Offensive Security 30 Giugno 2026 · 10 min di lettura · Team FrameSec

Simulazione attacco hacker: cos'è e quando farla

Simulare un attacco reale è il modo più efficace per scoprire dove la tua azienda è davvero vulnerabile — prima che lo facciano i criminali. Guida completa alle tipologie di simulazione, dalle campagne di phishing al red team engagement, con costi e criteri di scelta per le PMI italiane.

simulazione attacco red team phishing simulation purple team offensive security

Cos'è una simulazione di attacco hacker

Una simulazione di attacco hacker è un'esercitazione controllata in cui professionisti di sicurezza certificati — il cosiddetto red team — tentano di violare i sistemi, i processi e le persone di un'organizzazione usando le stesse tecniche degli attaccanti reali. L'operazione avviene sempre con il permesso scritto e formalizzato dell'azienda (Rules of Engagement), senza causare danni reali ai dati o ai sistemi.

L'obiettivo non è semplicemente trovare vulnerabilità tecniche — quello è il compito del penetration test — ma testare la capacità complessiva di detection e risposta dell'organizzazione: il team di sicurezza rileva l'attacco? In quanto tempo? Riesce a bloccarlo prima che raggiunga l'obiettivo critico? Come reagiscono le persone a un'email di phishing convincente?

Secondo il Verizon DBIR 2025, il 74% delle violazioni di dati ha coinvolto l'elemento umano: phishing, credenziali rubate, errori intenzionali. Una simulazione di attacco è l'unico modo per misurare questa esposizione in modo realistico, prima che lo facciano i criminali.

Le tre tipologie principali di simulazione

1. Phishing Simulation

È la forma più accessibile e frequente di simulazione. Il team invia email di phishing costruite ad hoc — con loghi aziendali reali, pretesti convincenti, landing page false — a un campione di dipendenti senza preavviso. Si misura la percentuale di click sui link malevoli, di compilazione dei form con credenziali, e di segnalazione dell'email sospetta all'IT.

I risultati medi a livello italiano: circa il 30% dei dipendenti clicca su link di phishing in assenza di training specifico (fonte: Proofpoint State of the Phish 2025). Dopo un percorso di awareness training, il tasso scende tipicamente al 5-8%. La simulazione misura il gap e guida il training.

2. Penetration Test (con simulazione di attacco reale)

Un penetration test ben condotto non si limita a uno scanner automatico: il pentester simula il comportamento di un attaccante reale, catena più vulnerabilità insieme (vulnerability chaining) e cerca di raggiungere un obiettivo specifico — accedere al database, rubare credenziali di Active Directory, ottenere accesso alla VPN. È più realistico di una scansione automatica e produce un report con le catene di attacco effettive, non solo una lista di CVE.

3. Red Team Engagement

Il red team engagement è la simulazione più completa e realistica. Dura da 4 a 12 settimane, ha scope aperto — gli attaccanti possono usare qualsiasi vettore, inclusi phishing, accesso fisico alle sedi, social engineering telefonico — e un obiettivo specifico definito dall'azienda (es. "accedere al server di backup", "ottenere credenziali di un amministratore di dominio").

Il blue team aziendale (o il SOC) non sa che l'operazione è in corso: questo è il valore principale — si testa la detection reale, non la prontezza artificiale. Alla fine, la sessione di purple team mette insieme red e blue team per analizzare cosa ha funzionato, cosa no e come migliorare.

TipologiaDurataScopeCosto indicativo PMIQuando usarla
Phishing Simulation1-2 settimaneUtenti specificati2.000–5.000 €Misurare consapevolezza, dopo awareness training
Penetration Test1-3 settimaneScope definito3.000–10.000 €Verifica tecnica sistemi/applicazioni
Red Team4-12 settimaneScope aperto15.000–30.000 €Test realistico capacità detection e risposta
Nota pratica

Per la maggior parte delle PMI italiane, il percorso ottimale è: phishing simulation → awareness training → penetration test annuale. Il red team engagement ha senso quando l'azienda ha già un SOC attivo o un MDR e vuole testarne l'efficacia in condizioni reali.

Come si svolge una simulazione di attacco: le fasi operative

Indipendentemente dal tipo, ogni simulazione di attacco segue fasi standardizzate che rispecchiano la Kill Chain di un attaccante reale:

  1. Reconnaissance — raccolta di informazioni sull'obiettivo da fonti pubbliche: domini, email dei dipendenti (LinkedIn), tecnologie usate (header HTTP, job posting), indirizzi IP. Questa fase è interamente passiva e non richiede ancora accesso ai sistemi.
  2. Initial Access — il primo punto di ingresso. Nel 90% dei casi reali è il phishing (email con attachment malevolo o link a pagina falsa) o lo sfruttamento di un servizio esposto (VPN con credenziali deboli, RDP accessibile da internet).
  3. Persistence & Privilege Escalation — una volta dentro, l'attaccante installa meccanismi per mantenere l'accesso anche dopo un riavvio e cerca di elevarsi da utente normale ad amministratore di dominio.
  4. Lateral Movement — l'attaccante si sposta lateralmente tra i sistemi usando credenziali rubate, pass-the-hash, o sfruttando trust di dominio. In questa fase si raggiunge l'obiettivo critico.
  5. Objective — accesso ai dati sensibili, cifratura ransomware simulata, esfiltrazione di un file di prova, o qualsiasi obiettivo definito nelle Rules of Engagement.
  6. Reporting & Purple Team — il report documenta ogni passo con screenshot e log. La sessione purple team analizza congiuntamente le lacune di detection e le raccomandazioni di remediation.

Quando ha senso fare una simulazione di attacco

Non tutte le aziende sono pronte per un red team engagement. Ecco i segnali che indicano quando è il momento giusto per ciascuna tipologia:

Phishing simulation: sempre e periodicamente

Una campagna di phishing simulation dovrebbe essere parte del calendario annuale di qualsiasi azienda con più di 10 dipendenti. Non richiede prerequisiti tecnici particolari e produce insight immediati sulla vulnerabilità umana — che rimane il vettore d'attacco più usato dai criminali.

Penetration test: almeno una volta l'anno

Il D.Lgs. 138/2024 (recepimento NIS2) richiede alle organizzazioni obbligate di effettuare "misure tecniche e organizzative adeguate" che comprendono test periodici. L'ISO 27001 al punto A.12.6.1 richiede test di vulnerabilità regolari. Un penetration test annuale è la risposta più pratica a entrambi i requisiti.

Red team: quando hai già un SOC o un MDR attivo

Il red team ha senso solo se hai qualcosa da testare. Se la tua azienda non ha ancora un sistema di monitoraggio (SIEM, MDR), il red team non produrrà learning utile: l'attacco andrà a segno senza che nessuno se ne accorga, e la lesson learned sarà ovvia. Prima costruisci la detection, poi la testi con il red team.

Attenzione

Non commissionare mai una simulazione di attacco senza un contratto scritto con le Rules of Engagement che definiscano chiaramente scope, obiettivi, metodi consentiti e esclusi, e procedura di emergenza. In assenza di documentazione legale appropriata, un'operazione red team può configurare reati informatici anche se commissionata dall'azienda stessa.

Come scegliere il fornitore giusto

Il mercato italiano della simulazione di attacchi è frammentato tra provider qualificati e operatori che si limitano a eseguire scanner automatici spacciandoli per penetration test. Ecco i criteri minimi:

Domande frequenti

Cos'è una simulazione di attacco hacker?
È un'esercitazione controllata in cui professionisti di sicurezza tentano di violare sistemi, processi e persone dell'azienda usando tecniche reali, con permesso scritto. L'obiettivo è testare la capacità complessiva di detection e risposta, non solo trovare bug tecnici.

Qual è la differenza tra red team e penetration test?
Il penetration test ha scope definito e obiettivo tecnico (trovare vulnerabilità). Il red team ha scope aperto, dura settimane, usa qualsiasi vettore (phishing, accesso fisico, social engineering) e l'obiettivo è testare la detection reale del blue team senza che questo sappia dell'operazione.

Quanto costa una simulazione di attacco per una PMI?
Phishing simulation: 2.000-5.000 €. Penetration test: 3.000-10.000 €. Red team engagement completo: 15.000-30.000 €. Per le PMI che iniziano, la phishing simulation è il rapporto costo/insight migliore.