Penetration Test: Cos'è, Come Funziona e Perché la Tua Azienda ne ha Bisogno
Lettura 9 min · AstraLoop Studio
Un penetration test (o pentest) è un attacco informatico simulato e autorizzato contro i tuoi sistemi. L'obiettivo non è teorico. Un professionista si comporta come farebbe un criminale reale, cerca il modo di entrare, ci prova sul serio e poi ti spiega esattamente da dove è passato e cosa avrebbe potuto rubare. La differenza con un semplice controllo automatico è tutta qui: non ti dice solo "questa porta sembra aperta", ma "sono entrato da questa porta, sono arrivato al database clienti, ecco la prova".
È una distinzione che conta, perché nel 2026 la superficie d'attacco delle aziende italiane è più esposta che mai. Il Rapporto Clusit 2026 segnala che l'Italia raccoglie circa il 10% degli incidenti gravi mondiali, con un +23% di attacchi seri nel primo trimestre e uno sfruttamento delle vulnerabilità cresciuto del 65% rispetto al 2024. Le PMI finiscono nel mirino nel 72% dei casi. Chi pensa "sono troppo piccolo per interessare a qualcuno" ragiona come dieci anni fa.
In questa guida ti spiego come funziona un pentest fase per fase, con esempi concreti, e soprattutto perché la parte umana del lavoro è quella che fa la differenza tra un report che finisce in un cassetto e uno che ti evita un data breach. Se vuoi il quadro completo su come mettere in sicurezza un'azienda, questo articolo è un tassello di un audit di sicurezza informatica completo. Qui andiamo in profondità solo sul pentest.

Penetration test e vulnerability assessment: non sono la stessa cosa
Prima delle fasi, chiariamo un equivoco che costa soldi a molte aziende. "Vulnerability assessment" e "penetration test" vengono usati come sinonimi, ma sono due attività diverse con obiettivi diversi.
Il vulnerability assessment è una scansione. Uno strumento passa in rassegna sistemi, servizi e software, li confronta con un database di vulnerabilità note e produce un elenco di problemi potenziali. È ampio, veloce, ripetibile. Ti dice cosa potrebbe essere sfruttabile.
Il penetration test parte dove finisce lo scan. Prende quelle vulnerabilità (più quelle che nessun tool ha visto) e prova a sfruttarle davvero, concatenandole per arrivare in fondo. Ti dice cosa è sfruttabile e quanto danno può fare.
La regola pratica: il vulnerability assessment è la mappa, il pentest è chi ci cammina dentro. Molte aziende hanno bisogno di entrambi, in momenti diversi. Se vuoi capire nel dettaglio la differenza tra vulnerability assessment e penetration test, l'abbiamo scomposta in un articolo dedicato, così come cosa sia esattamente un vulnerability assessment quando ti serve solo la fotografia dell'esposizione.
Le fasi di un penetration test reale
Un pentest fatto bene segue una sequenza precisa. Non è "smanettare finché qualcosa cade": è un metodo, spesso allineato a standard come OWASP (per il web) o PTES. Ecco le fasi che ritrovi in ogni ingaggio serio.
1. Scoping e regole d'ingaggio
Prima di toccare qualsiasi cosa si definisce il perimetro: quali sistemi, quali IP, quali applicazioni, in che finestra temporale, con quale livello di aggressività. Si stabilisce anche il tipo di test.
- Black box: il tester parte da zero, come un attaccante esterno che non sa nulla.
- Grey box: riceve alcune informazioni o credenziali di base (simula un dipendente o un cliente registrato).
- White box: ha accesso a codice, architettura e credenziali (il più profondo).
Questa fase è contrattuale e legale. Senza un'autorizzazione scritta, un pentest è un reato. È anche il momento in cui si evita di mandare in tilt i sistemi in produzione durante l'orario di lavoro.
2. Ricognizione (reconnaissance)
Qui il tester raccoglie tutto ciò che può su di te senza ancora attaccare. È la fase più sottovalutata e spesso la più rivelatrice. Comprende:
- OSINT (open source intelligence): email aziendali esposte, credenziali finite in vecchi data breach, dipendenti su LinkedIn, tecnologie usate visibili nel codice del sito.
- Enumerazione: sottodomini dimenticati, porte aperte, servizi in ascolto, versioni di software (un pannello di login vecchio, un ambiente di staging accessibile).
Un attaccante reale investe qui la maggior parte del tempo. Spesso il punto di ingresso non è una falla tecnica sofisticata, ma un server di test lasciato online con la password di default, o una casella email trovata in un elenco di credenziali rubate. Il tema si intreccia con il rischio delle terze parti: molte esposizioni arrivano da fornitori e integrazioni, e circa un breach su tre coinvolge un attore esterno alla tua azienda. Vale lo stesso ragionamento del phishing aziendale, dove l'anello debole è spesso fuori dal tuo perimetro tecnico.
3. Mappatura e analisi delle vulnerabilità
Con il quadro raccolto, il tester identifica i punti deboli concreti: form di login vulnerabili, API che espongono dati, upload di file non controllati, configurazioni errate del server, permessi troppo larghi. Qui entrano in gioco anche gli scanner automatici, ma il loro output è solo materia prima. La testa umana serve per capire quali di quei segnali sono davvero pericolosi nel tuo contesto specifico.

4. Exploit (sfruttamento)
È il cuore del pentest, la fase che lo distingue da qualsiasi scansione. Il tester prova a sfruttare le vulnerabilità per ottenere accesso reale: iniezione SQL per leggere il database, escalation di privilegi per diventare amministratore, aggiramento dell'autenticazione, esecuzione di codice sul server.
La parte più preziosa non è il singolo exploit, ma il concatenamento. Un problema di media gravità, da solo, sembra innocuo. Ma un attaccante li unisce: una vulnerabilità minore permette di leggere un file di configurazione, che contiene una password, che apre un secondo servizio, che porta al server dei backup. Nessuno scanner automatico costruisce questa catena. La costruisce una persona che ragiona come un avversario.
5. Post-exploit e movimento laterale
Una volta dentro, il tester documenta fino a dove sarebbe potuto arrivare: quali dati avrebbe potuto esfiltrare, se poteva muoversi da un sistema all'altro, se poteva rendere l'accesso persistente. Serve a rispondere alla domanda che conta davvero per te: se qualcuno entra, quanto danno fa prima che me ne accorga?
6. Report e remediation
Il pentest vale quanto il suo report. Un buon report ha due livelli.
- Una sintesi per la direzione: rischio complessivo, priorità, impatto sul business in linguaggio comprensibile (non "CVE-2024-xxxx", ma "un estraneo poteva accedere all'anagrafica dei tuoi clienti").
- Un dettaglio tecnico per chi deve mettere mano: ogni vulnerabilità con severità, passi per riprodurla, prova (screenshot, log) e indicazioni di correzione.
Le vulnerabilità vengono classificate per gravità, di solito con il sistema CVSS. Un pentest completo si chiude con un re-test: dopo che hai corretto, il tester verifica che le falle siano effettivamente chiuse. Senza questo passaggio non sai se hai risolto o solo spostato il problema.
Pentest manuale vs scan automatico: perché l'audit umano trova ciò che i tool non vedono
Il mercato è pieno di offerte a basso costo che vendono "penetration test" ma consegnano, in realtà, il risultato di uno scanner automatico impacchettato in un PDF. Sono due prodotti diversi, e la differenza si vede quando conta.
Gli scanner sono ottimi per quello che sanno fare: coprono in fretta un ampio perimetro, trovano vulnerabilità note, versioni obsolete, configurazioni errate ricorrenti. Ma hanno limiti strutturali che nessun aggiornamento del database colma.
| Aspetto | Scan automatico | Pentest manuale (audit umano) |
|---|---|---|
| Logica di business | Cieco: non sa che "utente A" non dovrebbe vedere gli ordini di "utente B" | Testa i flussi reali e trova falle logiche |
| Concatenamento vulnerabilità | Segnala problemi isolati | Unisce falle minori in un attacco completo |
| Falsi positivi | Molti: allerta su cose non sfruttabili | Verifica ogni finding provandolo davvero |
| Vulnerabilità zero-day / nuove | Non le vede finché non sono nel database | Le trova ragionando sul contesto |
| Contesto di business | Assente | Valuta l'impatto reale sui tuoi dati e processi |
L'esempio più chiaro sono le falle di logica di business. Immagina un e-commerce dove, modificando un parametro nell'URL dell'ordine, un cliente può vedere le fatture di un altro cliente. Tecnicamente non c'è nessuna "vulnerabilità nota": il sistema funziona come è stato programmato, solo che è stato programmato male. Uno scanner non lancia nessun allarme, perché non capisce che quel comportamento è un problema. Una persona che segue il flusso di acquisto lo scopre in cinque minuti. È una violazione GDPR in piena regola, ma invisibile all'automazione.
Lo stesso vale per la ricognizione e per il concatenamento: sono attività di ragionamento, non di pattern matching. Un tool ti dà un elenco, una persona ti dà una storia ("da questo punto sono arrivato qui"). E nel 2026 gli attaccanti stessi usano l'AI per costruire attacchi combinati sempre più realistici. Difendersi con soli automatismi vecchia scuola significa portare un coltello a uno scontro a fuoco.
Questo non vuol dire che gli scanner siano inutili, tutt'altro. Il modello sensato è ibrido: gli automatismi coprono l'ampiezza e liberano tempo, l'analista umano lavora in profondità dove il rischio è alto. Se il tuo fornitore ti propone solo la scansione a prezzo stracciato e la chiama pentest, sai cosa stai (non) comprando.
Vuoi sapere dove ti bucherebbero prima che lo scopra un attaccante? Richiedici un'analisi di sicurezza sui tuoi sistemi e parliamo del perimetro giusto per la tua azienda.
Perché la tua azienda ne ha bisogno (anche se è una PMI)
Tre motivi concreti, al di là del "è buona pratica".
1. Il rischio è reale e cresce. Con le PMI bersaglio nel 72% dei casi e lo sfruttamento delle vulnerabilità in aumento del 65%, la domanda non è "mi attaccheranno?" ma "quando, e quanto sarò esposto?". Un pentest ti dice in anticipo dove ti bucheranno, mentre puoi ancora chiudere la falla a costo zero invece che dopo, a costo di un data breach.
2. Conformità normativa. La Direttiva NIS2, operativa in Italia nel 2026, richiede alle aziende in perimetro misure tecniche adeguate e una gestione del rischio documentata, con notifica degli incidenti e responsabilità che ricade direttamente su CEO e organi di gestione (non è più delegabile all'IT). Un pentest periodico è un pezzo naturale di quel presidio. Se non sai se rientri negli obblighi, parti da quando la NIS2 si applica alla tua azienda e dagli obblighi concreti per le PMI. Il tema si lega anche agli obblighi GDPR: sono presidi diversi ma convergenti sulla stessa domanda ("sei in grado di dimostrare di aver fatto la tua parte?").
3. Assicurabilità. Sempre più polizze cyber richiedono, come condizione per la copertura o per un premio ragionevole, la prova di aver condotto test di sicurezza. Un report di pentest recente è spesso ciò che l'assicuratore vuole vedere prima di firmare. In caso di sinistro, dimostrare di aver fatto verifiche serie fa la differenza tra un rimborso e un rifiuto per negligenza.
Quando e quanto spesso fare un pentest
Non è un'attività "una tantum". La superficie d'attacco cambia in continuazione: ogni nuovo rilascio, ogni integrazione, ogni fornitore introduce potenziali falle. Le occasioni tipiche:
- Prima del lancio di un'applicazione o di un e-commerce nuovo.
- Dopo modifiche architetturali significative.
- Con cadenza annuale come minimo (semestrale sui sistemi critici).
- Su richiesta di clienti enterprise, bandi o assicuratori.
Sul costo di un penetration test incidono perimetro, profondità e tipo di test: abbiamo dedicato un articolo ai range reali, così eviti sia l'offerta troppo economica (che nasconde un semplice scan) sia il preventivo gonfiato. Se ti serve continuità nel tempo più che un singolo ingaggio, valuta anche il modello Penetration Test as a Service (PTaaS), che trasforma il test in un presidio continuativo.
In sintesi
Un penetration test è un attacco simulato e autorizzato che segue fasi precise (scoping, ricognizione, analisi, exploit, post-exploit, report) e ti restituisce una fotografia concreta di cosa succede se qualcuno decide di entrare. La sua forza sta nella componente umana: il ragionamento che concatena falle isolate, scopre errori di logica invisibili agli scanner e traduce il rischio tecnico in impatto sul business. In un anno in cui le PMI italiane sono il bersaglio principale e la NIS2 sposta la responsabilità sui vertici aziendali, sapere in anticipo dove ti bucheranno non è un lusso: è la cosa più economica che puoi fare.
Domande frequenti
Qual è la differenza tra penetration test e vulnerability assessment?
Il vulnerability assessment è una scansione che elenca le vulnerabilità potenziali (la mappa). Il penetration test le sfrutta davvero, le concatena e dimostra quanto danno un attaccante può fare (chi cammina nella mappa). Spesso servono entrambi, in momenti diversi.
Quanto dura un penetration test?
Dipende dal perimetro. Un test su una singola applicazione web richiede in genere da pochi giorni a due settimane, includendo ricognizione, exploit e stesura del report. Perimetri infrastrutturali ampi o test white box approfonditi richiedono più tempo.
Un pentest può danneggiare i miei sistemi?
Un tester professionista definisce nella fase di scoping regole d'ingaggio precise per evitare disservizi, evita test aggressivi in produzione durante l'orario di punta e concorda le finestre temporali. Il rischio esiste ma si gestisce con la pianificazione: per questo l'autorizzazione scritta è obbligatoria.
Perché uno scanner automatico non basta?
Gli scanner trovano vulnerabilità note e configurazioni errate, ma sono ciechi alla logica di business, non concatenano falle minori in un attacco completo e generano molti falsi positivi. Le falle più gravi, come un utente che accede ai dati di un altro, le trova solo un analista umano che ragiona sul contesto.
La mia PMI è troppo piccola per un penetration test?
No. Secondo il Rapporto Clusit 2026 le PMI sono il bersaglio nel 72% dei casi, proprio perché spesso meno protette. Gli attacchi automatizzati non selezionano per dimensione: colpiscono chi è esposto. Un test proporzionato al tuo perimetro è accessibile anche per aziende piccole.
Un penetration test serve per la conformità NIS2?
Sì, è un tassello utile. La NIS2 richiede misure tecniche adeguate e una gestione del rischio documentata, con responsabilità sugli organi di gestione. Un pentest periodico aiuta a dimostrare di aver adottato controlli seri, ma va inserito in un percorso di adeguamento più ampio, non è l'unico requisito.
Se stai valutando un penetration test o un audit più completo, parlane con noi: analizziamo insieme la tua esposizione e ti diciamo con onestà cosa ti serve davvero.