Qual è la differenza tra vulnerability assessment e penetration test?

Il vulnerability assessment identifica e cataloga le vulnerabilità presenti nei sistemi, spesso con strumenti automatici come Nessus o OpenVAS. Il penetration test va oltre: un tester umano sfrutta attivamente le vulnerabilità per verificare se sono realmente exploitabili e quale impatto avrebbero. Il pentest produce prove concrete (proof-of-concept riproducibili) e una valutazione del rischio reale, non teorico.

Penetration Test per PMI: guida completa 2026

Q: Quanto costa un penetration test per una PMI italiana?

Il costo dipende dallo scope. Un penetration test esterno base (perimetro esterno, 10-20 IP) parte da 2.000-4.000€ per una PMI. Un WAPT su un'applicazione web media costa 3.000-6.000€. Un pentest completo con web app, Active Directory e rete interna può arrivare a 8.000-15.000€. I prezzi variano in base alla complessità e alla certificazione del team.

Q: Con quale frequenza fare un penetration test?

La frequenza minima raccomandata è annuale. Tuttavia, un pentest è consigliato ogni volta che si verificano cambiamenti significativi all'infrastruttura: lancio di una nuova applicazione, migrazione cloud, acquisizione, cambio di fornitore IT critico. NIS2 e ISO 27001 richiedono test periodici come parte del programma di valutazione dell'efficacia dei controlli.

Cos'è un penetration test e perché è diverso da uno scan automatico

Un penetration test (o pentest) è un'attività di sicurezza offensiva in cui professionisti certificati simulano tecniche e tattiche di un attaccante reale per identificare vulnerabilità sfruttabili prima che lo facciano persone malintenzionate. La parola chiave è simulare: a differenza di un attacco reale, il pentest è autorizzato, documentato e controllato.

La distinzione rispetto a un vulnerability assessment è fondamentale:

Il vulnerability assessment esegue scanner automatici (Nessus, OpenVAS, Qualys) che identificano vulnerabilità note sui sistemi. È veloce, economico, ma produce falsi positivi e non verifica se una vulnerabilità è realmente exploitabile nel contesto specifico dell'azienda.
Il penetration test va oltre: un tester umano sfrutta attivamente le vulnerabilità, le concatena tra loro (attack chaining), tenta il movimento laterale, cerca di escalare i privilegi fino a raggiungere i sistemi critici. Produce prove concrete (screenshot, proof-of-concept riproducibili) e una valutazione del rischio reale, non teorico.

Regola pratica

Il vulnerability assessment risponde a "quali vulnerabilità esistono?". Il penetration test risponde a "quali vulnerabilità può sfruttare concretamente un attaccante per compromettere la mia azienda?". Sono complementari, non alternativi.

Le tipologie di penetration test per PMI

Non esiste un unico tipo di pentest. La scelta dipende da cosa vuoi testare e dal tuo budget. Ecco le principali tipologie rilevanti per una PMI italiana:

Penetration test esterno

Simula un attaccante esterno che parte da Internet senza credenziali né accesso alla rete interna. Testa il perimetro esposto: firewall, VPN, webmail, portali di accesso remoto, applicazioni web pubbliche. È il punto di partenza consigliato per una PMI che non ha mai fatto un pentest.

Web Application Penetration Test (WAPT)

Focalizzato su una o più applicazioni web. Segue la metodologia OWASP Testing Guide (OWASP Top 10, API security, business logic, IDOR, authentication flaws). Essenziale per qualsiasi PMI che usa applicazioni web custom, e-commerce, portali clienti o API esposte. Scopri di più sul nostro servizio di Web Application Penetration Testing.

Active Directory Penetration Test

Testa la sicurezza dell'infrastruttura di identità e accesso. Un AD mal configurato è la via più comune per scalare da un account utente compromesso a Domain Admin in poche ore. Tecniche testate: Kerberoasting, Pass-the-Hash, DCSync, BloodHound path analysis, GPO abuse. Critico per qualsiasi PMI con infrastruttura on-premise.

Internal Penetration Test

Simula un attaccante già dentro la rete (dipendente malevolo, contractor, accesso da phishing). Il tester parte da una workstation o da un accesso VPN e cerca di raggiungere i sistemi critici. Rivela problemi di segmentazione, privilege escalation e configurazioni errate invisibili dall'esterno.

Wi-Fi Security Assessment

Valuta la sicurezza delle reti wireless: protocolli di autenticazione (WPA2-Enterprise vs WPA2-Personal), rogue access point, segmentazione rete ospiti, attacchi EVIL TWIN. Fondamentale per uffici aperti o con ospiti frequenti.

Come si svolge un penetration test: le fasi

Un pentest professionale segue fasi definite che garantiscono copertura sistematica e riproducibilità. Nella nostra pratica di centinaia di assessment, seguiamo la metodologia PTES (Penetration Testing Execution Standard) integrata con OWASP e MITRE ATT&CK.

Scoping e regole di ingaggio: si definisce esattamente cosa testare (IP, domini, applicazioni), quali tecniche sono autorizzate, le finestre temporali, i contatti di emergenza. Un contratto firmato con NDA protegge entrambe le parti.
Ricognizione (Reconnaissance): raccolta di informazioni pubbliche (OSINT) sull'azienda: DNS, certificati SSL, tecnologie usate, email dei dipendenti, LinkedIn, Github. Senza ancora toccare i sistemi target.
Scanning e enumerazione: identificazione dei sistemi attivi, porte aperte, servizi in ascolto, versioni software. Si costruisce la mappa della superficie d'attacco.
Analisi delle vulnerabilità: correlazione dei dati raccolti con database di vulnerabilità (NVD, CVE, ExploitDB) e identificazione manuale di misconfigurazioni.
Exploitation: tentativo controllato di sfruttare le vulnerabilità identificate. Si documenta ogni accesso ottenuto con screenshot e prove riproducibili.
Post-exploitation: dato un accesso iniziale, si verifica fino a dove è possibile spingersi: movimento laterale, privilege escalation, accesso a dati sensibili, persistence.
Reporting: redazione del report con executive summary (per il management), technical findings (per l'IT), e remediation plan prioritizzato per criticità (CVSS).

Quanto costa un penetration test per una PMI

Il costo di un pentest dipende principalmente da scope (cosa si testa), complessità (quanti sistemi, quante applicazioni) e certificazione del team. I valori sotto sono range realistici per il mercato italiano nel 2026:

Pentest esterno base (10-20 IP, perimetro semplice): 2.000 – 4.000 €
WAPT applicazione web standard (1 applicazione, ~30 giorni uomo): 3.000 – 6.000 €
Active Directory pentest (dominio standard, <500 utenti): 4.000 – 8.000 €
Pentest completo (esterno + interno + AD + web app): 8.000 – 15.000 €
Red team engagement (simulazione attacco completo, 4-6 settimane): 15.000 – 40.000 €

Come scegliere

Diffida di pentest a prezzi molto bassi (sotto 1.000€): significano scan automatici con report generato da tool, non un'attività manuale. Il valore di un pentest sta nell'analisi umana, non nello scanner. Chiedi sempre: quante ore uomo prevede lo scope? I tester sono certificati (OSCP, CEH, CREST)?

Cosa aspettarsi dal report di un pentest

Un report professionale non è una lista di CVE: è un documento che trasforma i risultati tecnici in decisioni di business. Deve contenere:

Executive Summary (1-2 pagine): rischio complessivo, vulnerabilità critiche principali, impatto sul business. Destinato al management, senza tecnicismi.
Technical Findings: ogni vulnerabilità documentata con severità (CVSS), descrizione, proof-of-concept riproducibile, screenshot, impatto specifico.
Remediation Plan: per ogni finding, azione correttiva specifica, difficoltà di remediation, priorità. Non "aggiorna il sistema" ma "installa la patch CVE-2025-XXXX entro 7 giorni".
Retest: dopo la remediation, un pentest professionistico include una sessione di verifica gratuita per confermare che i fix siano stati implementati correttamente.

Pentest, NIS2 e ISO 27001

Il penetration test periodico è esplicitamente richiesto da entrambi i framework più rilevanti per le PMI italiane:

NIS2 (D.Lgs. 138/2024, art. 21): richiede "politiche e procedure per valutare l'efficacia delle misure di gestione dei rischi di cybersicurezza". Il penetration test è il metodo più diretto per misurare questa efficacia. ACN nelle sue linee guida indica il testing offensivo come misura raccomandata.

ISO/IEC 27001:2022 (Annex A, controllo 8.8): richiede la gestione delle vulnerabilità tecniche e la valutazione dell'efficacia dei controlli tramite test. La certificazione ISO 27001 non richiede formalmente un pentest, ma gli auditor la considerano best practice imprescindibile.

Domande frequenti

Quanto costa un penetration test per una PMI italiana?
Il costo dipende dallo scope. Un pentest esterno base parte da 2.000-4.000€. Un WAPT su un'applicazione web media costa 3.000-6.000€. Un pentest completo con web app, Active Directory e rete interna può arrivare a 8.000-15.000€.

Qual è la differenza tra penetration test e vulnerability assessment?
Il vulnerability assessment usa scanner automatici per identificare vulnerabilità note. Il penetration test sfrutta attivamente le vulnerabilità con analisi umana, verifica se sono realmente exploitabili e produce prove concrete. Sono complementari.

Con quale frequenza fare un penetration test?
Almeno una volta all'anno. È consigliato anche dopo ogni cambiamento significativo all'infrastruttura: nuova applicazione, migrazione cloud, acquisizione. NIS2 e ISO 27001 richiedono test periodici.

Un pentest può causare disservizi?
Un pentest professionale è progettato per minimizzare i rischi di interruzione. Il team FrameSec coordina le attività con il cliente, usa tecniche controllate e ha procedure di escalation se si verifica un imprevisto. Le attività più aggressive (DoS test) vengono eseguite solo in finestre temporali concordate.