Come scegliere un’azienda di penetration testing (guida all’acquisto 2026)
La maggior parte dei report di pentest che ci chiedono di esaminare sono scansioni automatizzate in un bel PDF. Ecco come scegliere un’azienda di penetration testing che testa davvero.

Tempo fa un potenziale cliente ci ha inoltrato il report di pentest di un concorrente e ci ha fatto una sola domanda: vale qualcosa? Erano 60 pagine, con tanto di brand, sicure di sé. Era anche una scansione Nessus a cui era stato semplicemente cambiato il nome dello strumento. Nessun test manuale. Nessuna logica di business. Nessuna prova che qualcuno fosse davvero entrato da qualche parte. Solo punteggi CVSS e una valutazione “media” per un header di sicurezza HTTP mancante.
Quel report, o un suo stretto parente, lo vediamo di continuo. E va al cuore di come scegliere un’azienda di penetration testing, perché il deliverable ha un aspetto quasi identico sia che un tester senior abbia passato due settimane dentro la tua applicazione, sia che uno script sia girato durante la notte. Anche la fattura può somigliarsi. Questa guida serve a leggere oltre la copertina e a distinguere il test vero dal “scan-and-dump”.
Facciamo engagement offensivi di mestiere. Sappiamo quanto costa realizzarne uno buono e sappiamo esattamente dove si taglia quando costa poco. Ecco cosa verificheremmo se fossimo seduti dalla tua parte del tavolo.
Punti chiave
- Giudica il tester, non il logo. Chiedi chi seguirà il tuo engagement, i suoi anni di esperienza in sicurezza offensiva e le sue certificazioni (OSCP, OSWE, CREST, GPEN) – non il marketing del fornitore.
- Pretendi una metodologia allineata a uno standard pubblico (OWASP WSTG, OWASP ASVS, PTES) e un report di esempio oscurato che puoi leggere prima di firmare.
- Il retest dopo le tue correzioni dovrebbe essere incluso, non un extra a pagamento. Un pentest senza retest di validazione è mezzo servizio.
- Il campanello d’allarme più chiaro: un prezzo fisso basso, una consegna in 24 ore e nessuna call di scoping. È una scansione automatizzata vestita elegante.
- Il rischio vero vive nel test manuale della logica di business e del controllo degli accessi. Gli scanner ne mancano quasi la totalità.
Cosa vende davvero un’azienda di penetration testing?
Un penetration test è un attacco circoscritto nel tempo e orientato agli obiettivi sui tuoi sistemi, condotto da una persona che cerca di entrare come farebbe un vero avversario. È tutto qui il punto. Una persona ragiona sulla tua applicazione specifica, concatena piccoli problemi fino a una violazione reale e dimostra l’impatto. Una scansione di vulnerabilità alimenta questo lavoro, ma da sola non è un penetration test.
Questo conta, perché entrambi vengono venduti sotto la stessa parola con qualità radicalmente diverse. Quindi, quando stai ragionando su come scegliere un’azienda di penetration testing, in realtà stai ragionando su una sola cosa: sto comprando competenza umana o automazione con un ricarico? Abbiamo approfondito questa differenza in un articolo dedicato su penetration testing contro scansione di vulnerabilità, ma la versione breve è semplice. Gli scanner trovano firme note. I tester trovano la logica.
Ecco la parte scomoda. I finding che davvero portano alla compromissione delle aziende – controllo degli accessi non funzionante, IDOR, bypass dell’autenticazione, SSRF che pivota verso i metadati del cloud, abuso della logica di business in un flusso di checkout o di trasferimento fondi – non vengono quasi mai portati alla luce da uno strumento. OWASP classifica il Broken Access Control come il rischio web numero uno e, nei nostri engagement, i difetti di controllo degli accessi e di logica sono costantemente tra i più gravi che segnaliamo. Nessuno scanner percorre il tuo workflow a più passaggi e si accorge che una richiesta come GET /api/v2/accounts/1043/statements restituisce tranquillamente l’account 1044 quando cambi una sola cifra. Una persona sì.
Cosa dovresti cercare in un’azienda di penetration testing?
Quattro cose: le persone, il metodo, il deliverable e ciò che accade dopo le correzioni. Il resto è confezione.
Tester senior, con nome e credenziali
Chiedi in modo diretto. Chi seguirà il mio engagement? Quanti anni ha dedicato al lavoro offensivo? Cosa ha pubblicato, presentato o segnalato? Un buon fornitore risponde senza esitare. Le certificazioni sono un indicatore ragionevole di competenza pratica – OSCP e OSWE di Offensive Security, CREST CRT e CCT, GPEN e GXPN ti obbligano a sfruttare davvero i sistemi invece di spuntare caselle a risposta multipla. Una precisazione che ripeteremo: le certificazioni sono un pavimento, non un soffitto. Un tester con una parete piena di badge ma senza istinto per le falle logiche ti consegnerà comunque un dump dello scanner.
Attento al “bait-and-switch”. Un consulente senior impeccabile vende il lavoro, poi un junior con uno scanner lo esegue. Metti per iscritto il nome del tester assegnato.
Una metodologia che puoi confrontare con uno standard
Un fornitore credibile allinea il proprio lavoro a qualcosa di pubblico. Per le applicazioni web questo significa la OWASP Web Security Testing Guide (WSTG) e OWASP ASVS per la profondità della copertura, e PTES per la forma complessiva dell’engagement. Se un fornitore non sa dirti quali categorie copre, né come testa autenticazione, gestione delle sessioni, controllo degli accessi, injection e logica di business, è un problema che senti già alla prima call.
Chiedi quale parte del test è manuale. In un engagement web, la passata automatizzata – una scansione attiva con Burp Suite, qualche template nuclei, ffuf per il content discovery – è forse il primo giorno. Il valore arriva dopo. È allora che una persona manomette i JWT, testa ogni riferimento a oggetto in cerca di IDOR e abusa dell’unico workflow che gli sviluppatori davano per scontato nessuno avrebbe mai toccato.
Un report di esempio su cui agiresti davvero
Pretendi un esempio oscurato prima di comprare. Leggilo da ingegnere, non da acquirente. Un buon finding ha un titolo chiaro, l’impatto sul business in parole semplici, passi di riproduzione esatti (la richiesta, il parametro, il payload), evidenze, una severità che puoi difendere e una correzione precisa. Non “cross-site scripting rilevato – da correggere.”
Se l’esempio è un export dello scanner con un logo nuovo, hai la tua risposta. La prova: i tuoi sviluppatori dovrebbero riuscire a riprodurre e correggere un finding solo dal report, senza una call di follow-up per tradurlo.
Retest incluso, non venduto a parte
Questo punto separa in fretta le aziende serie. Dopo che hai posto rimedio, qualcuno deve verificare che le correzioni funzionino davvero e non abbiano aperto nuovi buchi. Quel retest fa parte dell’engagement, non di una fattura successiva. Lo trattiamo come parte del lavoro, perché un pentest che si ferma a “ecco i bug” ti lascia a indovinare se sei al sicuro. Un retest pulito è anche, guarda caso, esattamente ciò che i tuoi auditor e i tuoi clienti enterprise vogliono vedere.
Quali sono i campanelli d’allarme nella scelta di un fornitore di pentest?
Il più fragoroso: un prezzo fisso sospettosamente basso, una consegna in 24-48 ore e nessuna conversazione di scoping. Un test vero non può essere quotato con precisione senza capire il tuo perimetro – quante applicazioni, quanti ruoli, quanti endpoint API, se è autenticato, quali sono i tuoi obiettivi. Un’azienda che quota prima di chiedere sta quotando una scansione.
Qualche altro in cui ci imbattiamo di continuo:
- “Usiamo test basati sull’IA” come unico argomento di vendita. L’automazione aiuta anche noi. Ma se l’elemento distintivo è uno strumento invece delle persone che lo guidano, stai comprando lo strumento.
- Nessuna prova di sfruttamento. “Potenzialmente vulnerabile” più un punteggio CVSS e senza riproduzione è un’ipotesi dello scanner. I finding veri mostrano la richiesta e il risultato.
- Report e fuga. Un buon engagement finisce con una call in cui i tester accompagnano i tuoi ingegneri tra i finding critici e rispondono alle domande scomode.
- Tutto è critico, oppure tutto è informativo. Una severità mal calibrata significa che nessuno ha ragionato sul tuo rischio reale. Diffida anche dei report gonfiati con finding informativi di scarso valore per sembrare corposi.
- Schivano la domanda “chi testa”. Se non vogliono fare il nome del tester o delle certificazioni, dai per scontato che la risposta non ti piacerebbe.
Quali domande dovresti fare a un’azienda di penetration testing?
Portale con te alla call commerciale. Le risposte ti dicono più di qualsiasi brochure.
- Chi, nello specifico, testerà i miei sistemi, e qual è il suo percorso in sicurezza offensiva e le sue certificazioni?
- Quale percentuale di questo engagement è manuale rispetto all’automatizzato, e quale standard (OWASP WSTG, PTES, ASVS) seguite?
- Posso vedere un report di esempio oscurato prima di firmare?
- Un retest di validazione dopo la remediation è incluso in questo prezzo?
- Come gestite nello specifico il test della logica di business e del controllo degli accessi?
- Cosa vi serve da me per definire con precisione il perimetro, e come si presenta la tempistica?
- Ci sarà un debrief dal vivo con il mio team di ingegneria?
Risposte precise, sicure e coerenti sono un buon segno. Quelle vaghe, o ogni domanda che riporta a un listino prezzi, sono il tuo segnale per continuare a cercare.
Come lo affronta CyberXplore
Abbiamo costruito il nostro servizio di penetration testing di applicazioni web attorno a ciò che gli acquirenti dovrebbero pretendere: tester senior con nome, una metodologia allineata a OWASP WSTG e ASVS, report su cui i tuoi sviluppatori possono agire senza un traduttore, e un retest gratuito dopo che hai posto rimedio. Ogni finding critico viene consegnato con la richiesta esatta, il payload e i passi di riproduzione, più un debrief dal vivo con il tuo team. Preferiamo spiegare un bug fin troppo piuttosto che consegnarti un numero CVSS e andarcene. Se vuoi un preventivo onesto e su misura per il tuo ambiente, richiedi un preventivo e partiremo da una conversazione di scoping, non da un cartellino del prezzo.
FAQ
Quanto dovrebbe costare un penetration test?
Dipende dal perimetro e dalla profondità, quindi tratta con sospetto qualsiasi prezzo fisso comunicato senza una call di scoping. Una singola piccola applicazione web è un lavoro molto diverso da una grande piattaforma autenticata con decine di endpoint API e diversi ruoli. La domanda giusta non è “qual è il più economico” ma “cosa ottengo in cambio” – test manuale, un report vero e un retest, oppure una scansione in un PDF.
Quali certificazioni dovrebbe avere un penetration tester?
OSCP e OSWE di Offensive Security, CREST CRT o CCT, e GPEN o GXPN sono tutti segnali solidi, perché richiedono ai candidati di sfruttare davvero i sistemi invece di memorizzare la teoria. Considera le certificazioni un requisito minimo, non una prova di eccellenza. Anni di reale esperienza sul campo e fiuto per le falle nella logica di business contano altrettanto.
Un penetration test è la stessa cosa di una scansione di vulnerabilità?
No. Una scansione di vulnerabilità è un controllo automatizzato di problemi noti e configurazioni errate. Un penetration test è una persona che tenta attivamente di entrare, concatenando i finding e dimostrando un impatto reale. Un buon pentest usa la scansione come uno dei primi input, poi dedica la maggior parte del tempo al lavoro manuale che gli strumenti non possono fare, come il test del controllo degli accessi e della logica.
Quanto dura un penetration test?
La maggior parte degli engagement mirati su applicazioni web richiede da una a tre settimane di test attivo, più la reportistica, a seconda del perimetro. Una consegna in giornata significa quasi sempre una scansione automatizzata e non un test manuale. Lascia spazio per un retest dopo che il tuo team ha corretto i finding.
Il retest dovrebbe essere incluso nel prezzo?
Sì. Dopo che hai posto rimedio, un tester dovrebbe verificare che le correzioni abbiano davvero chiuso i problemi e non ne abbiano aperti di nuovi. Se un fornitore fattura a parte quel retest di validazione, sommalo al costo totale e chiediti se il primo engagement sia mai stato davvero completo senza di esso.
Qual è il singolo campanello d’allarme più grande?
Un prezzo fisso basso con consegna rapida e nessuna conversazione di scoping. Un test accurato non può essere quotato senza capire le tue applicazioni, i tuoi ruoli e i tuoi obiettivi. Un preventivo che arriva prima che qualcuno abbia fatto una domanda vera riguarda quasi certamente una scansione automatizzata, non un penetration test.



