Quanto Costa un Penetration Test? Prezzi e Preventivi per PMI 2026
Lettura 9 min · AstraLoop Studio
Se stai cercando quanto costa un penetration test, probabilmente hai già ricevuto preventivi che vanno da 1.500 a 20.000 euro per quello che sembra lo stesso identico servizio. Non stai impazzendo. Il mercato italiano del pentest è pieno di offerte che usano lo stesso nome per cose profondamente diverse: un conto è uno scan automatico rietichettato, un altro è un test manuale condotto da persone che provano davvero a violare i tuoi sistemi.
In questa guida trovi le fasce di prezzo reali per una PMI nel 2026, cosa fa muovere il preventivo su o giù e come distinguere un pentest vero da un prodotto travestito. L'obiettivo è portarti al preventivo con criteri chiari, così quando chiedi un'offerta sai esattamente cosa stai comprando. Se vuoi il quadro completo su come si struttura la sicurezza aziendale, questo articolo fa parte di una guida completa all'audit di sicurezza informatica per PMI a cui puoi tornare in qualsiasi momento.

Le fasce di prezzo reali di un penetration test per PMI
Partiamo dai numeri concreti. Per una PMI italiana, un penetration test serio si colloca nelle fasce che vedi qui sotto nel 2026. Sono prezzi di mercato per lavoro manuale condotto da professionisti certificati, non per scan automatici.
| Tipo di test | Perimetro tipico | Fascia di prezzo | Durata |
|---|---|---|---|
| Pentest web application (singolo sito o gestionale) | 1 applicazione, pochi ruoli utente | 3.500 - 7.000 EUR | 3-6 giorni/uomo |
| Pentest infrastruttura esterna | IP pubblici, servizi esposti, VPN | 4.000 - 9.000 EUR | 4-8 giorni/uomo |
| Pentest interno (post-compromissione) | Rete LAN, Active Directory, segmentazione | 5.000 - 12.000 EUR | 5-10 giorni/uomo |
| Pentest combinato (web + infrastruttura + interno) | Perimetro completo PMI strutturata | 10.000 - 15.000 EUR | 10-18 giorni/uomo |
| Test mirato/re-test dopo fix | Verifica correzioni precedenti | 1.200 - 3.000 EUR | 1-3 giorni/uomo |
Per la maggioranza delle PMI italiane, il preventivo realistico per un lavoro fatto bene cade nella fascia 5.000-15.000 euro. Sotto i 3.000 euro difficilmente stai comprando un pentest manuale completo: quasi sempre è un vulnerability assessment automatizzato con un report ripulito. Non è per forza inutile, ma non è la stessa cosa. Su questo torniamo tra poco.
Il costo si calcola quasi sempre in giornate/uomo. Una giornata di un penetration tester certificato in Italia costa tra 700 e 1.200 euro, a seconda della seniority e della struttura. Moltiplichi le giornate per la tariffa e arrivi al preventivo. Questo ti dà un modo semplice per capire se un'offerta ha senso: chiedi sempre quante giornate sono previste e chi le esegue.
Cosa fa variare il costo di un penetration test
Due preventivi possono differire del triplo per motivi del tutto legittimi. Ecco le leve che spostano davvero il prezzo, in ordine di impatto.
1. Ampiezza del perimetro (scope)
È la variabile numero uno. Un test su una sola web application è un lavoro contenuto. Testare tutta l'infrastruttura esposta, più la rete interna, più le applicazioni cloud moltiplica le giornate. Prima di chiedere un preventivo, definisci cosa vuoi testare: un sito, un gestionale, il perimetro esterno, la rete interna, tutto quanto. Più il perimetro è chiaro, più il preventivo è affidabile.
2. Profondità del test (black, grey o white box)
- Black box: il tester parte senza informazioni, come un attaccante esterno reale. Realistico ma più lento, quindi più costoso a parità di risultati coperti.
- Grey box: il tester ha le credenziali di un utente standard. È il miglior rapporto costo/copertura per la maggior parte delle PMI ed è la scelta più frequente.
- White box: accesso completo a codice, configurazioni e architettura. Massima copertura, costo più alto, ideale su applicazioni critiche.
3. Manuale contro automatico
Qui si nasconde la differenza di prezzo più grande e più fraintesa. Uno scan automatico costa poco perché lo esegue un software in poche ore. Un pentest manuale costa di più perché una persona ragiona come un attaccante: concatena vulnerabilità, aggira i controlli e trova le falle logiche che nessun tool automatico intercetta. La concorrenza che vende pacchetti a 990 euro sta quasi sempre vendendo il primo. Se il tuo obiettivo è capire davvero se qualcuno può entrare, ti serve il secondo.
4. Complessità tecnologica
Un'applicazione custom con logica di business complessa, API, integrazioni con terze parti e più ruoli utente richiede molto più tempo di un sito vetrina. Anche l'ambiente conta: on-premise, cloud, ambienti ibridi e infrastrutture segmentate aumentano le giornate.
5. Retest e report
Un buon preventivo include almeno un retest per verificare che le correzioni funzionino. Alcuni fornitori lo escludono per abbassare la cifra in prima pagina e te lo fanno pagare dopo. Verifica sempre se retest e report esecutivo (quello leggibile dal titolare, non solo dal tecnico) sono compresi.

Penetration test o vulnerability assessment: la differenza che cambia il prezzo
Questa è la confusione che genera il 90% delle discrepanze nei preventivi. Sono due servizi diversi, con costi diversi, che rispondono a domande diverse.
| Vulnerability Assessment | Penetration Test | |
|---|---|---|
| Domanda a cui risponde | Quali vulnerabilità note ho? | Un attaccante può davvero entrare? |
| Metodo | Scan automatico, ampio | Test manuale, mirato, con sfruttamento |
| Falsi positivi | Molti, da validare | Zero: ogni finding è dimostrato |
| Costo tipico PMI | 800 - 3.000 EUR | 5.000 - 15.000 EUR |
| Frequenza consigliata | Trimestrale o continua | Annuale o dopo cambi importanti |
In pratica: il vulnerability assessment ti dà una fotografia ampia e frequente delle debolezze note, il penetration test verifica se quelle debolezze (e altre che uno scan non vede) sono davvero sfruttabili. Se un preventivo da 900 euro promette un pentest, quasi certamente stai comprando un VA con un altro nome. Abbiamo approfondito il punto in una scheda dedicata: se vuoi capire quando serve l'uno e quando l'altro, leggi la differenza tra vulnerability assessment e penetration test e l'approfondimento su cos'è un vulnerability assessment.
La strategia più sensata per una PMI non è scegliere uno dei due, ma combinarli: vulnerability assessment ricorrente per il monitoraggio continuo, penetration test una volta l'anno (o dopo un cambio infrastrutturale importante) per la verifica di profondità.
Perché il pentest costa: il contesto italiano nel 2026
Il prezzo di un penetration test non è un lusso, è il costo di sapere in anticipo quello che altrimenti scopriresti durante un attacco. E il 2026 non è un anno tranquillo. Secondo il Rapporto Clusit, l'Italia raccoglie circa il 10% degli incidenti gravi a livello mondiale, con un aumento degli attacchi gravi nel primo trimestre e uno sfruttamento delle vulnerabilità cresciuto di oltre il 65% rispetto al 2024. Le PMI non sono un bersaglio secondario: rappresentano circa il 72% degli obiettivi.
A questo si aggiunge il quadro normativo. Con la direttiva NIS2 ormai operativa, molte aziende della supply chain devono dimostrare di valutare e testare la propria sicurezza, e la responsabilità ricade direttamente su CEO e CdA, non più delegabile all'ufficio IT. Se rientri nel perimetro NIS2, o lavori come fornitore di aziende che ci rientrano, un penetration test documentato non è più un optional: fa parte di ciò che ti viene chiesto di dimostrare. Puoi verificare la tua posizione partendo da se la NIS2 si applica alla tua azienda.
C'è anche un fattore economico diretto. Il costo medio di un attacco ransomware per una PMI italiana oscilla tra 35.000 e 250.000 euro tra riscatto, fermo operativo e ripristino. Confronta questa cifra con un pentest da 8.000-10.000 euro e il calcolo del ritorno diventa evidente. Lo abbiamo quantificato nel dettaglio nell'analisi sul costo reale di un data breach e il ROI della prevenzione.
Vuoi capire quanto costerebbe testare davvero i tuoi sistemi e quali sono i punti più esposti? Richiedi un'analisi e un preventivo su misura: definiamo insieme il perimetro e ti diciamo con chiarezza cosa serve e cosa no.
Come leggere un preventivo di penetration test senza farti fregare
Un preventivo serio si riconosce da alcuni elementi. Se mancano, chiedi chiarimenti prima di firmare.
- Numero di giornate/uomo dichiarate e chi le esegue (junior, senior, certificazioni tipo OSCP, CEH, GWAPT). Un pentest reale non si vende "a corpo" senza dire quanto tempo ci vuole.
- Perimetro scritto nero su bianco: quali IP, quali applicazioni, quali ambienti. Se il perimetro è vago, il prezzo è arbitrario.
- Metodologia dichiarata: OWASP, PTES, OSSTMM. Un fornitore serio ti dice quale standard segue.
- Test manuale esplicito: la parola "manuale" deve comparire. Se leggi solo "scansione" o "analisi automatizzata", è un VA.
- Report doppio: uno tecnico per chi deve correggere, uno esecutivo per il titolare, con classificazione dei rischi per gravità.
- Retest incluso: la verifica delle correzioni dovrebbe essere compresa, o almeno quotata separatamente in modo trasparente.
Un segnale d'allarme classico è il prezzo troppo basso associato a promesse troppo grandi. Un "penetration test completo della tua azienda a 490 euro" non esiste come lavoro manuale: quelle giornate non si comprano a quel prezzo. Se il costo è basso, o il perimetro è minuscolo o il lavoro è automatico.
Pentest e cyber insurance: il tassello che quasi nessuno collega
C'è un motivo in più per considerare il penetration test, e la maggior parte dei fornitori non lo menziona: l'assicurabilità. Le polizze cyber nel 2026 chiedono sempre più spesso, in fase di sottoscrizione, evidenza di test di sicurezza periodici. Un penetration test recente e documentato può abbassare il premio, sbloccare la copertura o evitare che un sinistro venga contestato perché "non erano state adottate misure adeguate".
In altre parole, la spesa per il pentest può essere in parte recuperata sul premio assicurativo e, soprattutto, ti tutela nel momento in cui serve davvero. È un ragionamento che vale la pena fare insieme al broker: portare in fase di trattativa un report di penetration test è un argomento concreto, non una formalità. Per inquadrare il tema più ampio della difesa resta utile la guida alla cyber security per PMI 2026 e, se stai valutando anche il perimetro digitale, l'articolo sul costo di un security audit del sito web.
Quanto spendere davvero: un criterio pratico
Se hai una PMI e devi decidere il budget, ragiona così. Un'azienda con un solo sito o gestionale esposto parte da un pentest web application nella fascia 3.500-7.000 euro, magari abbinato a un vulnerability assessment ricorrente. Un'azienda strutturata, con rete interna, più applicazioni e obblighi NIS2, si posiziona nella fascia 10.000-15.000 euro per un test combinato annuale.
La regola pratica è una sola: il costo del pentest dovrebbe essere una frazione minima di quanto ti costerebbe un incidente. Se un fermo operativo di una settimana ti costa decine di migliaia di euro, spendere 8.000-10.000 euro l'anno per sapere in anticipo dove sei vulnerabile è una delle spese di sicurezza con il ritorno più chiaro. Il costo, tra parentesi, va sempre confrontato con l'alternativa di scoprire la stessa falla attraverso un data breach con obblighi GDPR annessi.
Il consiglio finale è semplice: chiedi almeno due o tre preventivi, ma confrontali sui criteri di questa guida (giornate, perimetro, manuale contro automatico, retest), non solo sulla cifra. Il preventivo più basso è quasi sempre quello che testa di meno.
Domande frequenti
Quanto costa un penetration test per una PMI nel 2026?
Per una PMI italiana un penetration test manuale serio costa tipicamente tra 5.000 e 15.000 euro. Un test su una singola web application parte da 3.500-7.000 euro, mentre un test combinato su web, infrastruttura e rete interna arriva a 10.000-15.000 euro. Sotto i 3.000 euro di solito si tratta di uno scan automatico, non di un pentest completo.
Perché alcuni penetration test costano meno di 1.000 euro?
Perché non sono penetration test manuali. Un'offerta molto economica è quasi sempre un vulnerability assessment automatizzato con un report ripulito. Uno scan automatico costa poco perché lo esegue un software in poche ore, mentre un pentest vero richiede giornate di lavoro di un tester certificato che prova davvero a violare i sistemi.
Qual è la differenza di costo tra vulnerability assessment e penetration test?
Il vulnerability assessment costa tipicamente 800-3.000 euro perché è uno scan automatico ampio delle vulnerabilità note. Il penetration test costa 5.000-15.000 euro perché è un test manuale che verifica se quelle vulnerabilità sono davvero sfruttabili. Sono servizi complementari: il VA per il monitoraggio continuo, il pentest per la verifica di profondità annuale.
Cosa fa variare di più il prezzo di un penetration test?
L'ampiezza del perimetro è la variabile principale: testare un solo sito costa molto meno che testare tutta l'infrastruttura più la rete interna. Seguono la profondità del test (black, grey o white box), il fatto che sia manuale o automatico, la complessità tecnologica e l'inclusione o meno del retest dopo le correzioni.
Un penetration test serve per la conformità NIS2?
Sì, in molti casi. Con la NIS2 operativa, le aziende nel perimetro e i loro fornitori devono dimostrare di valutare e testare la propria sicurezza, con responsabilità diretta di CEO e CdA. Un penetration test documentato è uno degli elementi che concorrono a dimostrare l'adozione di misure adeguate, anche se non è l'unico obbligo previsto dalla direttiva.
Ogni quanto va rifatto un penetration test?
La frequenza consigliata è annuale, oppure dopo ogni cambiamento importante dell'infrastruttura o delle applicazioni (nuovo gestionale, migrazione cloud, nuovo sito). In parallelo è buona pratica eseguire vulnerability assessment ricorrenti, anche trimestrali o continui, per intercettare le nuove vulnerabilità note tra un pentest e l'altro.
Prima di firmare un preventivo di penetration test, parlane con noi: ti aiutiamo a leggere l'offerta, definire lo scope giusto per la tua PMI e capire se stai comprando un test vero o uno scan travestito.