Pentest automatizzati vs. pentest manuali: un’analisi onesta

Scritto da ExposIQ | Marzo 3, 2026

Strumenti come Pentera, Horizon3.ai NodeZero o RidgeBot promettono penetration test completamente automatizzati — 24 ore su 24, senza intervento umano. Ma mantengono questa promessa? E cosa significa per le PMI svizzere che non hanno né il budget di una grande azienda né un team di sicurezza dedicato?

Un’analisi onesta, basata sulla pratica e sui fatti.

Cosa fanno realmente gli strumenti di pentest automatizzati

Partiamo dagli aspetti positivi — e non sono pochi. L’attuale generazione di piattaforme di pentest automatizzato è impressionante:

  • Pentera simula catene di attacco reali sulla vostra infrastruttura interna — dalla vulnerabilità iniziale al movimento laterale. Lo strumento non verifica solo se una vulnerabilità esiste, ma se è effettivamente sfruttabile.
  • Horizon3.ai NodeZero agisce come pentester autonomo: scansiona la vostra rete, identifica i percorsi di attacco e tenta attivamente di accedere ai sistemi critici. Nell’ambito del programma NSA CAPT, NodeZero ha scoperto oltre 50’000 vulnerabilità presso 1’000 fornitori della difesa statunitense — raggiungendo la compromissione del dominio in soli 77 secondi.
  • RidgeBot combina la scansione automatizzata con la pianificazione degli attacchi assistita dall’IA e fornisce exploit verificati con impatto documentato.

Questi strumenti individuano in modo affidabile le vulnerabilità note (CVE), testano le password predefinite, identificano le configurazioni errate e scoprono i tipici percorsi di attacco. E lo fanno in modo rapido, riproducibile e coerente — un tester umano ha giorni buoni e cattivi, uno strumento automatizzato no.

Dove l’automazione supera l’uomo

In alcuni ambiti, gli strumenti automatizzati sono effettivamente migliori dei pentester manuali:

  • Velocità e copertura: Uno strumento automatizzato può testare migliaia di host e servizi in poche ore. Un tester umano ne copre solo una frazione nello stesso tempo.
  • Coerenza: Ogni test segue la stessa metodologia. Nessuna vulnerabilità viene trascurata perché il tester era stanco o sotto pressione.
  • Frequenza: I test automatizzati possono essere eseguiti settimanalmente o addirittura quotidianamente. Un pentest manuale viene effettuato tipicamente una o due volte all’anno — troppo raramente in un mondo in cui nuove CVE vengono pubblicate ogni giorno.

Per il rilevamento di vulnerabilità note, configurazioni errate standard e password deboli, questi strumenti sono almeno alla pari con un pentest manuale medio — spesso superiori.

Dove si trovano i limiti

Ma ogni analisi onesta deve anche affrontare i limiti. E sono reali:

  • Vulnerabilità della logica di business: Gli strumenti automatizzati non comprendono i vostri processi aziendali. Un tester manuale nota che manipolando un processo d’ordine si possono acquistare prodotti a prezzi negativi. Uno strumento automatizzato vede solo richieste HTTP. Un esempio noto: un’azienda statunitense ha fatto eseguire 16 pentest automatizzati da 7 fornitori diversi — tutti hanno mancato una vulnerabilità critica con oltre 100 milioni di dollari di danni potenziali. Un Red Team manuale l’ha trovata.
  • Catene di attacco complesse: I migliori pentester combinano in modo creativo vettori sociali, tecnici e fisici. Uno strumento automatizzato non può scrivere un’e-mail di phishing adattata alla struttura specifica della vostra organizzazione.
  • Scoperta di zero-day: Gli strumenti automatizzati testano contro vulnerabilità note. Non trovano falle sconosciute in applicazioni personalizzate — per questo serve il pensiero creativo umano.
  • Comprensione del contesto: Un tester esperto sa quali risultati sono veramente critici nel vostro ambiente specifico e quali sono teorici ma praticamente irrilevanti. Gli strumenti danno priorità secondo punteggi generici.

La questione dei costi: strumenti Enterprise per budget PMI?

Qui la situazione si fa concreta per le PMI svizzere — e deludente. Queste piattaforme di pentest automatizzato sono prodotti Enterprise con prezzi Enterprise:

  • Pentera parte da circa USD 35’000 all’anno. Le licenze Enterprise tipiche si aggirano sui USD 120’000 e oltre annui.
  • Horizon3.ai NodeZero non pubblica i prezzi e lavora con preventivi personalizzati. Il posizionamento si rivolge chiaramente a organizzazioni più grandi.
  • RidgeBot è disponibile a partire da circa USD 500-1’000, ma con un perimetro molto limitato (ad es. una singola web app o 20 IP).

Per confronto: un pentest manuale annuale per una PMI costa tipicamente CHF 8’000-20’000 a seconda del perimetro. Uno scanner di vulnerabilità come Nessus, OpenVAS o Qualys costa CHF 2’000-5’000 all’anno. Per una PMI con 20-100 collaboratori, una licenza Pentera è semplicemente oltre qualsiasi budget realistico — e anche se il budget ci fosse, resta la domanda se il valore aggiunto rispetto a un buon scanner di vulnerabilità combinato con un pentest manuale mirato giustifichi il prezzo.

La prospettiva svizzera: residenza dei dati e nLPD

Per le aziende svizzere, c’è una dimensione aggiuntiva raramente discussa: Dove finiscono i vostri dati di scansione?

Gli strumenti di pentest automatizzati raccolgono informazioni altamente sensibili: topologie di rete, vulnerabilità, password, dettagli di configurazione. Questi dati sono oro per un attaccante.

  • Pentera Core viene installato come appliance on-premises (VM) nella vostra rete — i test vengono eseguiti localmente. Tuttavia, è opportuno verificare prima dell’installazione se e quali dati vengono trasmessi all’infrastruttura cloud di Pentera per la gestione delle licenze o gli aggiornamenti.
  • Horizon3.ai NodeZero è una piattaforma SaaS. Un container Docker viene eseguito localmente, ma l’orchestrazione avviene tramite l’infrastruttura cloud di Horizon3 negli USA. Secondo il produttore, vengono trasmessi solo metadati (non il contenuto dei file) e cancellati dopo 5 giorni — ma informazioni sull’infrastruttura transitano comunque attraverso un cloud statunitense.
  • RidgeBot offre sia il deployment cloud che on-premises.

Secondo la nuova Legge federale sulla protezione dei dati (nLPD), le soluzioni cloud richiedono di garantire un livello adeguato di protezione dei dati. Per i dati di scansione di sicurezza — che di fatto costituiscono una mappa delle vulnerabilità della vostra organizzazione — è necessaria particolare cautela.

Cosa ha realmente senso per le PMI

Gli strumenti di pentest automatizzati possono sostituire i pentest manuali? Tecnicamente sì, in molti ambiti. In pratica, il budget lo rende irrealistico per la maggior parte delle PMI.

L’approccio pragmatico per le PMI svizzere si differenzia quindi dalle promesse marketing dei vendor Enterprise:

  1. La scansione regolare delle vulnerabilità come fondamento: Uno scanner di vulnerabilità (Nessus, OpenVAS, Qualys o equivalente) per CHF 2’000-5’000 all’anno copre la maggior parte delle vulnerabilità note, configurazioni errate e software obsoleti. Scansioni settimanali o mensili offrono la visibilità continua che un pentest annuale da solo non può garantire.
  2. Un pentest manuale mirato all’anno: Una volta all’anno, incaricare un pentester esperto di testare le vostre applicazioni web, la logica di business e l’infrastruttura specifica. Questo copre ciò che nessuno strumento automatizzato può fare — e fornisce le prove di conformità richieste dai revisori e dalla nLPD.
  3. Le piattaforme di pentest Enterprise solo dove budget e complessità lo giustificano: Strumenti come Pentera o NodeZero hanno senso per organizzazioni con reti ampie e complesse e un budget di sicurezza corrispondente. Per una PMI con 50 postazioni di lavoro, sono sovradimensionati nella maggior parte dei casi.

Conclusione: pragmatismo invece di dogmatismo

La domanda «automatizzato o manuale» è la domanda sbagliata. La domanda giusta è: di cosa ha bisogno la vostra organizzazione per ridurre il proprio rischio specifico a un livello accettabile — nei limiti di un budget realistico?

Per la maggior parte delle PMI svizzere, la risposta è chiara: scansione regolare delle vulnerabilità come base, integrata da un pentest manuale annuale. È immediatamente attuabile, conveniente e copre sia il monitoraggio continuo che l’analisi approfondita. Le piattaforme di pentest automatizzato sono strumenti impressionanti — ma per la maggior parte delle PMI, semplicemente sovradimensionati e troppo costosi.

Perché alla fine, il pentest più pericoloso è quello che non si fa mai — che sia automatizzato o manuale.

ExposIQ è la piattaforma svizzera per la gestione automatizzata delle vulnerabilità. Aiutiamo le PMI e i fornitori di servizi IT a identificare e correggere le vulnerabilità – in modo sicuro, comprensibile e conforme alla nLPD.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Azienda

Chi siamo Contatto Blog
 Informativa sulla privacy Termini di utilizzo

Newsletter

Copyright © ExposIQ Svizzera 2026. Tutti i diritti riservati.