Codice Privacy e Pentest in Italia: D.Lgs. 196/2003, GDPR e Autorizzazione ai Test di Sicurezza
Il Codice in materia di protezione dei dati personali (D.Lgs. 196/2003, «Codice Privacy») è la normativa italiana che, integrata con il Regolamento (UE) 2016/679 (GDPR) dalla riforma del D.Lgs. 101/2018, disciplina il trattamento dei dati personali in Italia. Per i professionisti della sicurezza informatica e per le organizzazioni che commissionano test di penetrazione, il Codice Privacy e il GDPR hanno implicazioni dirette: l'Art. 32 GDPR impone misure tecniche e organizzative adeguate per proteggere i dati personali, tra cui — secondo l'interpretazione del Garante per la protezione dei dati personali e della prassi settoriale — test di sicurezza periodici; al tempo stesso, un test di penetrazione che accede a sistemi contenenti dati personali deve essere autorizzato correttamente per non costituire esso stesso una violazione. Il Garante Privacy italiano ha adottato decisioni, sanzioni e linee guida che chiariscono questi aspetti. La presente guida analizza il quadro legale del pentest in Italia, cosa richiede l'Art. 32 GDPR in materia di test tecnici, come autorizzare correttamente un pentest e le implicazioni delle violazioni dei dati nell'ambito del GDPR.
Il framework legale del pentest in Italia: Codice Privacy, GDPR e responsabilità
Il D.Lgs. 196/2003 era originariamente corredato da un Allegato B (misure minime di sicurezza) che indicava esplicitamente alcune misure tecniche obbligatorie per il trattamento dei dati personali, tra cui l'aggiornamento periodico dei programmi software. Con la riforma del D.Lgs. 101/2018, l'Allegato B è stato abrogato e il GDPR è diventato il riferimento diretto per le misure di sicurezza. L'Art. 32 GDPR adotta un approccio basato sul rischio: il titolare e il responsabile del trattamento devono mettere in atto «misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio». La lettera d) dell'Art. 32 §1 cita esplicitamente «una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento» — questa disposizione è la base normativa per i test di sicurezza GDPR, inclusi i penetration test. Il Garante Privacy italiano ha sanzionato diverse organizzazioni per l'assenza di misure tecniche adeguate a seguito di violazioni dei dati, e in diversi provvedimenti ha richiamato la necessità di test tecnici periodici come componente di una postura di sicurezza adeguata. Parallelamente, il D.Lgs. 196/2003 (modificato) contiene disposizioni penali all'Art. 167 e successivi che puniscono il trattamento illecito dei dati personali — un test di penetrazione condotto senza autorizzazione potrebbe configurare questa violazione se porta all'accesso a dati personali senza il consenso del titolare del trattamento.
- GDPR Art. 32 §1 lett. d): obbligo di «procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative» — questa disposizione è la base normativa diretta per i test di sicurezza periodici, inclusi i penetration test, come misura di sicurezza GDPR.
- GDPR Art. 25 (Privacy by Design and by Default): la sicurezza deve essere integrata nei sistemi di trattamento fin dalla progettazione — i test di penetrazione durante lo sviluppo (A.8.29 ISO 27001) soddisfano questo requisito e dimostrano l'approccio Privacy by Design.
- GDPR Art. 33 e 34 (notifica delle violazioni): in caso di violazione dei dati personali, il titolare deve notificare al Garante entro 72 ore e, in alcuni casi, comunicare agli interessati — la documentazione di test di sicurezza regolari è elemento essenziale per dimostrare che la violazione non era evitabile con misure ragionevoli.
- D.Lgs. 196/2003 Art. 167 (trattamento illecito di dati personali): chiunque tratti dati personali in violazione degli articoli chiave del Codice Privacy è punito con la reclusione da 6 mesi a 1 anno; un pentest condotto senza autorizzazione scritta che accede a dati personali potrebbe configurare questa fattispecie.
- Garante Privacy — provvedimenti sanzionatori: il Garante ha sanzionato organizzazioni per misure tecniche inadeguate (assenza di cifratura, password deboli, sistemi non patchati) dopo violazioni di dati — in diversi provvedimenti ha citato la mancanza di test tecnici periodici come aggravante.
- GDPR Art. 28 (Responsabile del trattamento — pentest provider): il fornitore di servizi di penetration testing che ha accesso a dati personali durante il test è un «responsabile del trattamento» ai sensi del GDPR e deve essere vincolato da un accordo DPA (Data Processing Agreement) che rispetti i requisiti dell'Art. 28.
- Minimizzazione dei dati nel pentest (GDPR Art. 5 §1 lett. c)): il tester deve adottare misure per evitare di accedere a dati personali non necessari e, quando li scopre, gestirli secondo il principio di minimizzazione — nessuna copia di dati personali nei report, pseudonimizzazione degli screenshot.
Come strutturare un test di penetrazione legalmente conforme in Italia
- Autorizzazione scritta obbligatoria (Codice Privacy + D.Lgs. 231/2001): il contratto di servizi o la lettera di incarico deve autorizzare esplicitamente il fornitore ad accedere ai sistemi nel perimetro definito — firmato dal legale rappresentante o dal delegato con poteri adeguati; senza autorizzazione, l'accesso a sistemi contenenti dati personali potrebbe configurare il reato di cui all'Art. 167 D.Lgs. 196/2003.
- Data Processing Agreement (GDPR Art. 28): se il pentest è suscettibile di portare all'accesso a dati personali, deve essere stipulato un accordo DPA tra il titolare del trattamento (cliente) e il responsabile del trattamento (provider di pentest) — il DPA specifica le istruzioni del titolare al responsabile e le misure di sicurezza del responsabile.
- Definizione precisa del perimetro (per limitare l'accesso ai dati personali): perimetro chiaramente delimitato con sistemi, IP, domini e applicazioni inclusi — qualsiasi accesso a sistemi al di fuori del perimetro è non autorizzato e potenzialmente illecito.
- Procedure di gestione dei dati personali scoperti durante il pentest: il contratto deve specificare cosa il tester deve fare se scopre dati personali durante il test — nessuna copia, pseudonimizzazione immediata, notifica al cliente, distruzione sicura al termine della missione.
- Valutazione dell'obbligo di notifica al Garante (GDPR Art. 33): se durante il pentest si scopre una violazione dei dati personali (es. un bucket S3 pubblico con dati personali), il cliente deve valutare se è obbligato a notificare il Garante entro 72 ore — il contratto di pentest deve specificare la procedura di escalation per questa eventualità.
- Sicurezza del report di penetration testing (GDPR Art. 32): il report di pentest contiene informazioni sensibili sulle vulnerabilità dei sistemi che trattano dati personali — il report deve essere trattato come documento riservato, trasmesso con cifratura, accessibile solo alle persone autorizzate, conservato per il tempo necessario e poi distrutto in modo sicuro.
- Registrazione del test nel Registro delle Attività di Trattamento (GDPR Art. 30): se il pentest comporta il trattamento di dati personali (es. accesso a sistemi contenenti dati), l'attività di test dovrebbe essere documentata nel registro dei trattamenti come «attività di test di sicurezza» con i dettagli del fornitore (DPA) e le misure di sicurezza adottate.
- Formazione del personale del fornitore di pentest (GDPR Art. 29): le persone che eseguono il test devono essere formate sugli obblighi GDPR applicabili ai dati personali che potrebbero incontrare durante il test — impegno di riservatezza e istruzioni specifiche documentate.
Esempio di finding
Database clienti con dati personali esposto senza autenticazione — violazione dei dati GDPR Art. 33
Durante la fase di ricognizione del test di penetrazione (perimetro autorizzato), è stato identificato un'istanza MongoDB alla versione 4.2.1 (priva della patch per CVE-2021-20328, CVSS 8.1) accessibile senza autenticazione sulla porta 27017 dall'Internet pubblico. Il database contiene 847.000 record di clienti con: nome completo, indirizzo email, numero di telefono, indirizzo fisico, data di nascita, storico degli acquisti. I dati sono in chiaro, non cifrati. Questa esposizione costituisce una violazione dei dati personali ai sensi dell'Art. 4 §12 GDPR. Il fornitore di pentest ha immediatamente notificato il contatto di sicurezza designato nel contratto, come previsto dalla procedura di escalation, sospendendo l'accesso ai dati e documentando solo i metadati necessari (presenza del database, numero stimato di record, struttura delle collezioni) senza copiare alcun dato personale.
Correzione: Chiudere immediatamente l'accesso pubblico a MongoDB (rimuovere la regola di firewall che espone la porta 27017 su Internet). Abilitare l'autenticazione MongoDB e configurare utenti con privilegi minimi. Patching di CVE-2021-20328 (MongoDB Server DoS/Security Bypass). Valutare se la violazione costituisce obbligo di notifica al Garante Privacy (Art. 33 GDPR, entro 72 ore dalla conoscenza) e, se il rischio per gli interessati è elevato, comunicazione agli interessati (Art. 34 GDPR). Condurre una valutazione dell'impatto per determinare se i dati sono stati acceduti da terzi prima del test. Cifrare i dati personali a riposo (AES-256) per tutti i database contenenti dati degli interessati.
Riferimento: CVE-2021-20328 (MongoDB Server, CVSS 8.1) · CWE-306 Missing Authentication for Critical Function · GDPR Art. 33 (notifica violazioni dati) · GDPR Art. 32 §1 lett. a) (cifratura dati personali) · D.Lgs. 196/2003 Art. 167 (trattamento illecito dati) · OWASP A07:2021 Identification and Authentication Failures
Pentest legale in Italia: confronto delle opzioni
| — | Scan gratuito | Matproof Sentinel | Consulenza tradizionale |
|---|---|---|---|
| Motore di scansione automatizzato | ✓ (anteprima 3 min) | ✓ Scansione completa | ✗ Solo manuale |
| Copertura OWASP Top 10 | Parziale | ✓ Completa | ✓ Completa |
| Prova di exploit | ✗ | ✓ Per finding | ✓ Per finding |
| Mapping normativo (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatizzato | ✓ Manuale |
| Report PDF pronto per l'audit | ✗ | ✓ Immediato | ✓ Consegna 2–4 settimane |
| Scansioni continue / ricorrenti | ✗ | ✓ Per deploy | ✗ Impegno annuale |
| Tempo al primo risultato | ~3 min | ~30 min scansione completa | 2–4 settimane |
| Prezzo | €0 | Da €149 | €8.000–€25.000 |
| Revisione codice sorgente (SAST) | ✗ | ✓ Piano Growth | ✓ In scope |
| Test API (REST/GraphQL) | ✗ | ✓ Automatizzato | ✓ Manuale |
Offerte di pentest legalmente conformi al Codice Privacy e GDPR
- 1 scansione pentest completa
- Risultati prioritizzati da AI con CVSS 3.1
- Proof-of-exploit per ogni finding
- Report PDF (pronto per l'audit)
- Mapping normativo (DORA, NIS2, ISO 27001)
- Scansioni illimitate (fino a 3 domini)
- Monitoraggio continuo
- Integrazione CI/CD (GitHub, GitLab)
- Tutti i mapping normativi
- Supporto prioritario
- Scansioni + domini illimitati
- Test autenticati / White-Box
- Test API e infrastruttura cloud
- Account manager dedicato
- SLA risposta 24h
Domande frequenti sul framework legale del pentest in Italia
Un penetration test senza autorizzazione scritta è illegale in Italia?
Sì — in Italia, accedere a sistemi informatici senza autorizzazione è un reato ai sensi dell'Art. 615-ter del Codice Penale («accesso abusivo a un sistema informatico o telematico»), punito con la reclusione fino a 3 anni. Se il sistema contiene dati personali, si aggiunge il rischio di violazione dell'Art. 167 D.Lgs. 196/2003 (trattamento illecito di dati personali). La buona fede o l'intenzione «etiche» del tester non eliminano la fattispecie oggettiva del reato. L'autorizzazione scritta firmata dal legale rappresentante del proprietario dei sistemi è il requisito minimo indispensabile per qualsiasi test di penetrazione legittimo.
Cosa deve contenere l'autorizzazione di pentest per essere valida in Italia?
Un'autorizzazione di pentest valida in Italia deve contenere: identità delle parti (fornitore e cliente con dati completi); descrizione precisa del perimetro di test (IP, domini, applicazioni, sistemi); durata della missione (date di inizio e fine); autorizzazione esplicita ad accedere ai sistemi e tentare lo sfruttamento nel perimetro; azioni espressamente vietate; clausola di riservatezza; clausola di trattamento dei dati personali (DPA GDPR Art. 28); clausola di notifica delle vulnerabilità critiche; firma del legale rappresentante o di persona con delega documentata. Il contratto di servizio o la lettera di incarico possono assolvere questa funzione se contengono tutti gli elementi.
Il GDPR impone test di penetrazione obbligatori?
Il GDPR Art. 32 §1 lett. d) impone una «procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative». Non prescrive esplicitamente i «penetration test» come tali, ma l'interpretazione del Garante Privacy italiano e dei Data Protection Authority europei è che questa disposizione include test tecnici periodici proporzionati al rischio. Per i titolari del trattamento che gestiscono categorie particolari di dati (dati sanitari, biometrici, dati di minori) o che effettuano trattamenti ad alto rischio, il Garante si aspetta misure tecniche più robuste, inclusi test di sicurezza periodici.
Quali sanzioni può applicare il Garante Privacy per l'assenza di misure tecniche adeguate?
Il Garante Privacy italiano può applicare sanzioni amministrative ai sensi dell'Art. 83 GDPR: fino a 10.000.000 € o al 2% del fatturato annuo mondiale per la violazione dell'Art. 32 (misure di sicurezza inadeguate); fino a 20.000.000 € o al 4% del fatturato per le violazioni più gravi. Negli ultimi anni, il Garante ha inflitto sanzioni significative: Telepass (2024, 15.000.000 €), ENI Gas e Luce (2022, 11.500.000 €), Tim SpA (2021, 27.800.000 €). Nella valutazione delle sanzioni, il Garante considera come fattore aggravante l'assenza di misure tecniche adeguate, inclusi test di sicurezza periodici.
Il fornitore di pentest deve essere registrato come responsabile del trattamento?
Sì — se il test di penetrazione è suscettibile di portare all'accesso a dati personali, il fornitore di pentest è un «responsabile del trattamento» (Data Processor) ai sensi dell'Art. 4 §8 GDPR. Il titolare del trattamento (cliente) deve stipulare con il fornitore un Data Processing Agreement (DPA) conforme all'Art. 28 GDPR, che specifica: le istruzioni del titolare al responsabile; le misure di sicurezza del responsabile; gli obblighi di riservatezza; la procedura di notifica degli incidenti; le condizioni per il sub-trattamento (es. terziari). Matproof fornisce un DPA standard conforme al GDPR per tutti i clienti.
Come gestire la scoperta di dati personali durante un pentest?
La procedura corretta per gestire la scoperta di dati personali durante un pentest prevede: immediata notifica al contatto di sicurezza del cliente (definita nel contratto); nessuna copia o estrazione dei dati personali — documentare solo i metadati necessari (presenza, struttura, volume stimato); pseudonimizzazione negli screenshot (oscurare i dati personali visibili); nel report finale, descrivere la vulnerabilità senza riportare dati personali reali; distruzione sicura di qualsiasi dato personale eventualmente acceduto al termine della missione; il cliente valuta l'obbligo di notifica al Garante (Art. 33 GDPR, 72 ore) in funzione del rischio per gli interessati.
Il Garante Privacy italiano ha pubblicato linee guida specifiche sui test di penetrazione?
Il Garante Privacy italiano non ha pubblicato linee guida specifiche dedicate ai test di penetrazione. Tuttavia, diversi provvedimenti del Garante e le FAQ pubblicate menzionano i test di sicurezza tecnica come componente delle misure di sicurezza adeguate ai sensi dell'Art. 32 GDPR. A livello europeo, l'EDPB (European Data Protection Board) non ha pubblicato linee guida specifiche sui penetration test, ma le Guidelines 4/2019 sul monitoraggio dei dipendenti e le Guidelines 9/2022 sulla notifica delle violazioni contengono riferimenti rilevanti. L'ENISA ha pubblicato documenti tecnici sulle buone pratiche di sicurezza che includono i test di penetrazione.
Come Matproof gestisce i requisiti GDPR e Codice Privacy nei suoi servizi di pentest?
Matproof adotta un approccio Privacy-by-Design ai test di penetrazione: il contratto di servizio include un DPA conforme all'Art. 28 GDPR; i tester Matproof sono formati sugli obblighi GDPR applicabili; il report Matproof Sentinel non contiene mai dati personali reali degli utenti dei sistemi testati — i dati sono pseudonimizzati; i dati relativi al test sono conservati per il tempo necessario e poi distrutti secondo il principio di minimizzazione; il processo di notifica degli incidenti (violazioni di dati scoperte durante il test) è documentato nel contratto con SLA di notifica al cliente entro 1 ora. Matproof fornisce anche il modello di autorizzazione di pentest conforme al diritto italiano.
Approfondisci — articoli correlati dal blog
Avvii un pentest legalmente conforme in Italia
Matproof gestisce automaticamente il framework legale del test di penetrazione in Italia: autorizzazione, DPA GDPR Art. 28, pseudonimizzazione nel report, procedura di escalation per le violazioni di dati. La Sua conformità al Codice Privacy e al GDPR è integrata nel servizio.
Avvia il pentest conforme GDPR