Immagina che un sabato sera, mentre sei a cena fuori con la famiglia, il tuo telefono vibri. È una notifica dalla banca aziendale: bonifico in uscita di 47.000 euro verso un conto che non hai mai sentito nominare. Chiami la banca, ma il call center è chiuso fino a lunedì. Chiami il tuo tecnico informatico, che dopo un’ora di indagini ti comunica la notizia peggiore: qualcuno è entrato nei sistemi aziendali, probabilmente settimane fa, e ha avuto tutto il tempo di studiare i processi interni prima di colpire. Questo scenario non è fantascienza — è esattamente quello che è successo a un’azienda manifatturiera di Latina nel 2024.
L’analisi delle vulnerabilità, o vulnerability assessment, è lo strumento che avrebbe potuto prevenire tutto questo. Eppure, per la maggior parte delle PMI italiane, resta un concetto nebuloso, qualcosa “da grandi aziende” o “da film di hacker”. Niente di più sbagliato.
Cos’è un vulnerability assessment e cosa non è
Chiariamo subito un equivoco diffuso. Un vulnerability assessment non è un penetration test, anche se i due termini vengono spesso usati come sinonimi. Sono cose diverse, complementari ma distinte.
Il vulnerability assessment è una scansione sistematica dell’infrastruttura IT — reti, server, applicazioni, dispositivi — alla ricerca di vulnerabilità note. Utilizza strumenti automatizzati che confrontano la configurazione dei tuoi sistemi con database di vulnerabilità conosciute (come il CVE — Common Vulnerabilities and Exposures). Il risultato è un report che elenca le falle trovate, classificate per gravità, con indicazioni su come correggerle.
Il penetration test, invece, va oltre: un esperto di sicurezza (ethical hacker) cerca attivamente di sfruttare le vulnerabilità trovate per verificare se è effettivamente possibile violare i sistemi. È più invasivo, più costoso e più approfondito. Per la maggior parte delle PMI, un vulnerability assessment regolare è più che sufficiente come punto di partenza.
Perché ogni azienda dovrebbe farlo almeno una volta all’anno
I numeri della cybersicurezza in Italia sono allarmanti. Il Rapporto Clusit 2025 ha evidenziato un aumento del 65% degli attacchi informatici gravi in Italia rispetto al 2022. E non stiamo parlando solo di grandi aziende: le PMI sono diventate il bersaglio preferito dei cybercriminali, proprio perché tendono a investire meno in sicurezza.
Ogni giorno vengono scoperte nuove vulnerabilità nel software che utilizziamo quotidianamente. Windows, Linux, Apache, MySQL, WordPress, il tuo gestionale, la tua stampante di rete — tutto può contenere falle di sicurezza. Alcune sono banali, altre permettono a un attaccante di prendere il controllo completo del sistema da remoto. Senza una scansione periodica, non hai modo di sapere se la tua azienda è esposta.
Pensa al vulnerability assessment come alla revisione dell’auto. Non la fai perché pensi che l’auto sia rotta — la fai per verificare che tutto sia in ordine e intervenire prima che qualcosa vada storto.
Come si svolge un vulnerability assessment: passo dopo passo
Un assessment professionale si articola tipicamente in diverse fasi ben definite:
Fase 1 — Ricognizione e inventario
Prima di cercare vulnerabilità, bisogna sapere cosa c’è da proteggere. Si parte con un inventario completo dell’infrastruttura: quanti server ci sono, quali sistemi operativi usano, quali servizi espongono, quanti dispositivi di rete sono presenti, quali applicazioni web sono accessibili dall’esterno. Molte aziende restano sorprese da questa fase — scoprono server dimenticati, servizi attivi che nessuno usa più, dispositivi collegati alla rete di cui avevano perso traccia.
Fase 2 — Scansione automatizzata
Si utilizzano strumenti professionali come Nessus, OpenVAS, Qualys o Rapid7 per effettuare una scansione approfondita di tutti gli asset identificati. Lo scanner verifica migliaia di potenziali vulnerabilità: porte aperte non necessarie, software non aggiornato, configurazioni errate, protocolli obsoleti, credenziali deboli e molto altro.
La scansione può essere di due tipi:
- Esterna: simula la prospettiva di un attaccante che tenta di violare i sistemi dall’esterno, attraverso Internet. Verifica firewall, servizi esposti, applicazioni web.
- Interna: simula un attaccante che ha già accesso alla rete aziendale (un dipendente malintenzionato, un ospite connesso al Wi-Fi, un device compromesso). Spesso rivela molte più vulnerabilità della scansione esterna.
Fase 3 — Analisi e classificazione
I risultati grezzi di una scansione automatizzata contengono sempre falsi positivi e vanno interpretati da un esperto. Ogni vulnerabilità viene verificata, classificata secondo il sistema CVSS (Common Vulnerability Scoring System) e contestualizzata rispetto all’ambiente specifico dell’azienda.
Una vulnerabilità critica su un server esposto su Internet è molto più urgente della stessa vulnerabilità su un PC in una rete isolata. La classificazione tiene conto non solo della gravità tecnica, ma anche dell’impatto potenziale sul business.
Fase 4 — Report e piano di remediation
Il risultato finale è un documento dettagliato che include:
- Un riepilogo esecutivo (executive summary) per il management, scritto in linguaggio non tecnico
- L’elenco completo delle vulnerabilità trovate, ordinate per gravità
- Per ogni vulnerabilità: descrizione, rischio associato, e indicazioni concrete su come risolverla
- Un piano di remediation prioritizzato: cosa correggere subito, cosa può aspettare
Le vulnerabilità più comuni nelle PMI italiane
Dopo anni di attività in questo campo, possiamo dire che certi pattern si ripetono con una frequenza impressionante. Le vulnerabilità che troviamo più spesso nelle PMI italiane sono:
Software non aggiornato. È il classico dei classici. Server con Windows Server 2012 senza patch da anni, applicazioni web che girano su versioni di PHP obsolete, CMS come WordPress o Joomla mai aggiornati. Ogni software non aggiornato è potenzialmente una porta aperta per gli attaccanti.
Password deboli o riutilizzate. “admin/admin”, “password123”, il nome dell’azienda seguito dall’anno corrente. Le varianti sono infinite, ma il risultato è lo stesso: accesso garantito per chiunque ci provi. E non parliamo solo degli utenti — spesso sono le password di amministrazione dei dispositivi di rete, dei database, delle console di gestione a essere imbarazzantemente semplici.
Servizi esposti inutilmente. Porte RDP (Desktop Remoto) aperte su Internet senza protezione, pannelli di amministrazione accessibili a tutti, condivisioni di rete senza autenticazione. Ogni servizio esposto è una superficie di attacco. Se non serve dall’esterno, non deve essere raggiungibile dall’esterno. Punto.
Configurazioni di default. Stampanti, router, access point Wi-Fi, NAS, telecamere IP: tutti questi dispositivi escono dalla fabbrica con credenziali e configurazioni predefinite. Se nessuno le cambia, diventano punti di ingresso facilissimi da sfruttare.
Vulnerability assessment e compliance normativa
Oltre all’aspetto pratico di sicurezza, il vulnerability assessment risponde anche a requisiti normativi. Il GDPR, come abbiamo visto, richiede misure di sicurezza “adeguate al rischio”. Come fai a sapere qual è il rischio se non lo misuri? L’assessment è esattamente questo: una misurazione oggettiva del livello di rischio della tua infrastruttura.
Per le aziende soggette alla direttiva NIS2 (che dal 2024 riguarda molti più settori rispetto alla precedente NIS), le valutazioni periodiche delle vulnerabilità sono un requisito esplicito. E anche per chi non è direttamente soggetto a NIS2, avere documentazione che dimostri un approccio sistematico alla sicurezza è un elemento di tutela importante in caso di incidenti.
Quanto costa un vulnerability assessment?
La risposta, come spesso accade nell’IT, è “dipende”. Dipende dalla dimensione dell’infrastruttura, dal numero di IP da scansionare, dalla complessità della rete e dal livello di approfondimento richiesto. Per una PMI con una rete di 20-50 dispositivi, un singolo server e un sito web, i costi partono da poche centinaia di euro. Confrontalo con il costo medio di un incidente informatico — che secondo IBM nel 2024 è stato di 4,88 milioni di dollari a livello globale — e capisci perché è un investimento che si ripaga da solo.
Proteggi la tua azienda: inizia dall’analisi
Non puoi difendere ciò che non conosci. Il vulnerability assessment è il primo passo — indispensabile e non rimandabile — per costruire una strategia di sicurezza informatica efficace. Ti dice dove sei vulnerabile, quanto sei vulnerabile e cosa devi fare per proteggerti.
Auxilia Sistemi effettua vulnerability assessment professionali per PMI e studi professionali nella zona di Roma e in tutta Italia. Utilizziamo strumenti enterprise-grade, analizziamo i risultati con competenza e ti consegniamo un report chiaro con un piano d’azione concreto — niente paroloni inutili, solo indicazioni pratiche.
Chiama il 06 2170 1593 o vai alla pagina contatti per richiedere un preventivo personalizzato. La prima cosa da fare per mettere in sicurezza la tua azienda è capire dove sono le falle. Noi ti aiutiamo a trovarle — e a chiuderle.
