Ogni azienda ha delle difese. Poche sanno se reggono. Il budget speso in firewall e antivirus dice poco finché nessuno prova davvero a entrare. Il penetration test è un attacco simulato e autorizzato contro sistemi, applicazioni e persone: risponde alla domanda che interessa chi decide — da dove passerebbe un attaccante, e quanto gli costerebbe. È il collaudo della struttura: meglio scoprire dove cede in un test controllato che durante la scossa vera.
Penetration test white, grey o black box: come scegliere
La prima decisione di ogni pentest è quanta informazione dare a chi attacca. Non è un dettaglio tecnico: determina cosa il test può vedere, quanto dura e quanto costa.
- White box — accesso completo a configurazioni, codice e credenziali. È l’analisi più profonda: trova anche le vulnerabilità di configurazione e di codice che un attacco reale non farebbe emergere. In cambio richiede più tempo e non rispecchia lo scenario dell’attaccante esterno. Indicato per sistemi critici e applicazioni sviluppate in casa.
- Grey box — informazioni parziali, come credenziali di basso livello: lo scenario dell’intruso che ha già un piede dentro. È il compromesso più frequente tra realismo e profondità, più rapido del white box; il limite è che non copre tutte le debolezze interne.
- Black box — nessuna informazione preliminare: lo scenario dell’attaccante che parte da zero. Massimo realismo, ma il test vede solo ciò che è raggiungibile da fuori.
Perimetro e profondità sono scelte indipendenti che si combinano in una fase di scoping condotta insieme al tuo team IT: regole di ingaggio, finestre orarie, sistemi da escludere. Il test deve trovare i punti deboli, non fermare l’operatività.
Cosa dice la NIS2 (e cosa non dice)
Il d.lgs. 138/2024, che recepisce la NIS2, non nomina mai il penetration test. Lo fanno le specifiche di base dell’Agenzia per la Cybersicurezza Nazionale (determinazione ACN n. 379907 del 18 dicembre 2025): per i soggetti essenziali, sui sistemi rilevanti, vulnerability assessment e/o penetration test vanno eseguiti periodicamente e prima della messa in esercizio, e documentati con relazioni (misura ID.RA-01). Per i soggetti importanti il requisito non c’è; il test resta però il modo più diretto di dimostrare che le misure adottate funzionano. Le misure di base vanno completate entro ottobre 2026 dai soggetti del primo ciclo; da lì in poi ACN può ispezionare. Quelle relazioni conviene averle in ordine prima che le chieda qualcuno.
I numeri, intanto, spiegano perché il tema non riguarda solo chi è nel perimetro NIS2: il Rapporto Clusit 2026 censisce 507 attacchi gravi andati a segno in Italia nel 2025, +42% sul 2024, e nel 47,6% dei casi l’impatto è stato alto, critico o estremo.
Cosa facciamo
- External pentesting su tutto ciò che è esposto a internet: firewall, server pubblici, siti web, VPN, posta.
- Internal pentesting per misurare cosa succederebbe se un attaccante fosse già in rete: privilegi eccessivi, segmentazione debole, movimenti laterali possibili.
- Wireless e IoT: reti Wi-Fi aziendali (rogue access point, cifratura debole), telecamere e sensori con firmware obsoleti o protocolli di comunicazione non sicuri.
- Cloud pentesting su configurazioni, identità e accessi degli ambienti che ospitano dati e applicazioni.
- Social engineering: campagne di phishing e pretexting simulate per verificare la tenuta delle persone, non solo dei sistemi — con risultati che orientano la formazione del personale.
- Red teaming, per chi vuole la prova più realistica: una simulazione prolungata su tre fronti insieme — digitale, fisico e umano — che mette sotto pressione anche la capacità del tuo monitoraggio e risposta di accorgersi che l’attacco è in corso.
Cosa ottieni
- Un report tecnico con ogni vulnerabilità classificata per gravità e sfruttabilità reale, non un elenco generato da uno scanner.
- Un executive summary pensato per chi deve decidere budget e priorità, leggibile senza un background tecnico.
- Un piano di remediation ordinato per impatto, con indicazioni concrete su cosa correggere prima.
- Un retest dopo le correzioni, per confermare che le falle siano davvero chiuse.
Il test giusto dipende da com’è fatta la tua azienda: dimensione, esposizione, cosa c’è da proteggere. Se il quadro complessivo ancora manca, il punto di partenza è una valutazione del rischio; se sai già cosa vuoi mettere alla prova, scrivici due righe sulla tua infrastruttura dalla pagina contatti e ti proponiamo il taglio adatto — tipologia, perimetro, tempi e modalità messi nero su bianco prima di iniziare.
// domande frequenti
Che differenza c'è tra vulnerability assessment e penetration testing?
Il vulnerability assessment è una scansione, in larga parte automatica, che elenca le vulnerabilità note di sistemi e applicazioni. Il penetration test va oltre: un tester le sfrutta manualmente, concatena le debolezze e dimostra cosa otterrebbe davvero un attaccante — quali dati, quali sistemi, con quale impatto. Sono complementari: il VA dà frequenza e copertura, il pentest dà profondità. Ma è la prova di sfruttabilità che dà il pentest a dire quali falle meritano budget per prime.
Penetration test white box, grey box o black box: quale scegliere?
Black box offre il massimo realismo: il tester parte senza informazioni, come un attaccante esterno, ma vede solo ciò che è esposto. White box scende più in fondo — accesso a configurazioni, codice e credenziali — ma richiede più tempo: indicato per sistemi critici e applicazioni sviluppate in casa. Grey box, con informazioni parziali, è la scelta più frequente per le PMI: simula l'intruso che ha già un accesso limitato. La scelta dipende da cosa vuoi misurare e si combina, in fase di scoping, con il perimetro del test: esterno, interno o entrambi.
Un penetration test può bloccare o danneggiare i sistemi in produzione?
Un rischio residuo esiste sempre — nessun fornitore serio promette il contrario — ma un penetration test ben progettato lo riduce al minimo e lo tiene sotto controllo. Prima del test si concordano regole di ingaggio scritte: perimetro, finestre orarie, sistemi da escludere, canali di emergenza per sospendere subito le attività. Lo scoping si fa insieme al team IT interno, che sa quali sistemi sono delicati e quando; le tecniche più invasive si pianificano fuori dagli orari critici o su ambienti di test. L'obiettivo è misurare le difese, non fermare la produzione.
Il penetration test è obbligatorio con la NIS2?
Dipende da com'è classificata la tua organizzazione. Il d.lgs. 138/2024, che recepisce la NIS2, non cita mai il penetration test; le specifiche di base dell'Agenzia per la Cybersicurezza Nazionale (ACN, determinazione n. 379907 del 18 dicembre 2025) però lo introducono per i soggetti essenziali: sui sistemi rilevanti vanno eseguiti periodicamente — e prima della messa in esercizio — vulnerability assessment e/o penetration test, documentati con relazioni. Per i soggetti importanti il requisito non c'è, ma il test resta il modo più diretto di dimostrare che le misure di sicurezza funzionano.
Quanto dura un penetration test e ogni quanto va ripetuto?
Dipende dal perimetro e dalla tipologia: un black box su pochi servizi esposti richiede meno tempo di un white box su sistemi critici, che è l'analisi più approfondita e quindi la più lunga. Tempi e modalità vengono definiti per iscritto nello scoping, prima di iniziare. Quanto alla frequenza: ha senso ripetere il test dopo ogni cambiamento significativo dell'infrastruttura, e per i soggetti essenziali NIS2 le specifiche ACN chiedono verifiche periodiche sui sistemi rilevanti.
Cosa ricevo alla fine di un penetration test?
Quattro cose: un report tecnico in cui ogni vulnerabilità è pesata per gravità e sfruttabilità concreta; un executive summary scritto per chi decide il budget, senza gergo; un piano di remediation che mette in fila gli interventi a partire da quelli che tolgono più rischio; e un retest dopo le correzioni. Per CyberQuake il lavoro non si chiude alla consegna del PDF, ma alla verifica che le correzioni abbiano funzionato.