Una metodologia operativa per capire dove sono le vulnerabilità, quanto costa proteggersi e come muovere i primi passi di remediazione nel 2026.
Panoramica in 20 secondi
Il primo errore che le PMI commettono è confondere la sicurezza con la consultazione generica. Un cybersecurity assessment non è una conversazione telefonica con un consulente che legge una checklist — è una ricognizione strutturata e replicabile dei rischi reali della tua infrastruttura. Per questa ragione, il mercato offre tre tipologie di assessment, ognuna con un perimetro, una durata e un investimento diverso. La scelta dipende da dove sei oggi e da quanto profondamente vuoi scavare nei tuoi sistemi. Se hai mai subito un attacco, anche piccolo, sai già che la prevenzione costa meno della crisi. La vulnerability assessment esterna è il punto di partenza più leggero: uno strumento automatizzato scansiona gli asset visibili da internet — indirizzi IP pubblici, domini, servizi esposti, porte aperte — e identifica le falle note. Non è un hacker che prova a entrare, è una radiografia della superficie di attacco. Il risultato arriva in uno o due giorni; il costo per una PMI da 50 a 200 dipendenti si aggira tra i 2 e i 5 mila euro. Molti direttori IT italiani cominciano da qui perché è veloce, non paralizza l'operatività, e spesso rivela sorprese spiacevoli — server non aggiornati, credenziali esposte in chiaro, configurazioni ereditate da anni fa che nessuno ricorda di aver impostato.
Il penetration test è il passo successivo, e qui la logica cambia completamente. Un hacker etico — una figura certificata, legale e controllata — tenta attivamente di compromettere i tuoi sistemi usando le stesse tecniche di un attaccante reale. Usa strumenti automatizzati, ma anche intelligenza manuale e social engineering. Se riesce a entrare, documenta il percorso e spiega cosa avrebbe potuto fare un criminale vero. Questo test può essere esterno (parte da internet), interno (parte da una workstation dentro la rete), oppure entrambi. La complessità aumenta significativamente: il tempo sale a 5-15 giorni, e il costo per una PMI media varia tra gli 8 e i 25 mila euro a seconda del numero di sistemi coinvolti, del livello di segmentazione della rete, e della profondità richiesta. Un'azienda manifatturiera con impianti connected avrà un penetration test più articolato rispetto a uno studio professionale con pochi server. Il valore reale del penetration test emerge nel momento in cui la relazione finale mostra non solo i buchi, ma anche il contesto: quale vulnerabilità è stata sfruttata per primo, quanto tempo avrebbe impiegato un attaccante a paralizzare il business, quali dati sarebbero stati esposti.
La security audit è il terzo percorso, meno visibile ma spesso ignorato: non è un test tecnico, è una revisione documentale e procedurale. Analizza policy di accesso, procedure di change management, configurazioni dei firewall e del directory Active Directory, controlli amministrativi, e conformità ai framework di riferimento. Una security audit risponde a domande diverse dal penetration test: le password sono gestite correttamente? I privilegi amministrativi sono assegnati solo quando necessario? I log sono mantenuti e monitorati? I collaboratori che se ne vanno perdono l'accesso il giorno della partenza? Per una PMI, questo tipo di assessment costa generalmente 5-12 mila euro e richiede 3-8 giorni. Spesso viene fatto in parallelo a un penetration test esterno per avere una visione a 360 gradi: scopri i buchi tecnici e contemporaneamente capisci se i processi che dovrebbero mitigare quei buchi esistono davvero o sono solo sulla carta.
Un assessment serio segue una sequenza. La prima fase è l'inventario, e non è noiosa burocrazia — è il fondamento di tutto. Mappi ogni asset rilevante: server fisici e virtuali, workstation, device mobili, applicazioni cloud (SaaS), banche dati, backup, sistemi di rete. Più importante ancora: identifichi dove vivono i dati critici (fatture, proprietà intellettuale, dati client, informazioni di pagamento) e chi ha accesso a questi asset. Questa mappatura spesso rivela cose che il tuo IT direttore non sapeva nemmeno di sapere — un server legacy rimasto acceso da anni, una conta email aziendale che usa una password condivisa, un file server senza log di accesso. L'inventario prende 2-3 giorni e costa zero aggiuntivo se lo fai dentro il team, oppure 1-2 mila euro se lo delega a chi valuta. La seconda fase è il threat modeling: dato quello che hai, quali sono le minacce realistiche per il tuo settore? Una fabbrica di componenti manifatturieri ha come principale incubo il ransomware che paralizza la produzione. Uno studio legale o un commercialista ha paura dell'exfiltration di dati sensibili — documenti clienti, pratiche, corrispondenza riservata. Una PMI nel turismo teme gli attacchi alla disponibilità dei servizi online. Questo non è uno studio teorico: è la domanda 'se io fossi un criminale, cosa attaccherei per fare il massimo danno?' Una volta che conosci le minacce prioritarie, puoi focalizzare il resto dell'assessment su quelle.
La terza fase è la valutazione dei controlli: confronti lo stato attuale con un framework riconosciuto. Nel 2026, le PMI italiane fanno riferimento principalmente a tre standard. Il NIST Cybersecurity Framework 2.0 (aggiornato a febbraio 2024) è lo schema più completo al mondo — suddivide la sicurezza in sei funzioni: Govern, Identify, Protect, Detect, Respond, Recover. La funzione Govern è la novità di questa versione e copre governance, risk management e strategia. I CIS Controls v8 sono 18 controlli pratici e prioritizzati che puoi implementare in sequenza — non devi farli tutti subito, cominci dai primi cinque e progressivamente aggiungi gli altri. L'ISO 27001:2022 è lo standard internazionale per la certificazione della gestione della sicurezza dell'informazione. In questa fase, farai una gap analysis: per ogni controllo rilevante, misuri il livello di maturità attuale (da 0 'non esiste' a 5 'maturo e automatizzato') e il gap rispetto allo standard. Il risultato è una matrice che ti mostra chiaramente dove sei forte e dove sei fragile. Per una PMI, questa fase dura 3-5 giorni.
La quarta fase è il test tecnico vero e proprio: vulnerability assessment, penetration test, phishing simulation, review manuale di configurazioni critiche (firewall, Active Directory, cloud). Se scopri che il tuo dominio aziendale accetta email da chiunque e che nessuno controlla se un allegato è veramente quello che sembra, scoprirai durante un phishing test simulato che il 40-60% dei dipendenti apre link malevoli. Questi dati sono scioccanti la prima volta, ma salvano vite aziendali. Questa fase occupa 5-10 giorni e produce il volume maggiore di finding. La quinta fase è il report finale: i finding sono classificati per severità (critica, alta, media, bassa), ogni finding spiega il rischio in termini di business (non solo tecnico), e per ognuno viene proposto un remediation plan con priorità, effort stimato, costo, e timeline. Un finding critico richiede azione entro 30 giorni. Un finding alto entro 90 giorni. I medi e i bassi vengono raggruppati in un piano semestrale o annuale. Tempi totali da inizio a fine: 5-20 giorni. Costo totale per una PMI da 50-200 dipendenti con infrastruttura media: 10-40 mila euro, a seconda della profondità e del numero di siti/sedi coinvolti.
Due framework aggiornati che strutturano l'assessment in modo scientifico. NIST 2.0 copre sei funzioni strategiche inclusa la governance; ISO 27001:2022 standardizza i processi per la certificazione internazionale. Entrambi danno credibilità ai risultati e facilitano l'implementazione progressiva dei controlli.
Un hacker etico tenta di compromettere i sistemi partendo da internet (test esterno) e da una postazione interna (test interno). Simula scenari reali: cosa farebbe un attaccante vero se riuscisse a bypassare il firewall? I risultati sono documentati con proof-of-concept tangibili, non solo teorie.
Una delle fasi più rivealtrici: invii email malevole simulate ai dipendenti e misuri quanti cadono nella trappola. Poi offri formazione immediata ai colpiti. Spesso emerge che il 50% dei compromessi inizia con un email aperto da un utente innocente, non da un'exploit tecnica.
Italy Soft supporta le PMI italiane nella esecuzione di cybersecurity assessment strutturati, dalla vulnerability assessment alla penetration test completa. Ogni assessment produce un remediation plan con priorità, stime di effort e roadmap di implementazione chiara, non solo una lista di problemi.
Italy Soft
In 30 minuti di audit gratuito analizziamo i tuoi processi e calcoliamo il ROI concreto. Nessun impegno.