Vulnerability Assessment: Cos'è, Come Funziona e Quando Serve

Lettura 8 min · AstraLoop Studio

Se ti hanno proposto un vulnerability assessment e stai cercando di capire cosa stai davvero comprando, sei nel posto giusto. In parole semplici, un vulnerability assessment (VA) è una scansione sistematica dei tuoi sistemi informatici per trovare le falle di sicurezza prima che le trovi un attaccante. Non è un esercizio astratto: produce una lista concreta di problemi, ordinata per gravità, con l'indicazione di cosa correggere e in che ordine.

Il tema, purtroppo, non è teorico. Secondo il Rapporto Clusit 2026 l'Italia raccoglie circa il 10% degli incidenti mondiali, gli attacchi gravi sono cresciuti del 23% nel primo trimestre e lo sfruttamento di vulnerabilità note è aumentato del 65% rispetto al 2024. Le PMI rappresentano il 72% dei bersagli. Tradotto: la maggior parte degli attacchi non usa tecniche esotiche, ma buchi già noti e mai chiusi. Il vulnerability assessment serve esattamente a trovare quei buchi.

Un VA è uno dei mattoni di base di un audit di sicurezza informatica completo: il punto di partenza per sapere dove sei esposto, prima ancora di ragionare su conformità, formazione o assicurazione.

Illustrazione di una lente d'ingrandimento che analizza una rete di server e dispositivi per individuare punti deboli

Vulnerability assessment: la definizione operativa

Un vulnerability assessment è un processo di identificazione, classificazione e prioritizzazione delle vulnerabilità presenti su sistemi, reti, applicazioni e dispositivi di un'organizzazione. In pratica risponde a una domanda sola: quali punti deboli ho, e quanto sono pericolosi?

Il VA non si limita a dirti "sei vulnerabile". Ogni falla trovata viene associata a un identificativo pubblico (i cosiddetti CVE, il registro internazionale delle vulnerabilità note) e a un punteggio di gravità (lo standard CVSS, da 0 a 10). Così puoi distinguere il problema critico che va chiuso oggi da quello marginale che può aspettare.

Cosa NON è un vulnerability assessment

Qui nasce metà della confusione. Il VA trova le vulnerabilità, ma non prova a sfruttarle. Non entra nei sistemi, non ruba dati di prova, non simula un attacco reale fino in fondo. Quello è il compito del penetration test, in cui un professionista prova concretamente a violare le difese per dimostrare cosa un attaccante riuscirebbe davvero a fare.

Una metafora rapida. Il vulnerability assessment è il tecnico che gira per casa e ti segna su una lista tutte le finestre col vetro rotto, la porta senza serratura, l'allarme scarico. Il penetration test è il tizio che prova davvero a entrare passando dalla finestra rotta, per farti vedere che da lì si arriva fino alla cassaforte.

Come funziona, passo per passo

Un vulnerability assessment fatto bene segue quattro fasi. La differenza tra un servizio serio e uno "scan automatico da quattro soldi" sta quasi tutta nelle fasi 3 e 4.

  1. Perimetrazione (scoping). Si definisce cosa si controlla: gli IP pubblici, i server, il sito, la VPN, i firewall, i dispositivi in rete. Un errore comune è controllare solo il sito e dimenticare l'infrastruttura esposta.
  2. Scansione. Strumenti specializzati interrogano ogni sistema alla ricerca di software non aggiornato, configurazioni deboli, porte aperte, certificati scaduti, credenziali di default. È la parte automatizzabile.
  3. Analisi e verifica manuale. Ogni tool produce falsi positivi. Un professionista scarta gli allarmi irrilevanti, verifica quelli reali e valuta l'impatto nel tuo contesto. Una falla teoricamente critica su un server dismesso conta poco; una media su un gestionale che tratta i dati dei clienti conta molto.
  4. Report e prioritizzazione. Il risultato è un documento leggibile: elenco delle vulnerabilità per gravità, spiegazione del rischio, piano di rimedio ordinato. Un buon report parla sia al tecnico (cosa patchare) sia al titolare (che rischio economico e legale corro).

Se ti offrono solo la fase 2, cioè il PDF sputato dal software senza analisi umana, stai comprando un elenco di allarmi, non una valutazione. È il classico caso in cui l'audit di sicurezza costa pochissimo proprio perché non c'è lavoro umano dietro.

Illustrazione di un report di sicurezza con checklist e un lucchetto aperto che rappresenta le vulnerabilità trovate

Cosa scopre concretamente un vulnerability assessment

Passiamo dal concetto ai fatti. Ecco le categorie di problemi che un VA tira fuori più spesso nelle PMI italiane, con esempi reali di vulnerabilità note su sistemi esposti.

VPN e accessi remoti esposti

Dopo il boom del lavoro ibrido, quasi ogni azienda ha una VPN o un accesso remoto pubblicato su Internet. Sono tra i bersagli preferiti, perché una falla lì apre la porta sull'intera rete interna. Negli ultimi anni gli avvisi ufficiali di CISA e ACN hanno segnalato ripetutamente vulnerabilità critiche su appliance VPN e gateway molto diffusi (basti pensare alle falle sfruttate in massa su prodotti Fortinet, Ivanti/Pulse Secure, Citrix). Un VA verifica se la tua versione è tra quelle vulnerabili e non ancora aggiornate.

Firewall e dispositivi di rete mal configurati

Il firewall che protegge la tua rete può a sua volta avere vulnerabilità o essere configurato male: pannelli di amministrazione raggiungibili da Internet, firmware vecchio, credenziali mai cambiate. Il VA rileva porte aperte che non dovrebbero esserlo e servizi esposti che nessuno ricordava di aver acceso.

Software server non aggiornato

Sistemi operativi, database, server di posta e web server con patch mancanti. È la categoria numero uno degli attacchi automatizzati: i bot scandagliano Internet 24 ore su 24 cercando versioni note come vulnerabili, e le colpiscono senza alcun intervento umano.

Siti web, WordPress ed e-commerce

Qui la situazione è pesante. Nel 2025 sono state registrate 11.334 nuove vulnerabilità su WordPress (+42% sull'anno prima) e il 97% risiede in plugin e temi di terze parti, non nel core. I siti vengono attaccati ogni pochi minuti da botnet potenziate dall'AI. Un VA sul sito controlla proprio questo: versioni di CMS, plugin obsoleti, form vulnerabili, configurazioni deboli. Se il tuo giro d'affari passa da un negozio online, approfondisci con la nostra guida alla sicurezza informatica per e-commerce e con l'analisi delle vulnerabilità dei plugin WordPress.

Credenziali deboli e configurazioni di default

Password predefinite mai cambiate, pannelli di gestione accessibili, protocolli obsoleti, cifrature deboli. Sembrano banalità, eppure sono la causa di una fetta enorme delle intrusioni riuscite, spesso il primo passo che poi porta al ransomware.

Non a caso, quando una di queste falle non viene chiusa in tempo, il finale tipico è la cifratura dei dati e la richiesta di riscatto. Se vuoi capire come si arriva lì e come prevenirlo, leggi la guida su ransomware e PMI in Italia.

Quando serve un vulnerability assessment (e ogni quanto)

Non è un esercizio da fare una volta e archiviare. La regola pratica per una PMI è questa:

  • Almeno una volta l'anno come igiene di base, per fotografare lo stato dell'infrastruttura.
  • Ogni volta che cambi qualcosa di sostanziale: nuovo sito, nuovo gestionale, migrazione in cloud, apertura di un accesso remoto.
  • In modo continuo se hai molti sistemi esposti su Internet, perché ogni settimana escono nuove vulnerabilità su software che oggi consideri sicuro.
  • Se rientri negli obblighi normativi. La direttiva NIS2, operativa nel 2026, chiede alle aziende in perimetro misure di gestione del rischio e, di fatto, la conoscenza delle proprie vulnerabilità. Per capire se ti riguarda, parti da NIS2 e la tua azienda e dalle scadenze 2026.

Attenzione a un punto normativo, senza fare consulenza legale: con la NIS2 la responsabilità sulla gestione del rischio cyber ricade direttamente su CEO e organi di amministrazione, e non è più delegabile "all'informatico". Sapere quali vulnerabilità hai e avere un piano documentato per chiuderle non è più solo buon senso tecnico, è tutela di chi guida l'azienda.

Vuoi sapere dove è davvero esposta la tua azienda prima che lo scopra qualcun altro? Richiedi un'analisi delle vulnerabilità con noi: ti diciamo cosa correggere e in che ordine.

Vulnerability assessment e penetration test: quale scegliere

La domanda giusta non è "VA o pentest", ma "in che ordine". Servono a scopi diversi e spesso lavorano insieme.

AspettoVulnerability AssessmentPenetration Test
ObiettivoTrovare e classificare le vulnerabilitàSfruttarle per dimostrare l'impatto reale
ApproccioAmpio, copre molti sistemiProfondo, mirato su obiettivi specifici
AutomazioneMolto automatizzato più verifica umanaPrevalentemente manuale, competenze offensive
FrequenzaPeriodica (annuale o continua)Puntuale (annuale o su sistemi critici)
CostoPiù contenutoPiù alto (giornate di specialista)

La sequenza sensata per una PMI è chiara: prima il VA per avere la mappa completa e chiudere le falle evidenti, poi il pentest sui sistemi più critici per verificare quanto reggono davvero. Fare un pentest costoso su un'infrastruttura piena di falle banali è come chiamare un ladro esperto per scoprire che hai lasciato la porta aperta: lo sapevi già. Per il confronto approfondito trovi la nostra guida sulla differenza tra vulnerability assessment e penetration test, e per capire l'investimento c'è la scheda sul costo di un penetration test.

Il collegamento che quasi nessuno fa: VA e assicurabilità

Un aspetto pratico che raramente viene spiegato: sempre più polizze cyber, per essere attivate o per pagare in caso di sinistro, richiedono di dimostrare un livello minimo di igiene di sicurezza. Avere un vulnerability assessment recente, con un piano di rimedio documentato, è spesso ciò che ti fa passare da "non assicurabile" o "premio altissimo" a condizioni ragionevoli. Il VA quindi non è solo prevenzione tecnica: è anche un documento che riduce il tuo profilo di rischio agli occhi di chi ti deve coprire.

In sintesi

Il vulnerability assessment è la fotografia onesta dei punti deboli della tua azienda: dice dove sei esposto, quanto è grave e cosa fare prima. Non sostituisce il penetration test, non chiude da solo le falle e non ti mette a norma con un clic, ma è il primo passo razionale. Senza sapere dove sono i buchi, ogni investimento in sicurezza è a caso. Con quella mappa in mano, invece, ogni euro speso va dove serve.

Domande frequenti

Qual è la differenza tra vulnerability assessment e penetration test?

Il vulnerability assessment trova e classifica le vulnerabilità in modo ampio, senza sfruttarle. Il penetration test prova concretamente a violare i sistemi per dimostrare cosa riuscirebbe a fare un attaccante reale. Di norma prima si fa il VA, poi il pentest sui sistemi critici.

Quanto spesso va fatto un vulnerability assessment?

Almeno una volta l'anno come igiene di base, e ogni volta che cambi qualcosa di importante (nuovo sito, migrazione cloud, nuovo accesso remoto). Se hai molti sistemi esposti su Internet, ha senso una scansione continua o trimestrale, perché escono nuove vulnerabilità di continuo.

Un vulnerability assessment blocca i sistemi durante la scansione?

Nella grande maggioranza dei casi no. Le scansioni sono progettate per non essere invasive e vengono spesso pianificate in orari a basso carico. Un professionista concorda comunque tempi e perimetro con te per evitare qualsiasi impatto sull'operatività.

Cosa trova esattamente un vulnerability assessment?

Software server non aggiornato, VPN e firewall vulnerabili o mal configurati, porte aperte non necessarie, plugin WordPress obsoleti, credenziali di default, certificati scaduti e configurazioni deboli. Ogni falla viene classificata per gravità con un piano di correzione.

Il vulnerability assessment è obbligatorio per legge?

Non esiste un obbligo esplicito con quel nome, ma la direttiva NIS2 impone alle aziende in perimetro misure di gestione del rischio che di fatto richiedono di conoscere e trattare le proprie vulnerabilità. Con la NIS2 la responsabilità ricade direttamente sugli organi di amministrazione.

Quanto costa un vulnerability assessment per una PMI?

Costa meno di un penetration test perché è più automatizzato, ma il prezzo varia molto in base al numero di sistemi e alla presenza di analisi umana. Diffida dei prezzi troppo bassi: spesso significano solo un report generato dal software senza verifica manuale.

Se non hai una mappa aggiornata dei tuoi punti deboli, parlane con noi: partiamo da un vulnerability assessment chiaro e ti diamo un piano di priorità concreto.