Vulnerability Assessment e Penetration Test: le differenze

Lettura 7 min · AstraLoop Studio

Se hai chiesto un preventivo di sicurezza informatica, probabilmente ti sei ritrovato davanti due termini usati quasi come sinonimi: vulnerability assessment (VA) e penetration test (pentest). Non lo sono. Fanno cose diverse, richiedono competenze diverse e costano cifre molto diverse. Un VA parte da 2.000 euro, un pentest serio raramente scende sotto i 5.000. Confonderli significa o pagare troppo per quello che ti serve, o pagare il giusto per la cosa sbagliata.

Qui ti spiego la differenza in termini pratici, senza gergo da manuale, e ti do una regola operativa che funziona per la maggior parte delle PMI italiane: VA a cadenza semestrale piu un penetration test annuale. Entrambi sono tasselli di un audit di sicurezza informatica completo, che e il quadro dentro cui vanno inseriti se vuoi che i soldi spesi abbiano un senso.

E una domanda che oggi non e piu accademica. Secondo il Rapporto Clusit 2026 l'Italia raccoglie circa il 10% degli incidenti mondiali, con attacchi gravi in aumento del 23% nel primo trimestre e uno sfruttamento delle vulnerabilita cresciuto del 65% rispetto al 2024. Le PMI sono il bersaglio nel 72% dei casi. Non stiamo parlando di grandi corporation, ma di aziende come la tua.

Illustrazione che confronta il vulnerability assessment, rappresentato da una lente che ispeziona i punti deboli, e il penetration test, rappresentato da una figura che entra attivamente dalla porta aperta.

La differenza in una frase

Immagina la sicurezza della tua azienda come un edificio.

Il vulnerability assessment e un ispettore che gira per l'edificio con una checklist e ti segnala tutte le porte senza serratura, le finestre che non chiudono bene, i lucchetti arrugginiti. Ti consegna una lista di problemi, ordinata per gravita. Non prova a entrare: ti dice dove potrebbe entrare qualcuno.

Il penetration test e un ladro professionista (etico, che lavora per te) a cui chiedi di provare davvero a entrare. Non si limita a elencare le debolezze, le combina, le sfrutta, cerca la catena di errori che porta fino ai dati sensibili. Alla fine ti dice non solo "questa porta era aperta", ma "sono entrato da quella porta, ho raggiunto il server contabile e avrei potuto scaricare l'anagrafica clienti".

In una frase: il VA ti dice quali vulnerabilita esistono, il pentest ti dimostra quanto in profondita un attaccante puo arrivare sfruttandole.

Tabella comparativa: VA e penetration test a confronto

Aspetto Vulnerability Assessment Penetration Test
Obiettivo Identificare ed elencare le vulnerabilita note Sfruttare le vulnerabilita per dimostrare l'impatto reale
Approccio Prevalentemente automatizzato (scanner) con verifica umana Prevalentemente manuale, guidato da un analista
Ampiezza vs profondita Ampio: copre molti sistemi, in superficie Profondo: pochi obiettivi, esplorati a fondo
Domanda a cui risponde "Dove sono debole?" "Un attaccante puo davvero entrare e fin dove arriva?"
Output Report con lista di vulnerabilita e livello di rischio Report con scenari di attacco riusciti, percorsi e prove
Falsi positivi Possibili (lo scanner segnala anche cio che non e sfruttabile) Rari (se e nel report, e stato effettivamente sfruttato)
Durata tipica Da pochi giorni a una settimana Da una a diverse settimane
Costo indicativo (PMI) 2.000 - 5.000 euro 5.000 - 15.000 euro
Cadenza consigliata Semestrale (o dopo ogni modifica rilevante) Annuale (o dopo cambiamenti strutturali)

Se vuoi approfondire ciascuno dei due separatamente, ho scritto una guida dedicata a cos'e un vulnerability assessment e una sui fattori che determinano il costo di un penetration test.

Perche non basta uno dei due

La tentazione, per contenere i costi, e scegliere solo uno. Vediamo perche di solito e un errore, in entrambe le direzioni.

Solo VA: vedi i problemi ma non capisci quali contano davvero

Un vulnerability assessment ben fatto ti puo restituire un elenco di 150, 200 o piu vulnerabilita. E utile, ma senza il contesto rischi la "paralisi da lista": non sai da dove iniziare. Molte di quelle segnalazioni sono di gravita bassa o non sfruttabili nel tuo ambiente reale (i cosiddetti falsi positivi). Il VA ti dice che dieci porte sono aperte, ma non quale di quelle porte porta davvero alla cassaforte. Perfetto per il monitoraggio continuo, insufficiente per capire il rischio concreto.

Solo pentest: profondo ma con angoli ciechi

Un penetration test si concentra su obiettivi specifici e li esplora a fondo. Proprio perche e mirato e costoso in ore-uomo, non copre tutto il perimetro con la stessa capillarita di uno scanner. Fare solo pentest una volta l'anno significa lasciare scoperti undici mesi in cui nascono nuove vulnerabilita. E qui il numero conta: nel 2025 sono state pubblicate oltre 11.000 nuove falle solo nell'ecosistema WordPress, il 97% delle quali in plugin e temi di terze parti. Un panorama che cambia ogni settimana non si copre con un singolo scatto annuale.

La combinazione dei due si tiene per mano. Il VA fa da rete a strascico continua, il pentest fa da controllo di profondita periodico. Insieme coprono sia l'ampiezza sia la gravita.

Illustrazione concettuale del ritmo di test consigliato per le PMI: vulnerability assessment semestrale e penetration test annuale rappresentati su una linea temporale circolare con uno scudo.

La regola pratica per le PMI: VA semestrale piu pentest annuale

Se dovessi darti un solo consiglio operativo, e questo. Per la stragrande maggioranza delle piccole e medie imprese italiane il ritmo giusto e:

  • Vulnerability assessment ogni sei mesi. Costo tipico 2.000 - 5.000 euro a scansione. Serve a intercettare le nuove vulnerabilita che si accumulano tra un pentest e l'altro. Se gestisci un e-commerce o un sito con molti plugin, valuta anche una cadenza piu frequente su quella parte del perimetro.
  • Penetration test una volta l'anno. Costo tipico 5.000 - 15.000 euro, in base alla complessita e all'ampiezza del perimetro. Serve a verificare che le difese reggano davanti a un attaccante determinato.

A questa cadenza fissa si aggiungono i trigger straordinari. Rifai il test (almeno il VA, in molti casi anche un pentest mirato) quando:

  • metti online un nuovo sito, un nuovo gestionale o un nuovo servizio esposto su Internet;
  • migri infrastruttura, per esempio verso il cloud;
  • integri un nuovo fornitore che accede ai tuoi sistemi;
  • hai avuto un incidente o un tentativo di attacco andato vicino a riuscire.

Quest'ultimo punto sul fornitore non e secondario: il 30% delle violazioni oggi coinvolge una terza parte e le compromissioni di supply chain si sono quadruplicate in cinque anni. La direttiva NIS2 impone esplicitamente di valutare i rischi legati ai fornitori, quindi il tema del rischio terze parti e diventato un obbligo, non piu una buona pratica.

E il budget? Un ordine di grandezza onesto

Sommando, una PMI che segue questa regola spende indicativamente tra i 9.000 e i 25.000 euro l'anno in test (due VA piu un pentest). Sembra tanto, finche non lo confronti con l'alternativa. Il costo medio di un incidente ransomware per una PMI italiana viaggia tra 35.000 e 250.000 euro, senza contare fermo operativo, danno reputazionale e possibili sanzioni. Il conto della prevenzione, in prospettiva, e quasi sempre il piu conveniente. Se vuoi il quadro dei numeri, trovi un'analisi dedicata al costo reale di un data breach e al ritorno sulla prevenzione, e una guida ai fattori che determinano il costo di un penetration test.

Non sai da quale dei due partire per la tua azienda? Richiedi un'analisi: valutiamo insieme il tuo perimetro e ti diciamo cosa serve davvero, senza scan automatici mascherati da pentest.

Cosa chiede la normativa (NIS2, AI Act, GDPR)

Nel 2026 la spinta a fare questi test non e piu solo di buon senso: e regolatoria. Vale la pena essere precisi, perche qui gli errori costano.

La direttiva NIS2 (recepita in Italia con il D.Lgs. 138/2024) impone ai soggetti in perimetro misure di gestione del rischio che includono valutazioni periodiche di sicurezza. Nel corso del 2026 entrano in vigore le scadenze operative: obblighi di notifica degli incidenti a partire dall'inizio dell'anno e misure di sicurezza di base attese entro ottobre. Un aspetto che molti titolari sottovalutano: la responsabilita ricade direttamente sugli organi di amministrazione (CEO e CdA) e non e piu delegabile all'ufficio IT. Se non sei sicuro di rientrare tra i soggetti obbligati, parti da questa verifica sull'applicabilita di NIS2 alla tua azienda e dagli obblighi concreti per le PMI.

L'AI Act (Regolamento UE 2024/1689) entra in una nuova fase operativa il 2 agosto 2026, con obblighi di cybersecurity sui sistemi ad alto rischio e la vigilanza affidata in Italia all'ACN. Le sanzioni possono arrivare fino a 35 milioni di euro o al 7% del fatturato. Il GDPR, dal canto suo, richiede all'art. 32 misure tecniche "adeguate" e la capacita di testarle e verificarle regolarmente: VA e pentest sono tra gli strumenti con cui dimostri di averlo fatto.

Un dettaglio importante: questa e informazione, non consulenza legale. Per capire il tuo perimetro esatto di obblighi conviene una valutazione specifica sulla tua realta, incrociando NIS2, AI Act e GDPR invece di trattarli come silos separati.

Scan automatico o audit umano? Non e la stessa cosa

Sul mercato trovi offerte a poche centinaia di euro che promettono un "penetration test". Nella quasi totalita dei casi sono scansioni automatiche riverniciate. Uno scanner e utile (fa parte del VA), ma un pentest degno di questo nome richiede un analista che ragiona, concatena le vulnerabilita e pensa come un attaccante. La differenza si vede nel report: uno scan ti sputa una lista, un audit umano ti racconta uno scenario di attacco riuscito e ti spiega come chiuderlo.

Attenzione a un rischio nuovo che gli scan non intercettano: la Shadow AI, cioe l'uso non controllato di strumenti di intelligenza artificiale da parte dei dipendenti. Il 38% dei lavoratori dichiara di aver incollato dati confidenziali su tool come ChatGPT o Copilot. Nessuno scanner di vulnerabilita ti dira che il tuo commerciale sta caricando l'anagrafica clienti su un servizio esterno: serve un audit che guardi anche i processi e le persone, non solo le porte di rete.

Il collegamento che (quasi) nessuno ti spiega: l'assicurabilita

C'e una ragione molto concreta e poco raccontata per fare questi test: la cyber insurance. Sempre piu compagnie, prima di emettere o rinnovare una polizza, chiedono evidenza di valutazioni di sicurezza recenti. Un vulnerability assessment e un penetration test documentati possono abbassare il premio, sbloccare coperture altrimenti negate ed evitare contestazioni in fase di sinistro (la classica clausola per cui l'assicuratore non paga se scopre che non avevi adottato misure "adeguate"). In pratica, l'audit non e solo un costo di protezione: puo ripagarsi in parte sul premio assicurativo.

Come scegliere, in concreto

Riassumendo la decisione per il tuo caso:

  • Hai budget limitato e parti da zero? Comincia da un vulnerability assessment. Ti da la mappa completa delle debolezze al costo piu basso e ti dice dove intervenire per primo.
  • Gestisci dati sensibili (sanitari, legali, finanziari) o rientri in NIS2? Ti serve la coppia completa: VA per l'ampiezza, pentest per dimostrare la tenuta. E probabilmente un audit combinato che tocchi anche GDPR e AI Act.
  • Hai un e-commerce o un sito WordPress con molti plugin? Priorita alla superficie web: VA frequenti su quel perimetro (i siti vengono attaccati mediamente ogni pochi minuti) e almeno un pentest annuale sull'applicazione.
  • Hai gia subito un incidente o un tentativo? Non aspettare la cadenza: fai subito un pentest mirato per capire se e come sono entrati e se sono ancora dentro.

La cosa peggiore e non fare nulla, convinti di essere troppo piccoli per interessare a qualcuno. I numeri del Clusit dicono l'opposto: le PMI non vengono risparmiate, vengono cercate proprio perche meno difese. Un VA semestrale e un pentest annuale sono il minimo sindacale per dormire tranquillo e per dimostrare, a un giudice o a un assicuratore, di aver fatto la tua parte.

Domande frequenti

Qual e la differenza principale tra vulnerability assessment e penetration test?

Il vulnerability assessment identifica ed elenca le vulnerabilita presenti sui tuoi sistemi (ti dice dove sei debole), mentre il penetration test prova attivamente a sfruttarle per dimostrare fino a dove un attaccante puo arrivare. Il primo e ampio e automatizzato, il secondo e profondo e manuale.

Quanto costa un vulnerability assessment rispetto a un penetration test?

Per una PMI italiana un vulnerability assessment costa indicativamente 2.000-5.000 euro, mentre un penetration test parte da 5.000 e arriva a 15.000 euro secondo ampiezza e complessita del perimetro. La differenza riflette il maggior lavoro manuale del pentest.

Ogni quanto vanno fatti VA e penetration test?

La regola pratica per le PMI e vulnerability assessment ogni sei mesi e penetration test una volta l'anno, con test straordinari dopo ogni cambiamento rilevante: nuovo sito o gestionale, migrazione cloud, nuovo fornitore con accesso ai sistemi o dopo un incidente.

Ne basta uno solo dei due per la mia azienda?

Di solito no. Il solo VA ti da una lista senza dirti quali vulnerabilita contano davvero; il solo pentest lascia scoperti gli undici mesi tra un test e l'altro, in cui nascono nuove falle. La coppia copre sia ampiezza sia gravita.

Un penetration test e obbligatorio per legge?

Nessuna norma nomina letteralmente il pentest, ma NIS2 (D.Lgs. 138/2024), GDPR (art. 32) e AI Act (Reg. UE 2024/1689) richiedono valutazioni periodiche e misure adeguate e testabili. VA e pentest sono gli strumenti con cui lo dimostri. Questa e informazione, non consulenza legale.

Uno scan automatico economico equivale a un penetration test?

No. Le offerte a poche centinaia di euro sono quasi sempre scansioni automatiche, parte del VA ma non un pentest. Un vero penetration test richiede un analista che concatena le vulnerabilita e ragiona come un attaccante, con un report che mostra scenari di attacco riusciti.

Vuoi impostare la giusta cadenza di VA e penetration test e allinearti a NIS2, GDPR e AI Act? Parlane con noi e costruiamo un piano su misura per la tua PMI.