabilità di injection, abbiamo ottenuto accesso al server web.
- Minuto 25-35: Lateral movement. Dal server web, siamo risaliti al domain controller attraverso credenziali salvate in chiaro.
- Minuto 35-47: Domain admin. Avevamo accesso completo: email, documenti, database clienti, backup.
Tutto questo con credenziali di partenza? Zero. Solo il nome dell'azienda e il suo indirizzo IP pubblico.
L'azienda ha corretto tutte le vulnerabilità in 2 settimane. Al re-test, nessuna delle falle era più presente.
Quanto Costa un Penetration Test
| Tipo di test | Range di prezzo | Durata tipica |
|---|---|---|
| Network pentest (piccola rete) | 3.000 - 6.000€ | 3-5 giorni |
| Network pentest (rete media/grande) | 6.000 - 15.000€ | 5-10 giorni |
| Web application pentest | 2.000 - 8.000€ | 3-7 giorni |
| Test completo (rete + web + email) | 8.000 - 20.000€ | 10-15 giorni |
| Phishing campaign | 1.500 - 4.000€ | 2-3 settimane |
Prospettiva: Il costo di un pentest è una frazione del costo medio di un data breach (3,5M€). Il Voucher MIMIT può coprire fino al 50% del costo.
Ogni Quanto Fare un Penetration Test
| Situazione | Frequenza consigliata |
|---|---|
| Requisito NIS2 | Almeno 1 volta l'anno |
| Dopo modifiche significative all'infrastruttura | Subito dopo |
| Dopo un incidente di sicurezza | Subito dopo |
| Per aziende ad alto rischio | Ogni 6 mesi |
| Best practice generale | 1 volta l'anno + scan mensili automatizzati |
Penetration Test vs Vulnerability Assessment: La Differenza
| Vulnerability Assessment | Penetration Test | |
|---|---|---|
| Cosa fa | Scansiona e identifica vulnerabilità | Identifica e sfrutta attivamente le vulnerabilità |
| Profondità | Superficiale, automatizzato | Profondo, manuale + automatizzato |
| Risultato | Lista di vulnerabilità potenziali | Prova concreta di cosa un attaccante può fare |
| Falsi positivi | Molti | Pochissimi (ogni vulnerabilità è verificata) |
| Costo | Più basso | Più alto |
| Frequenza | Mensile/trimestrale | Annuale |
Il nostro approccio: Facciamo entrambi. Il vulnerability assessment mensile identifica le nuove vulnerabilità. Il penetration test annuale verifica l'intera postura di sicurezza.
Domande Frequenti
Il penetration test può danneggiare i miei sistemi?
I test sono condotti con estrema cautela. Prima del test, concordiamo i limiti e le precauzioni. Non eseguiamo attacchi che possano causare interruzioni di servizio, a meno che non sia esplicitamente richiesto.
Devo avvisare i miei dipendenti?
Dipende. Per un test puramente tecnico (network/web), è sufficiente che lo sappia il team IT. Per test di social engineering, è preferibile che i dipendenti non siano avvisati, per ottenere risultati realistici.
Cosa succede se trovate vulnerabilità critiche?
Ti avvisiamo immediatamente, prima ancora di completare il report. Le vulnerabilità critiche richiedono azione immediata.
Siete certificati?
Sì. Siamo certificati ISO 9001, ISO 27001, ISO 27017 e ISO 27018. Il nostro team utilizza metodologie conformi a OWASP, NIST e PTES.
Conclusione
Il penetration test non è un lusso per grandi aziende: è una necessità per qualsiasi organizzazione che utilizzi sistemi informatici. Con la NIS2, sta diventando anche un obbligo di legge per molti settori.
Meglio scoprire le vulnerabilità da un team di professionisti che da un ransomware da 85.000€.
📩 Vuoi testare la sicurezza della tua azienda? Richiedi un preventivo gratuito →
Articolo a cura di Nices Studio — Software, Cloud, Cybersecurity. Ultimo aggiornamento: Aprile 2026
Articoli correlati:
Ti è piaciuto questo articolo?
Contattaci per scoprire come possiamo aiutare la tua azienda.
Richiedi una consulenza