Le ricerche di servizi di penetration testing nel Regno Unito sono cresciute di oltre il 35% tra il 2023 e il 2025, trainate da una combinazione di incidenti ransomware, obblighi normativi sempre piu stringenti e un’ondata di assicuratori che richiedono prove di test di sicurezza attivi prima di emettere polizze cyber. Nonostante questa domanda, persiste ancora molta confusione su cosa sia effettivamente un penetration test, in cosa differisca da una scansione delle vulnerabilita e quanto costi un buon lavoro.

Questa guida copre il quadro completo: cosa e e cosa non e il penetration testing, i principali tipi, come funziona il processo, cosa deve contenere l’output, quali credenziali contano nel Regno Unito e fasce di costo realistiche per il 2026.

In breve

  • Un penetration test e una simulazione di attacco da parte di un tester autorizzato che utilizza le stesse tecniche degli attaccanti reali. Non e la stessa cosa di una scansione delle vulnerabilita, che e automatizzata e non puo concatenare vulnerabilita ne valutare l’impatto reale.
  • I tester concatenano piu vulnerabilita per dimostrare l’impatto reale, non si limitano a elencare i singoli problemi. Questo e cio che rende la metodologia distinta e preziosa.
  • Nel Regno Unito, il PCI DSS impone test di penetrazione annuali, e l’Articolo 32 del UK GDPR, l’ISO 27001 e le linee guida dell’NCSC indicano tutti i test di penetrazione regolari come prova di adeguati controlli tecnici.
  • Per i fornitori accreditati CREST, cercare le qualifiche CRT (applicazione web), CCT App (applicazione web) o CCT Inf (infrastruttura). Per il lavoro nel settore pubblico si applica lo schema CHECK.

Cos’e un penetration test (e cosa non e)

Un penetration test e una simulazione strutturata e autorizzata di un attacco contro un obiettivo definito. Il tester utilizza gli stessi strumenti, tecniche e processi mentali di un attaccante malintenzionato, ma opera nell’ambito di un perimetro e di regole di ingaggio concordati. L’obiettivo e identificare le vulnerabilita e dimostrarne la reale sfruttabilita prima che lo faccia un attaccante reale.

Una scansione delle vulnerabilita non e un penetration test. Uno scanner automatizzato interroga i sistemi rispetto a un database di vulnerabilita note e produce un elenco di risultati. E veloce e ripetibile, ma non puo ragionare sul contesto, concatenare i risultati, valutare la logica di business o dimostrare l’impatto reale di cio che trova. Molte organizzazioni confondono i due, e alcuni fornitori sfumano deliberatamente il confine. Se un fornitore vi offre un preventivo per “penetration testing” e l’engagement si basa interamente su uno strumento senza analisi manuale, avete acquistato una scansione delle vulnerabilita a prezzo premium.

La distinzione ha importanza pratica. Una scansione delle vulnerabilita potrebbe segnalare che la vostra applicazione ha un modulo di accesso senza blocco dell’account. Un penetration test va oltre: il tester tenta di sfruttare questo insieme a una debolezza di enumerazione degli username e a un token di sessione prevedibile per dimostrare una catena completa di takeover dell’account. Questa e la differenza tra elencare un rischio e provarlo.

Tipi di penetration test

Per livello di conoscenza. I test sono tipicamente descritti come black box, grey box o white box, a seconda di quante informazioni vengono fornite al tester all’inizio:

  • Black box: il tester inizia senza conoscenza preliminare del target, simulando un attaccante esterno che ha condotto la propria ricognizione. Il piu vicino a uno scenario di attacco reale ma puo essere inefficiente in termini di tempo perche il tester spende il tempo dell’engagement su attivita (come la mappatura dell’applicazione) che si potrebbero fornire.
  • Grey box: al tester vengono fornite alcune informazioni, tipicamente credenziali utente e documentazione, ma non il codice sorgente o i diagrammi architetturali completi. La scelta piu comune per i test sulle applicazioni web perche bilancia realismo ed efficienza.
  • White box: il tester ha accesso completo inclusi codice sorgente, documentazione architetturale e diagrammi infrastrutturali. Usato per valutazioni complete e revisioni del codice guidate dalla conformita. Trova la piu alta proporzione di vulnerabilita ma richiede la maggiore preparazione dal vostro team.

Per tipo di target. Le categorie comuni includono:

  • Penetration test di rete: infrastruttura esterna o interna, regole del firewall, configurazione VPN, opportunita di movimento laterale
  • Penetration test di applicazioni web: OWASP Top 10 e oltre, inclusi autenticazione, gestione delle sessioni, validazione degli input e logica di business
  • Penetration test API: endpoint REST e GraphQL, bypass dell’autenticazione, mass assignment, rate limiting ed esposizione dei dati
  • Penetration test di applicazioni mobile: app Android e iOS, archiviazione non sicura dei dati, bypass del certificate pinning e problemi di API backend esposti tramite il layer mobile
  • Social engineering: simulazione di phishing, pretexting e vishing (voice phishing) per testare il layer umano
  • Penetration test fisico: tailgating, clonazione RFID, bypass del controllo accessi, presa di mira delle strutture fisiche

La maggior parte delle aziende britanniche inizia con un test su applicazione web o di rete e amplia il perimetro man mano che il proprio programma di sicurezza matura.

Il processo di penetration testing

Un penetration test rigoroso segue una metodologia definita. I framework CREST e PTES (Penetration Testing Execution Standard) descrivono entrambi una sequenza simile:

Scoping e regole di ingaggio

Prima che inizi il testing, voi e il fornitore concordate il target, il tipo di test, le finestre di test (alcune organizzazioni richiedono test fuori orario per evitare impatti sulla produzione), le procedure di escalation in caso di scoperta di un risultato critico durante il test, e cosa e esplicitamente fuori perimetro. Fatelo in forma scritta. Una lettera di autorizzazione protegge entrambe le parti.

Ricognizione

Il tester raccoglie informazioni sul target attraverso mezzi passivi (open source intelligence, log di certificate transparency, offerte di lavoro che rivelano lo stack tecnologico, credenziali trapelate nei database di breach) e mezzi attivi (enumerazione DNS, port scanning, service fingerprinting). In un test black box, questa fase puo occupare una parte significativa del tempo dell’engagement.

Sfruttamento

Il tester tenta di sfruttare le vulnerabilita identificate per ottenere accesso iniziale o dimostrare l’impatto. E qui che la metodologia si discosta dalla scansione: un tester qualificato prova piu percorsi, si adatta quando uno e bloccato, e cerca combinazioni di problemi di minore gravita che insieme producono un risultato ad alto impatto.

Post-exploitation e concatenazione delle vulnerabilita

Questa e la fase che la maggior parte del marketing dei fornitori ignora. Dopo aver ottenuto l’accesso iniziale, cosa puo fare effettivamente un attaccante? Un tester che valuta un’applicazione web potrebbe concatenare una vulnerabilita XSS con una debolezza CSRF e un identificatore di sessione prevedibile per dimostrare un takeover completo dell’account. Contro l’infrastruttura, la post-exploitation comporta l’escalation dei privilegi, il movimento laterale e la determinazione di quali dati o sistemi sono accessibili dalla testa di ponte iniziale.

La concatenazione e critica perche riformula il rischio. Un singolo risultato classificato CVSS 5.5 (Medio) diventa una conversazione diversa quando si puo dimostrare che e sfruttabile in combinazione con altri due per esfiltrare il database dei clienti.

Reportistica

Il tester documenta tutti i risultati, scrive il report e lo consegna entro i tempi concordati (tipicamente da cinque a dieci giorni lavorativi dopo il completamento del testing). Il contenuto del report e trattato nella sezione successiva.

Cosa contiene un report di penetration test di qualita

Un report professionale di penetration testing e un documento di lavoro per il vostro team, non uno strumento di vendita per il fornitore. Deve contenere:

Sommario esecutivo. Una panoramica non tecnica dell’engagement, la postura di rischio generale, il numero e la gravita dei risultati e i problemi piu critici. Scritto per un lettore a livello di board che deve prendere decisioni, non per uno sviluppatore che deve correggere il codice.

Perimetro e metodologia. Cosa e stato testato, come e stato testato e eventuali limitazioni (ad esempio, se determinati URL sono stati esclusi o il testing era limitato agli orari di lavoro).

Risultati classificati per rischio. Ogni vulnerabilita elencata con un rating di gravita. La maggior parte dei fornitori professionali britannici utilizza punteggi CVSS 3.1 insieme a un rating di rischio contestuale che tiene conto del vostro ambiente specifico. Un punteggio CVSS isolato puo essere fuorviante; un risultato 7.5 senza vettore di accesso esterno e un rischio diverso rispetto allo stesso punteggio su un endpoint pubblicamente esposto.

Dettagli tecnici e passaggi di riproduzione. Informazioni sufficienti affinche i vostri sviluppatori possano riprodurre il risultato, capire perche e sfruttabile e confermare che la loro correzione funziona. Questo significa: richieste e risposte esatte, payload utilizzati, screenshot dove utile.

Guida alla remediation. Consigli specifici e actionable per ogni risultato. Non “aggiornate le vostre dipendenze” ma “aggiornate la libreria X dalla versione 2.3.1 alla 2.4.0 e rimuovete la chiamata di serializzazione deprecata alla riga 247 di UserController.php.”

Dichiarazione di retest. Conferma se un retest e incluso, e se si, come verranno chiusi i risultati. Un risultato non e risolto finche un tester non lo conferma.

Requisiti di conformita britannici per il penetration testing

PCI DSS. Qualsiasi azienda che elabora, archivia o trasmette dati dei titolari di carta deve condurre penetration testing almeno annualmente e dopo qualsiasi modifica significativa all’infrastruttura o all’applicazione. PCI DSS v4.0, diventato l’unica versione attiva nel marzo 2024, include requisiti aggiornati per perimetro e metodologia del penetration testing. Questo e un requisito obbligatorio, non una raccomandazione.

UK GDPR Articolo 32. Richiede alle organizzazioni di implementare misure tecniche appropriate per garantire una sicurezza adeguata al rischio. Il penetration testing e il modo piu diretto per dimostrare di aver valutato attivamente se i vostri controlli tecnici funzionano. L’ICO ha fatto riferimento al security testing nelle decisioni di enforcement.

ISO 27001. Il controllo 8.8 dell’Annex A riguarda la gestione delle vulnerabilita tecniche, e il penetration testing e un metodo standard per soddisfare questo controllo. Se state lavorando verso la certificazione ISO 27001, il vostro auditor si aspettera di vedere prove di testing.

Cyber Essentials Plus. Il livello superiore dello schema Cyber Essentials del governo britannico include una valutazione on-site e scansione delle vulnerabilita. Sebbene il Cyber Essentials Plus non sia un penetration test, ottenerlo e mantenere la baseline che stabilisce e un prerequisito sensato.

Linee guida NCSC. Il National Cyber Security Centre raccomanda il penetration testing come parte del suo framework “10 Steps to Cyber Security”, specificamente sotto i passi “Vulnerability Management” e “Network Security”.

Credenziali CREST e perche contano

CREST e il principale ente di accreditamento britannico per le aziende di penetration testing e i tester individuali. I fornitori registrati CREST sono valutati sui loro processi, metodologia e capacita di gestire i dati sensibili in modo appropriato. I tester individuali possono detenere le seguenti qualifiche:

  • CREST Registered Tester (CRT): credenziale entry-level che dimostra competenza tecnica nel testing di applicazioni web o infrastrutture.
  • CREST Certified Tester - Application (CCT App): credenziale avanzata per il penetration testing di applicazioni web. Richiede il superamento di un esame pratico.
  • CREST Certified Tester - Infrastructure (CCT Inf): credenziale equivalente per il testing di reti e infrastrutture.

Per gli enti del settore pubblico britannico si applica lo schema CHECK. CHECK e uno schema gestito dall’NCSC che richiede ai penetration tester di detenere lo status di CHECK Team Member o CHECK Team Leader. Se siete un dipartimento governativo, un ente NHS o un’autorita locale, il vostro fornitore deve detenere lo status CHECK.

Nel valutare i fornitori, chiedete di vedere le credenziali specifiche detenute dai tester che lavoreranno sul vostro engagement, non le credenziali detenute dal personale piu senior dell’azienda. La persona che scrive il vostro report e conduce il vostro test e la credenziale che conta.

Con quale frequenza dovreste testare?

La risposta corretta dipende dal vostro profilo di rischio, ma i minimi pratici sono:

  • Annualmente come minimo per qualsiasi applicazione esposta su internet che gestisce dati personali o di pagamento
  • Dopo rilasci importanti che introducono nuove funzionalita, nuovi flussi di autenticazione o nuove integrazioni
  • Prima di andare live con un nuovo prodotto, applicazione o servizio che elaborera dati personali o di pagamento per la prima volta
  • Dopo un incidente di sicurezza, per capire se l’attaccante ha lasciato meccanismi di persistenza o ha sfruttato vulnerabilita non ancora chiuse
  • Quando il vostro profilo di rischio cambia, ad esempio dopo una fusione, acquisizione o una significativa espansione della vostra base utenti

Costi del penetration testing nel Regno Unito

Tipo di engagementFascia di costo tipicaNote
Test black box applicazione web£2.000 - £8.000Esterno, nessuna credenziale fornita
Test grey/white box applicazione web£5.000 - £15.000Testing autenticato, puo includere revisione del codice sorgente
Penetration test API£3.000 - £8.000REST/GraphQL, dipende dal numero di endpoint
Penetration test infrastruttura (esterno)£3.000 - £10.000Perimetro, servizi esposti
Penetration test infrastruttura (interno)£4.000 - £12.000Simula scenario insider o post-breach
Esercizio Red Team£15.000 - £50.000+Simulazione avversario completa, multi-vettore
Engagement di social engineering£2.000 - £6.000Phishing, vishing o campagna combinata

Le tariffe riflettono i prezzi del mercato britannico nel 2026. I preventivi significativamente inferiori a questi range indicano tipicamente scansione automatizzata con analisi manuale minima.

Il servizio di penetration testing Mecanik copre testing di applicazioni web, API e infrastruttura per aziende britanniche, utilizzando metodologia PTES e OWASP, con exploit proof-of-concept e un report di remediation prioritizzato.

Punti chiave

  • Un penetration test e una simulazione manuale e autorizzata di un attacco. E categoricamente diverso da una scansione automatizzata delle vulnerabilita.
  • I tester concatenano piu vulnerabilita per dimostrare l’impatto reale, non si limitano a enumerare i singoli problemi in isolamento.
  • Gli obblighi di conformita britannici (PCI DSS, UK GDPR Articolo 32, ISO 27001, linee guida NCSC) indicano tutti i test di penetrazione regolari come pratica di sicurezza di base.
  • Un report di qualita contiene risultati classificati per rischio, passaggi di riproduzione tecnici, punteggi CVSS con rating contestuali e guida alla remediation specifica per ogni problema.
  • Per le credenziali, cercare CREST CRT, CCT App o CCT Inf per i tester individuali del vostro engagement. Per il lavoro nel settore pubblico e richiesto lo status dello schema CHECK.
  • Testate almeno annualmente, dopo rilasci importanti e prima di andare live con qualsiasi nuovo servizio che gestisce dati personali o di pagamento.

Domande frequenti (FAQ)

Qual e la differenza tra un penetration test e una scansione delle vulnerabilita? Una scansione delle vulnerabilita utilizza strumenti automatizzati per controllare i sistemi rispetto a un database di problemi noti. Un penetration test coinvolge un tester umano che ragiona sul target, concatena le vulnerabilita e dimostra l’effettiva sfruttabilita. Le scansioni sono veloci e utili per stabilire una baseline; non sostituiscono il testing manuale.

Quanto dura un penetration test? Un test di applicazione web per un sito di complessita media richiede tipicamente da tre a cinque giorni di testing. Applicazioni grandi, engagement white box con revisione del codice sorgente, o test infrastrutturali su molti host richiedono piu tempo. La conversazione di scoping e la stesura del report aggiungono ulteriore tempo, quindi pianificate da due a quattro settimane dall’inizio dell’engagement alla consegna del report finale.

Devo informare il mio provider di hosting prima di un penetration test? Verificate i termini di servizio del vostro provider di hosting o cloud. AWS, Azure e GCP consentono tutti il penetration testing delle proprie risorse senza notifica preventiva per la maggior parte dei servizi, sebbene si applichino alcune restrizioni. I provider di hosting condiviso spesso richiedono un preavviso. Il vostro provider di penetration testing dovrebbe confermarlo durante lo scoping.

Cosa succede se il tester trova una vulnerabilita critica durante il test? Le vostre regole di ingaggio dovrebbero definire una procedura di escalation per i risultati critici. Un tester affidabile vi contatter immediatamente piuttosto che aspettare il report. Voi decidete quindi se mettere in pausa il testing mentre remediate, continuare con quel risultato documentato, o adeguare il perimetro.

Un penetration test puo causare downtime? La maggior parte delle tecniche di testing e non distruttiva e non causa downtime. Il testing di denial-of-service richiede un accordo esplicito ed e tipicamente condotto fuori orario. Il vostro tester dovrebbe discutere il rischio di qualsiasi tecnica potenzialmente dirompente prima di tentarla.

Come verifico le credenziali di un penetration tester CREST? CREST mantiene un registro pubblico delle aziende registrate e degli individui certificati su crest-approved.org. Cercate per nome dell’azienda o del tester per verificare lo status. Per CHECK, l’NCSC pubblica un elenco di fornitori di servizi approvati CHECK.