Pentest: Penetration Test professionale per DORA, NIS2 e ISO 27001
Un pentest rivela cosa un attaccante troverebbe nella tua applicazione — prima che lo faccia. Matproof Sentinel esegue penetration test guidati da IA in ore invece di settimane, fornisce proof-of-exploit per ogni finding e mappa i risultati su DORA Art. 24, NIS2 Art. 21, ISO 27001 A.8.29 e i requisiti AgID e ACN. Inizia con una scansione gratuita di 3 minuti o un pentest singolo da €149.
Perché un pentest non è più opzionale nel 2026
Il regolamento DORA, in vigore dal 17 gennaio 2025, impone agli enti finanziari un test tecnico regolare dei sistemi ICT — l'articolo 24 menziona esplicitamente i « penetration test, compresi i test basati sulle minacce ». La direttiva NIS2, recepita in Italia tramite il D.Lgs. 138/2024, estende gli obblighi di cybersecurity a oltre 12 000 nuove aziende italiane (rispetto a 465 sotto NIS1). L'Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato nel 2024 la « Strategia Nazionale di Cybersicurezza 2022-2026 » che spinge verso valutazioni tecniche più approfondite. Un rapporto di pentest obsoleto (> 12 mesi) è ormai una causa diretta di squalifica nel 78 % delle gare d'appalto enterprise B2B (Gartner Procurement 2024).
- DORA Art. 24 (in vigore dal 17/01/2025) impone un penetration test documentato e regolare per tutti i sistemi ICT — per gli enti finanziari anche come test TIBER-EU / TLPT.
- NIS2 (D.Lgs. 138/2024) richiede « misure tecniche, operative e organizzative adeguate » — l'ACN non considera più sufficiente un semplice vulnerability scan come prova.
- Le Linee Guida Banca d'Italia (Circolare 285/2013, aggiornamento 2023) impongono pentest annuali per le banche italiane e SIM.
- ISO 27001:2022 Allegato A 8.29 (Security Testing in Development and Acceptance) richiede test documentati prima di ogni release principale.
- L'ACN ha implementato dal 2024 controlli più severi sui soggetti del Perimetro di Sicurezza Nazionale Cibernetica — la non conformità espone a sanzioni amministrative fino a € 1,8 milioni.
- Gli assicuratori cyber (Generali, Unipol, Reale Mutua) richiedono dal 2024 una prova di pentest per polizze con massimale > € 5 milioni.
- Il costo medio di un data breach per una PMI italiana è stato di € 3,9 milioni nel 2024 (IBM Cost of a Data Breach Report) — un pentest si ripaga se previene anche solo un finding critico.
Cosa testiamo in un pentest
- OWASP Top 10 (2021) — copertura completa: A01 Broken Access Control, A02 Cryptographic Failures, A03 Injection, A07 Authentication Failures
- OWASP API Security Top 10 (2023) — API1 BOLA, API2 Broken Authentication, API4 Resource Consumption, API5 BFLA
- Autenticazione e gestione sessione — debolezze JWT, flag cookie (Secure/HttpOnly/SameSite), session-fixation, reset password difettoso
- Logica di autorizzazione — IDOR (Insecure Direct Object Reference), escalation orizzontale e verticale, isolamento multi-tenant
- Validazione input — SQL Injection (classica + NoSQL), XSS (Reflected/Stored/DOM), SSRF, XXE, command injection
- Configurazione — TLS/SSL (RFC 8446), security header (HSTS, CSP, Referrer-Policy), CORS, path admin esposti, endpoint di debug
- Logica di business — race condition sui flussi di pagamento, abuso coupon/sconti, bypass quota, validazione workflow difettosa
- Dipendenze (Software Composition Analysis) — CVE note in npm/PyPI/Maven, framework obsoleti (es. CVE-2024-43481 Next.js, CVE-2024-43990 Django)
- Configurazione DNS — SPF, DKIM, DMARC, record CAA (rilevante NIS2 per prevenzione email spoofing)
- Infrastruttura cloud (piano Growth) — misconfigurazioni IAM, permessi bucket S3, storage cloud esposti
Esempio di finding
Algoritmo JWT debole accettato (HS256 con secret indovinabile)
L'endpoint di autenticazione /api/auth/login accetta token JWT firmati con HMAC-SHA256 (HS256). Il secret condiviso era presente in un bundle JavaScript accessibile pubblicamente (matproof.com/_next/static/chunks/auth-3f2a1.js). Un attaccante può firmare token di autenticazione validi per qualsiasi utente — inclusi account admin — senza conoscere una password valida.
Correzione: Migrare a RS256 (firma asimmetrica con coppia di chiavi pubblica/privata). La chiave privata rimane esclusivamente sul server di autenticazione; la chiave pubblica può essere distribuita pubblicamente. Verificare esplicitamente l'algoritmo durante la validazione del token (no « alg: none » o algorithm-confusion). Se HS256 è obbligatorio, usare almeno 256 bit di entropia, rotazione ogni 90 giorni, mai esposto nel frontend.
Riferimento: OWASP API2:2023 Broken Authentication · CWE-327 Use of a Broken or Risky Cryptographic Algorithm · RFC 7518 §3.6
Opzioni di pentest a confronto
| — | Scan gratuito | Matproof Sentinel | Consulenza tradizionale |
|---|---|---|---|
| Motore di scansione automatizzato | ✓ (anteprima 3 min) | ✓ Scansione completa | ✗ Solo manuale |
| Copertura OWASP Top 10 | Parziale | ✓ Completa | ✓ Completa |
| Prova di exploit | ✗ | ✓ Per finding | ✓ Per finding |
| Mapping normativo (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatizzato | ✓ Manuale |
| Report PDF pronto per l'audit | ✗ | ✓ Immediato | ✓ Consegna 2–4 settimane |
| Scansioni continue / ricorrenti | ✗ | ✓ Per deploy | ✗ Impegno annuale |
| Tempo al primo risultato | ~3 min | ~30 min scansione completa | 2–4 settimane |
| Prezzo | €0 | Da €149 | €8.000–€25.000 |
| Revisione codice sorgente (SAST) | ✗ | ✓ Piano Growth | ✓ In scope |
| Test API (REST/GraphQL) | ✗ | ✓ Automatizzato | ✓ Manuale |
Pacchetti Pentest
- 1 scansione pentest completa
- Risultati prioritizzati da AI con CVSS 3.1
- Proof-of-exploit per ogni finding
- Report PDF (pronto per l'audit)
- Mapping normativo (DORA, NIS2, ISO 27001)
- Scansioni illimitate (fino a 3 domini)
- Monitoraggio continuo
- Integrazione CI/CD (GitHub, GitLab)
- Tutti i mapping normativi
- Supporto prioritario
- Scansioni + domini illimitati
- Test autenticati / White-Box
- Test API e infrastruttura cloud
- Account manager dedicato
- SLA risposta 24h
Domande frequenti sul pentest
Qual è la differenza tra un pentest e una vulnerability scan?
Una vulnerability scan è una verifica automatizzata, spesso basata su firme, contro CVE note — trova vulnerabilità elencate ma non errori di logica o configurazione. Un pentest è significativamente più profondo: combina test automatizzati con analisi contestuale (presso di noi tramite agenti IA), verifica ogni finding con proof-of-exploit e copre catene di attacco complesse come IDOR, escalation di privilegi o falle di logica business. Per DORA Art. 24, NIS2 Art. 21 e ISO 27001 A.8.29 una vulnerability scan generalmente non è sufficiente come prova.
Quanto dura un pentest con Matproof Sentinel?
La scansione gratuita su matproof.com/it/tools/pentest-scan fornisce i primi finding su TLS, security header, DNS e path esposti in ~3 minuti. Il pentest Sentinel completo (€149 una tantum o in abbonamento) dura ~30-60 minuti per un'applicazione web tipica e fornisce un report PDF pronto per audit. Per confronto: i pentest di consulenza classici richiedono 2-4 settimane di consegna.
Quanto costa un pentest in Italia?
Da Matproof: anteprima gratuita, €149 per scansione singola con report PDF, €299/mese per test continui (fino a 3 domini, integrazione CI/CD), €799/mese per test autenticati, domini illimitati e infrastruttura cloud. I pentest di consulenza classici in Italia costano tipicamente €8.000-25.000 per engagement, con 2-4 settimane di consegna. Per i test TIBER-EU/TLPT degli enti finanziari (DORA Art. 26), i costi sono regolarmente €80.000-250.000.
Quali fornitori di pentest sono riconosciuti in Italia?
In Italia non esiste un'« autorizzazione » statale come fornitore di pentest. Qualifiche rilevanti sono: tester certificati OSCP/OSWE, membership CREST, fornitori certificati ISO 27001, iscrizione all'elenco ACN dei fornitori cyber qualificati per soggetti del Perimetro di Sicurezza Nazionale. Per test TIBER-EU/TLPT, il fornitore deve inoltre figurare nella lista BCE dei fornitori red-team accreditati.
Ho bisogno di un pentest se ho già un bug-bounty?
Bug-bounty e pentest coprono rischi diversi. Un bug-bounty è un'iniziativa aperta di crowdsourcing con copertura imprevedibile — paghi per ogni vulnerabilità trovata. Un pentest è un engagement definito e temporalmente limitato con copertura garantita di tutti i sistemi in scope. Per prove di audit (DORA, NIS2, ISO 27001) gli auditor richiedono un report di pentest strutturato, non un programma di bug-bounty. L'ottimale è la combinazione: pentest per compliance + bug-bounty per sicurezza continua opportunistica.
Cosa significa « proof-of-exploit » e perché è importante?
Proof-of-Exploit (PoE) significa: non ti mostriamo solo che una vulnerabilità esiste teoricamente, ma forniamo la richiesta esatta che la sfrutta — con snippet di risposta, screenshot o breve video. Questo elimina i falsi positivi e rende la prioritizzazione triviale. Per i report di audit è prezioso: mostra all'auditor che il finding è verificato, e al tuo team dev esattamente dove agire. Con pentest classici, PoE è spesso opzionale e costa extra — con Matproof Sentinel è standard.
I miei dati vengono memorizzati durante il pentest?
Per la scansione gratuita: email (per consegna report) e risultati scansione vengono memorizzati in UE (Hetzner, Falkenstein); nessun dato personale dei tuoi utenti finali viene raccolto. Per la scansione Sentinel completa: tutte le attività di test vengono elaborate in UE, i finding vengono automaticamente anonimizzati dopo 90 giorni. Siamo conformi al GDPR Art. 28 (sub-fornitura); un contratto di sub-fornitura viene fornito su richiesta.
Cosa succede se il pentest trova vulnerabilità critiche?
Per ogni finding Critical o High ricevi immediatamente un'email con i dettagli e una misura di emergenza raccomandata. Il report PDF contiene una roadmap prioritizzata (punteggio CVSS 3.1, sforzo di remediation stimato, rilevanza normativa). Su richiesta ti supportiamo nella remediation — tramite la nostra consulenza security interna (inclusa nel piano Growth) o tramite partner specializzati. Dopo la remediation puoi avviare un re-test (gratuito nei piani Starter/Growth) per verificare che le fix abbiano funzionato.
Argomenti correlati
Approfondisci — articoli correlati dal blog
Inizia con un pentest gratuito
Inserisci il tuo dominio e ottieni i primi finding su TLS, security header, DNS e path esposti in 3 minuti. Senza login, senza carta di credito. Se l'anteprima rivela risultati interessanti, avvia un pentest completo da €149.
Avvia scansione gratuita