Cos'è un penetration test: la guida per l'imprenditore

Cos'è un penetration test in parole semplici

Un penetration test — o pentest — è una simulazione controllata di attacco informatico. Un team di esperti di sicurezza, autorizzato per iscritto dalla tua azienda, tenta di entrare nei tuoi sistemi usando le stesse tecniche di un hacker reale. L'obiettivo è trovare le vulnerabilità prima che lo facciano persone con cattive intenzioni.

La differenza fondamentale rispetto a un attacco vero? Il pentest è autorizzato, documentato e controllato. Al termine ricevi un report che ti dice esattamente cosa hanno trovato, quanto è grave e cosa devi fare per sistemarlo.

Non confonderlo con un vulnerability scan, che è uno strumento automatico che elenca vulnerabilità teoriche senza verificare se sono davvero sfruttabili nel tuo contesto. Un penetration test è analisi umana: il tester pensa, improvvisa e concatena vulnerabilità come farebbe un attaccante reale. La nostra guida tecnica approfondita su tipologie e metodologia del pentest copre questi aspetti nel dettaglio.

Perché riguarda anche la tua PMI

La convinzione più diffusa — e più pericolosa — tra gli imprenditori italiani è: "Siamo troppo piccoli per essere attaccati." I dati smentiscono questo mito in modo netto.

Secondo il Rapporto CLUSIT 2025, il 43% degli attacchi informatici gravi in Italia nel 2024 ha colpito PMI. I gruppi criminali non scelgono le vittime per dimensione: scelgono le più vulnerabili. Una grande azienda con un team di sicurezza dedicato è spesso più difficile da attaccare di una PMI con l'IT gestito da un consulente esterno part-time.

• Il costo medio di un incidente ransomware per una PMI italiana è tra 200.000 e 500.000€ (downtime, ripristino, danni reputazionali, sanzioni GDPR)
• Il 60% delle PMI che subisce un attacco grave non riapre entro 6 mesi (fonte: ENISA SME Report 2024)
• NIS2 e ISO 27001 richiedono esplicitamente test di sicurezza periodici per le aziende soggette

Un penetration test costa tra 2.000 e 15.000€ a seconda dello scope. Il confronto con il costo di un incidente reale è impietoso.

Cosa succede concretamente durante un pentest

Molti imprenditori immaginano scene da film: qualcuno con un cappuccio nero che digita freneticamente su una tastiera. La realtà è molto più metodica — e rassicurante.

1. Accordo e definizione dello scope

Prima di toccare qualsiasi sistema, si firma un contratto che definisce esattamente cosa può essere testato, con quali tecniche, in quali orari e chi contattare in caso di imprevisti. Questo protegge entrambe le parti. Nessun tester professionista inizia senza questa fase.

2. Raccolta di informazioni

Il team raccoglie informazioni pubblicamente disponibili sulla tua azienda: siti web, indirizzi email, tecnologie usate, profili LinkedIn dei dipendenti. Tutto senza ancora toccare i tuoi sistemi. Questo replica esattamente ciò che farebbe un attaccante reale nella fase di preparazione.

3. Tentativi controllati di accesso

I tester provano ad accedere ai sistemi concordati nello scope: server esposti su Internet, applicazioni web, VPN aziendali, reti Wi-Fi. Ogni tentativo di accesso riuscito viene documentato con prove concrete (screenshot, log) e immediatamente segnalato se particolarmente critico.

4. Verifica dell'impatto reale

Quando trovano un punto di accesso, verificano fin dove possono spingersi: a quali dati potrebbero accedere, quali sistemi potrebbero compromettere. Questo trasforma una vulnerabilità teorica in un rischio di business concreto e quantificabile.

Come leggere il report: cosa trovi e cosa fare

Il report è il prodotto finale del penetration test. Un report professionale ha due sezioni pensate per destinatari diversi:

Executive Summary — per te, imprenditore

Una o due pagine scritte in linguaggio non tecnico. Risponde alle domande che ti interessano davvero: Quanto siamo esposti? Cosa rischiano i nostri dati? Cosa dobbiamo fare subito? Il rischio complessivo è espresso con un giudizio sintetico (critico/alto/medio/basso) e le vulnerabilità più gravi sono elencate con l'impatto sul business, non con codici tecnici.

Technical Findings — per il tuo team IT

Ogni vulnerabilità trovata è documentata con: descrizione tecnica, livello di severità (scala CVSS da 0 a 10), prova riproducibile (screenshot, log), e azione correttiva specifica. Non "migliora la sicurezza" ma "installa la patch CVE-2025-XXXX entro 7 giorni".

Come scegliere il fornitore: 5 domande da fare

Il mercato è pieno di offerte che si definiscono "penetration test" ma sono in realtà scan automatici rivenduti. Queste cinque domande ti permettono di distinguere subito un fornitore serio da uno che non lo è.

1. Quante ore uomo prevede lo scope? Un pentest serio su un'applicazione web media richiede almeno 3-5 giorni di lavoro manuale. Se il preventivo non indica le ore, chiedi esplicitamente. Prezzi sotto 1.000€ significano quasi sempre scan automatici.
2. I tester hanno certificazioni riconosciute? Chiedi: OSCP (Offensive Security Certified Professional), CEH (Certified Ethical Hacker), CREST. Non sono obbligatorie, ma sono un indicatore di competenza verificata.
3. Il report include l'executive summary? Un fornitore che non sa spiegare i risultati in termini di business, non capisce il tuo business. L'executive summary è obbligatorio in qualsiasi report professionale.
4. È incluso il retest dopo la remediation? Senza verifica delle correzioni, non sai se i problemi sono stati davvero risolti. Il retest non è un optional.
5. Firmate un NDA e un contratto di autorizzazione? Senza questi documenti sei giuridicamente esposto. Un tester serio non inizia mai senza autorizzazione scritta e accordo di riservatezza.

• Preventivo molto basso senza dettaglio delle ore (probabile scan automatico)
• Nessuna richiesta di autorizzazione scritta prima di iniziare
• Report senza executive summary o con solo output di tool automatici
• Nessuna menzione di metodologie standard (OWASP, PTES, MITRE ATT&CK)

Quanto costa e quanto vale: il ROI della sicurezza

Il costo di un penetration test dipende da cosa si testa. Questi sono i range realistici per il mercato italiano nel 2026:

• Pentest esterno base (perimetro Internet, 10-20 IP): 2.000–4.000€
• Web Application PT (1 applicazione media): 3.000–6.000€
• Active Directory PT (dominio <500 utenti): 4.000–8.000€
• Pentest completo (esterno + interno + web app + AD): 8.000–15.000€

Messo in prospettiva: il costo medio di un incidente ransomware che blocca una PMI italiana per 2 settimane è di 200.000-500.000€ (downtime, ripristino, consulenze legali, sanzioni, perdita clienti). Un penetration test annuale da 5.000€ che avrebbe identificato la vulnerabilità sfruttata vale dunque un ritorno sull'investimento nell'ordine di 40:1.

Non è un costo — è un'assicurazione con prova di funzionamento inclusa. Leggi anche la nostra analisi degli errori di sicurezza informatica più comuni nelle PMI per capire come si arriva a un incidente.

Domande frequenti

Cos'è un penetration test in parole semplici?
Un penetration test è una simulazione controllata di attacco informatico eseguita da esperti autorizzati. L'obiettivo è trovare le vulnerabilità reali prima che lo facciano attaccanti reali. Al termine si riceve un report con criticità e azioni correttive.

Quanto costa un penetration test per una PMI?
Un pentest esterno base parte da 2.000-4.000€. Un'analisi completa (rete, web app, Active Directory) può arrivare a 8.000-15.000€. Diffida di prezzi sotto 1.000€: sono scan automatici, non analisi manuale.

Con quale frequenza bisogna fare un penetration test?
Almeno una volta all'anno. Anche dopo cambiamenti significativi: nuova applicazione, migrazione cloud, cambio fornitore IT critico. NIS2 e ISO 27001 richiedono test periodici.

Il penetration test può bloccare la produzione?
Un pentest professionale è progettato per non causare interruzioni. Le attività vengono concordate in anticipo e le tecniche più aggressive eseguite solo in finestre orarie concordate. Nella nostra esperienza su centinaia di assessment, i disservizi sono rarissimi.