Penetration Test: Servizio professionale per DORA, NIS2 e ISO 27001
Il penetration test è la prova tecnica standard per dimostrare la sicurezza dei propri sistemi alle autorità di vigilanza (Banca d'Italia, ACN, IVASS) e ai partner enterprise. Matproof Sentinel automatizza il penetration test con agenti IA: scansione di superficie, test applicazioni web, API, autenticazione, infrastruttura cloud. Report pronto per audit in ore, mappato su DORA, NIS2, ACN e ISO 27001. Da €149 una tantum.
Perché un penetration test è il fondamento della compliance ICT
Il quadro normativo italiano ed europeo sulla cybersecurity ha avuto una svolta nel 2024-2025. Il D.Lgs. 138/2024 (recepimento NIS2) impone obblighi di sicurezza informatica a oltre 12 000 aziende italiane prima escluse. Il regolamento DORA è applicabile dal 17 gennaio 2025 a tutti gli enti finanziari italiani. L'Agenzia per la Cybersicurezza Nazionale (ACN) ha rafforzato i controlli sui soggetti del Perimetro di Sicurezza Nazionale Cibernetica, con accertamenti che includono richiesta di report di penetration test recenti. Il penetration test non è più solo « best practice » — è il documento standard richiesto da auditor, vigilanza e partner enterprise per dimostrare la propria postura di sicurezza.
- DORA Art. 24 impone agli enti finanziari penetration test regolari documentati a partire dal 17/01/2025 — la non conformità espone a sanzioni della Banca d'Italia.
- NIS2 (D.Lgs. 138/2024) — l'ACN richiede penetration test come parte delle « misure tecniche » per soggetti essenziali e importanti.
- Banca d'Italia Circolare 285/2013 (aggiornamento 2023) impone pentest annuali per banche italiane, SIM e SGR.
- IVASS Regolamento 38/2018 richiede valutazioni di sicurezza periodiche per imprese di assicurazione.
- ISO 27001:2022 Allegato A 8.29 richiede « test di sicurezza durante lo sviluppo e l'accettazione » documentati.
- L'ACN ha aggiornato nel 2024 i criteri di accertamento per il Perimetro di Sicurezza Nazionale Cibernetica — includono richiesta di evidenza di penetration test recenti.
- Gli appalti pubblici PNRR richiedono dimostrazione di un penetration test recente come prerequisito di partecipazione per molti bandi.
Cosa copre il nostro penetration test
- Superficie d'attacco esterna — enumerazione DNS, sottodomini, porte aperte, servizi esposti, fingerprinting tecnologie
- Configurazione TLS/SSL — versioni supportate, cipher suite, certificati, HSTS, perfect forward secrecy (RFC 8446)
- Security header HTTP — HSTS, CSP, X-Frame-Options, Referrer-Policy, Permissions-Policy, X-Content-Type-Options
- Sicurezza email — SPF, DKIM, DMARC, BIMI, configurazione anti-spoofing
- Applicazioni web — OWASP Top 10 (2021), test autenticazione, autorizzazione, injection, XSS, IDOR, business logic
- API REST/GraphQL — OWASP API Top 10 (2023), BOLA, BFLA, misconfigurazioni dei permessi
- Path esposti — directory sensibili (.git, .env, /admin), backup, dump di database, file di configurazione
- Componenti di terze parti — CVE note in dipendenze npm/PyPI/Maven, plugin WordPress/Drupal, framework obsoleti
- Infrastruttura cloud (piano Growth) — IAM AWS/Azure/GCP, bucket S3 pubblici, configurazioni Kubernetes
- Mapping normativo — DORA Art. 24, NIS2 Art. 21, ISO 27001:2022 A.8.29, GDPR Art. 32, ACN Perimetro
Esempio di finding
Server-Side Request Forgery (SSRF) nell'endpoint di importazione URL
L'endpoint /api/import/url accetta un URL fornito dall'utente ed esegue una richiesta HTTP lato server per recuperarne il contenuto (funzionalità di import). Nessuna validazione dell'URL viene eseguita. Un attaccante autenticato può inviare un URL che punta al servizio metadata cloud AWS (http://169.254.169.254/latest/meta-data/iam/security-credentials/) e recuperare le credenziali IAM temporanee dell'istanza EC2 — ottenendo accesso alle risorse AWS associate (bucket S3, RDS, secrets manager).
Correzione: Implementare allowlist rigorosa dei domini autorizzati. Bloccare indirizzi IP privati (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 127.0.0.0/8, 169.254.0.0/16). Utilizzare libreria SSRF-safe come `safe-curl` o implementare manualmente la risoluzione DNS prima della richiesta HTTP (risolvere IP, verificare che non sia privato, poi eseguire richiesta). Idealmente, utilizzare IMDSv2 (Instance Metadata Service v2) su AWS che richiede un token e blocca SSRF naïf.
Riferimento: OWASP A10:2021 Server-Side Request Forgery · CWE-918 · AWS Security Best Practices — IMDSv2
Penetration test — opzioni a confronto
| — | Scan gratuito | Matproof Sentinel | Consulenza tradizionale |
|---|---|---|---|
| Motore di scansione automatizzato | ✓ (anteprima 3 min) | ✓ Scansione completa | ✗ Solo manuale |
| Copertura OWASP Top 10 | Parziale | ✓ Completa | ✓ Completa |
| Prova di exploit | ✗ | ✓ Per finding | ✓ Per finding |
| Mapping normativo (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatizzato | ✓ Manuale |
| Report PDF pronto per l'audit | ✗ | ✓ Immediato | ✓ Consegna 2–4 settimane |
| Scansioni continue / ricorrenti | ✗ | ✓ Per deploy | ✗ Impegno annuale |
| Tempo al primo risultato | ~3 min | ~30 min scansione completa | 2–4 settimane |
| Prezzo | €0 | Da €149 | €8.000–€25.000 |
| Revisione codice sorgente (SAST) | ✗ | ✓ Piano Growth | ✓ In scope |
| Test API (REST/GraphQL) | ✗ | ✓ Automatizzato | ✓ Manuale |
Pacchetti Penetration Test
- 1 scansione pentest completa
- Risultati prioritizzati da AI con CVSS 3.1
- Proof-of-exploit per ogni finding
- Report PDF (pronto per l'audit)
- Mapping normativo (DORA, NIS2, ISO 27001)
- Scansioni illimitate (fino a 3 domini)
- Monitoraggio continuo
- Integrazione CI/CD (GitHub, GitLab)
- Tutti i mapping normativi
- Supporto prioritario
- Scansioni + domini illimitati
- Test autenticati / White-Box
- Test API e infrastruttura cloud
- Account manager dedicato
- SLA risposta 24h
Domande frequenti sul penetration test
Penetration test e pentest sono la stessa cosa?
Sì, sono sinonimi. « Pentest » è la forma abbreviata comunemente usata in ambito tecnico. « Penetration test » è la forma completa, più diffusa in contesti normativi e contrattuali. Entrambi indicano un test di sicurezza che simula attacchi reali per identificare vulnerabilità. Nel mondo italiano, « penetration test » è il termine standard utilizzato nei documenti ufficiali (Banca d'Italia, ACN, IVASS).
Quale tipo di penetration test richiede DORA?
DORA Art. 24 richiede penetration test regolari per tutti gli enti finanziari. Per gli operatori finanziari critici (typically Tier 1 banks, central counterparties, payment institutions of systemic importance), DORA Art. 26 richiede inoltre il TLPT (Threat-Led Penetration Testing) basato sul framework TIBER-EU. Il TLPT è significativamente più intensivo: 10-12 settimane di engagement, threat intelligence dedicata, red team che opera con tattiche realistiche.
Quali sono le tariffe di mercato per il penetration test in Italia?
Pricing tipico per il mercato italiano: piattaforma AI come Matproof Sentinel €149 una tantum o €299-799/mese. Boutique italiana specializzata (Yarix, Comunet, Mediaservice.net) €8.000-25.000 per engagement. Big-4 (Deloitte, PwC, KPMG, EY) €25.000-80.000 per engagement. TIBER-EU/TLPT per banche italiane €80.000-250.000 per ciclo annuale.
I report Matproof sono accettati da Banca d'Italia?
Il nostro report tecnico è accettato dagli auditor come evidenza tecnica complementare alla valutazione complessiva. Per le revisioni periodiche di Banca d'Italia sui sistemi ICT delle banche, il nostro report fornisce la base tecnica; la valutazione complessiva di compliance include anche aspetti di governance e processi che richiedono valutazioni separate. Per il Perimetro di Sicurezza Nazionale Cibernetica (ACN), il fornitore deve essere qualificato — Matproof Sentinel è una soluzione tecnologica che completa, non sostituisce, la valutazione di un fornitore qualificato ACN.
Cosa devo preparare prima di un penetration test?
Per la scansione gratuita: solo il dominio da testare. Per il penetration test completo (€149+): elenco URL da testare (sito principale, app web, API se separata), eventuali credenziali di test per zone autenticate, contatto tecnico per escalation, finestra di test preferita (orari business o off-peak). Per test su ambienti regolamentati (Perimetro Sicurezza Nazionale): autorizzazione scritta del responsabile sistemi informativi.
Quanto è invasivo il test? Può impattare la produzione?
L'anteprima gratuita (3 minuti) è puramente passiva — solo superficie pubblica, nessun test intrusivo. Il pentest completo include test semi-intrusivi (enumerazione parametri, fuzzing leggero) calibrati per non impattare la disponibilità. Per ambienti production critici raccomandiamo test contro staging identico alla produzione. La nostra assicurazione responsabilità civile professionale copre eventuali danni (massimale € 5 milioni).
Posso integrare il penetration test nel mio CI/CD?
Sì, nel piano Starter (€299/mese). Integrazione con GitHub Actions, GitLab CI, Bitbucket Pipelines. Ad ogni pull request o merge su main viene automaticamente avviato un penetration test contro l'URL di staging. I finding Critical/High bloccano il merge (opzionalmente configurabile), i Medium vengono pubblicati come commento PR. Nel piano Growth: scansioni notturne contro production, alert Slack/Teams su nuovi finding.
Quali certificazioni ha Matproof?
Matproof è una piattaforma SaaS — non è un fornitore qualificato ACN per il Perimetro di Sicurezza Nazionale (i fornitori qualificati ACN sono persone giuridiche italiane con processo di qualificazione specifico). Il nostro team tecnico include certificazioni OSCP, OSWE, CISSP. Il SaaS opera in UE (Hetzner, Falkenstein) conforme GDPR. Per audit ISO 27001, certificazione SOC 2 Type 2 e altre certificazioni del fornitore di piattaforma, contattare sales@matproof.com.
Argomenti correlati
Approfondisci — articoli correlati dal blog
Avvia il tuo penetration test ora
Anteprima gratuita in 3 minuti, penetration test completo in 30-60 minuti. Report mappato su DORA, NIS2, ACN e ISO 27001.
Avvia scansione gratuita