Ogni azienda connessa a Internet ha delle vulnerabilità. La domanda non è "se" esistono, ma quante sono, quanto sono gravi e come correggerle prima che un attaccante le sfrutti. Il Vulnerability Assessment (VA) è il processo sistematico che risponde a queste domande. In questa guida completa spieghiamo cos'è, come si svolge, quanto costa e perché nel 2026 è diventato indispensabile per ogni PMI italiana.
Indice dei Contenuti
- 1. Cos'è un Vulnerability Assessment
- 2. Differenza tra VA e Penetration Test
- 3. Le 5 Fasi di un VA Professionale
- 4. Strumenti Utilizzati nel VA
- 5. VA Interno vs Esterno
- 6. Frequenza Raccomandata
- 7. VA e Compliance: NIS2, GDPR, ISO 27001
- 8. Quanto Costa un VA per una PMI
- 9. Checklist: Quando Serve un VA
- 10. Domande Frequenti
Cos'è un Vulnerability Assessment
Un Vulnerability Assessment (letteralmente "valutazione delle vulnerabilità") è un'analisi sistematica e metodica della sicurezza di un'infrastruttura IT. L'obiettivo è identificare, classificare e prioritizzare tutte le debolezze di sicurezza presenti nei sistemi, nelle reti, nei server, nelle applicazioni web e negli endpoint di un'organizzazione.
A differenza di un semplice scan antivirus, il VA esamina l'intera superficie di attacco dell'azienda: porte aperte, servizi esposti, software non aggiornato, configurazioni errate, credenziali deboli, certificati scaduti e molto altro. Il risultato è un report dettagliato che classifica ogni vulnerabilità trovata per gravità (critica, alta, media, bassa) secondo lo standard CVSS (Common Vulnerability Scoring System), con raccomandazioni specifiche per la correzione.
Cosa trova un Vulnerability Assessment:
Software con patch mancanti (CVE note)
Porte di rete aperte e non necessarie
Configurazioni errate di server e firewall
Protocolli obsoleti (SSL 3.0, TLS 1.0, SMBv1)
Credenziali di default non modificate
Certificati SSL/TLS scaduti o deboli
Servizi esposti su Internet senza protezione
Vulnerabilità delle applicazioni web (SQL injection, XSS)
Account con privilegi eccessivi
Configurazioni DNS e email non sicure
In sostanza, il VA fornisce una "fotografia" dello stato di sicurezza della tua azienda in un dato momento. È il primo passo fondamentale per qualsiasi strategia di cybersecurity aziendale: non puoi proteggere ciò che non conosci.
Differenza tra Vulnerability Assessment e Penetration Test
La confusione tra Vulnerability Assessment e Penetration Test è molto comune, anche tra i professionisti IT. Sebbene entrambi servano a valutare la sicurezza, hanno obiettivi, metodologie e risultati profondamente diversi.
| Caratteristica | Vulnerability Assessment | Penetration Test |
|---|---|---|
| Obiettivo | Identificare TUTTE le vulnerabilità | Sfruttare le vulnerabilità critiche |
| Approccio | Ampio e sistematico | Profondo e mirato |
| Automazione | Prevalentemente automatizzato | Prevalentemente manuale |
| Sfruttamento | No — solo identificazione | Sì — simula un attacco reale |
| Copertura | 100% della superficie di attacco | Focus sugli asset più critici |
| Rischio operativo | Basso (non invasivo) | Medio (può causare disservizi) |
| Durata | 1-3 giorni | 5-15 giorni |
| Costo PMI | €2.000-8.000 | €5.000-25.000 |
| Frequenza | Trimestrale/semestrale | Annuale |
| Output | Lista completa vulnerabilità + priorità | Report con prove di compromissione |
L'analogia più efficace: il Vulnerability Assessment è come un controllo medico completo che analizza tutti i parametri del sangue, pressione, ECG. Il Penetration Test è come un test da sforzo: verifica cosa succede quando il corpo (il sistema) viene messo sotto stress reale. Servono entrambi, ma il check-up generale (VA) va fatto prima e più spesso.
Per una PMI italiana, la strategia ideale è: VA trimestrale o semestrale come baseline continua + Penetration Test annuale per verificare la resilienza reale. Approfondisci il tema nella nostra guida al Penetration Test aziendale.
Le 5 Fasi di un Vulnerability Assessment Professionale
Un VA professionale segue una metodologia strutturata in 5 fasi. Ogni fase è fondamentale: saltarne una compromette l'efficacia dell'intero processo.
Discovery — Mappatura dell’infrastruttura
Prima di cercare vulnerabilità bisogna sapere cosa proteggere. In questa fase si mappa l’intera infrastruttura: indirizzi IP, server, workstation, dispositivi di rete, applicazioni web, servizi cloud, dispositivi IoT. Si identifica il perimetro (cosa è esposto su Internet vs cosa è solo interno) e si documenta ogni asset con sistema operativo, versione software e ruolo aziendale. Molte aziende scoprono già in questa fase dispositivi dimenticati o servizi esposti di cui non erano a conoscenza.
Scanning — Scansione delle vulnerabilità
Con il perimetro definito, si eseguono le scansioni automatizzate con strumenti professionali (Nessus, Qualys, OpenVAS). Gli scanner confrontano ogni servizio, porta e software trovato con database di vulnerabilità note (CVE — Common Vulnerabilities and Exposures) e verificano le configurazioni contro le best practice di sicurezza. La scansione può essere autenticata (con credenziali di sistema per una visione più profonda) o non autenticata (simula la vista di un attaccante esterno).
Analysis — Analisi e classificazione
Questa è la fase che distingue un VA professionale da un semplice scan automatizzato. Un analista di sicurezza esamina ogni vulnerabilità trovata per: eliminare i falsi positivi (lo scanner ha sbagliato), valutare il rischio reale nel contesto specifico della tua azienda (una vulnerabilità critica su un server isolato è meno urgente della stessa su un server esposto a Internet), classificare per priorità combinando gravità CVSS, esposizione e impatto business, e raggruppare le vulnerabilità correlate per facilitare la remediation.
Remediation — Piano di correzione
Per ogni vulnerabilità confermata, si fornisce un piano di remediation dettagliato: quale patch applicare, quale configurazione modificare, quale servizio disabilitare. Le azioni sono prioritizzate: prima le vulnerabilità critiche su asset esposti, poi le alte, poi le medie. Si includono anche workaround temporanei per le vulnerabilità che non possono essere corrette immediatamente (sistemi legacy, dipendenze applicative). Il piano tiene conto della finestra di manutenzione disponibile e dell’impatto operativo di ogni correzione.
Verification — Verifica post-remediation
Dopo l’applicazione delle correzioni, si esegue una nuova scansione mirata per verificare che le vulnerabilità siano state effettivamente risolte e che le correzioni non abbiano introdotto nuovi problemi. Questa fase è spesso trascurata ma è fondamentale: senza verifica, non hai la certezza che il lavoro di remediation sia stato efficace. Si documenta il delta tra il VA iniziale e la verifica, dimostrando il miglioramento della postura di sicurezza.
Vuoi conoscere le vulnerabilità della tua azienda?
BullTech esegue Vulnerability Assessment professionali per PMI in tutta la Lombardia. Scopri le tue debolezze prima che lo faccia un attaccante.
Richiedi un VA per la Tua AziendaStrumenti Utilizzati nel Vulnerability Assessment
Un VA professionale utilizza una combinazione di strumenti automatizzati e analisi manuale. Gli scanner di vulnerabilità più utilizzati nel settore sono:
Nessus (Tenable)
Lo scanner di vulnerabilità più diffuso al mondo. Offre un database di oltre 200.000 plugin per identificare vulnerabilità su sistemi operativi, applicazioni, dispositivi di rete e ambienti cloud. La versione Professional include compliance check per PCI DSS, HIPAA e altri standard. Eccellente per scansioni autenticate su reti Windows e Linux.
Qualys VMDR
Piattaforma cloud-based per il vulnerability management continuo. Si distingue per la capacità di monitorare asset on-premise e cloud da un’unica console. Include asset discovery automatica, vulnerability scanning, prioritizzazione basata su threat intelligence e integrazione con i principali strumenti di patch management. Ideale per aziende con infrastrutture ibride.
OpenVAS (Greenbone)
La principale alternativa open source. Offre oltre 50.000 test di vulnerabilità aggiornati quotidianamente dalla community. Sebbene richieda più competenze per la configurazione e l’interpretazione dei risultati, è un’opzione valida per organizzazioni con budget limitato e competenze interne. La versione commerciale (Greenbone Enterprise) offre supporto e funzionalità aggiuntive.
Oltre agli scanner principali, un VA professionale può utilizzare strumenti complementari come Nmap per la discovery e il port scanning, Nikto per le vulnerabilità web, SSL Labs per l'analisi dei certificati e delle configurazioni TLS, e Shodan/Censys per verificare l'esposizione dei servizi su Internet. Lo strumento è importante, ma la competenza dell'analista che lo utilizza e interpreta i risultati fa la vera differenza.
VA Interno vs Esterno: Serve Farli Entrambi?
Un Vulnerability Assessment può essere condotto da due prospettive complementari, ciascuna con obiettivi e risultati diversi:
VA Esterno
Simula la prospettiva di un attaccante da Internet. Scansiona gli IP pubblici, i server web, le VPN, i servizi di posta, il DNS e tutto ciò che è raggiungibile dall'esterno. Identifica le vulnerabilità che un criminale potrebbe sfruttare senza avere accesso alla rete interna. È il VA minimo indispensabile per ogni azienda.
VA Interno
Simula la prospettiva di un attaccante all'interno della rete (dipendente compromesso, malware che ha superato il perimetro, visitatore con accesso Wi-Fi). Scansiona server, workstation, stampanti, switch, access point e tutti i dispositivi della LAN. Trova vulnerabilità invisibili dall'esterno ma devastanti se sfruttate dopo un accesso iniziale.
La risposta è sì: servono entrambi. Il 70% degli attacchi che superano il perimetro esterno sfruttano poi vulnerabilità interne per il lateral movement (movimento laterale nella rete). Un VA solo esterno non ti protegge dal phishing riuscito che porta un attaccante dentro la rete. Un VA solo interno non ti mostra cosa un attaccante vede da fuori. La combinazione dei due fornisce la visione completa. Il nostro servizio di Vulnerability Assessment include sempre entrambe le prospettive.
Frequenza Raccomandata per il Vulnerability Assessment
La frequenza del VA dipende dal profilo di rischio dell'azienda, dal settore e dalle normative applicabili. Ecco le raccomandazioni per le diverse tipologie di azienda:
| Tipologia azienda | VA completo | Scan automatizzato |
|---|---|---|
| PMI standard (nessun obbligo specifico) | Semestrale | Mensile |
| PMI soggetta a NIS2 | Trimestrale | Settimanale |
| Aziende con dati sanitari/finanziari | Trimestrale | Settimanale |
| E-commerce e app web esposte | Trimestrale | Settimanale |
| Aziende certificate ISO 27001 | Trimestrale | Continuo |
| Dopo cambiamenti infrastrutturali | Entro 7 giorni | Immediato |
Un principio fondamentale: ogni cambiamento significativo dell'infrastruttura richiede un nuovo VA. Questo include: migrazione al cloud, nuovo server o applicazione web, cambio firewall, apertura di nuove sedi, attivazione di VPN per smart working, acquisizione di un'altra azienda (con fusione delle reti). La superficie di attacco cambia continuamente: il VA deve seguire questi cambiamenti.
VA e Compliance: NIS2, GDPR, ISO 27001
Il Vulnerability Assessment non è solo una buona pratica: è un requisito implicito o esplicito di tutte le principali normative sulla sicurezza informatica applicabili alle aziende italiane.
NIS2 — Gestione delle vulnerabilità (Art. 21)
La direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, include esplicitamente la “gestione delle vulnerabilità e divulgazione” tra le 10 misure di sicurezza obbligatorie. Questo significa che i soggetti essenziali e importanti (e la loro supply chain) devono implementare un programma strutturato di vulnerability management, con VA periodici documentati. La mancata compliance può comportare sanzioni fino al 2% del fatturato. Approfondisci nella nostra guida alla NIS2.
GDPR — Misure tecniche adeguate (Art. 32)
Il GDPR richiede “misure tecniche e organizzative adeguate” per garantire la sicurezza dei dati personali, inclusa la capacità di “assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi” e un “processo per testare e valutare regolarmente l’efficacia delle misure”. Il VA è esattamente quel processo. In caso di data breach, il Garante Privacy verifica se l’azienda aveva un programma di VA attivo: averlo può ridurre significativamente le sanzioni.
ISO 27001:2022 — Controllo A.8.8
Lo standard ISO 27001 include il controllo A.8.8 “Management of technical vulnerabilities” che richiede di identificare tempestivamente le vulnerabilità tecniche, valutarne l’esposizione e adottare misure appropriate. Un programma di VA documentato è il modo più diretto per dimostrare la conformità a questo controllo durante gli audit di certificazione.
In sintesi: il VA è un requisito trasversale a tutte le normative di sicurezza. Implementarlo non è solo protezione tecnica, ma anche protezione legale. Per assistenza sulla compliance, scopri i nostri servizi di consulenza GDPR e adeguamento NIS2.
Quanto Costa un Vulnerability Assessment per una PMI
Il costo di un VA dipende dalla dimensione dell'infrastruttura, dal numero di IP da scansionare, dalla presenza di applicazioni web e dalla profondità dell'analisi richiesta. Ecco i costi indicativi per una PMI italiana:
| Tipo di VA | Costo indicativo |
|---|---|
| VA esterno (perimetro Internet, fino a 16 IP) | € 1.500 - 3.000 |
| VA interno (rete LAN, fino a 100 host) | € 2.000 - 5.000 |
| VA completo interno + esterno | € 3.000 - 8.000 |
| VA applicazioni web (per singola app) | € 2.000 - 5.000 |
| Programma annuale (2 VA + scan continuo) | € 6.000 - 12.000 |
| Programma annuale (4 VA + scan continuo) | € 10.000 - 18.000 |
Confronta questi costi con il costo medio di un data breach per una PMI italiana: €43.000. Un singolo VA da €3.000 che identifica e permette di correggere una vulnerabilità critica prima che venga sfruttata si ripaga oltre 14 volte. Con un MSP come BullTech, il VA può essere incluso nel canone di assistenza, rendendo il costo completamente prevedibile e più accessibile.
Checklist: Quando la Tua Azienda Ha Bisogno di un VA
Se rispondi "sì" a una o più di queste domande, la tua azienda ha bisogno di un Vulnerability Assessment il prima possibile:
Non hai mai eseguito un Vulnerability Assessment
L’ultimo VA risale a più di 6 mesi fa
Hai cambiato firewall, server o infrastruttura di rete negli ultimi 3 mesi
Hai migrato servizi al cloud di recente
Hai attivato VPN o smart working senza un assessment di sicurezza
Hai subito un tentativo di attacco o un incidente di sicurezza
Devi rinnovare la certificazione ISO 27001
La tua azienda rientra nel perimetro NIS2
Tratti dati personali sensibili (sanitari, finanziari, giudiziari)
Non sai quanti servizi della tua rete sono esposti su Internet
Hai software o server con più di 3 anni senza aggiornamento
Stai valutando una cyber insurance e ti chiedono un report di sicurezza
Se hai risposto sì a 3 o più punti, un VA è urgente. Se hai risposto sì a più di 5 punti, la tua azienda è significativamente esposta. Contattaci per pianificare un VA nella prima finestra disponibile.
Domande Frequenti
Cos'è esattamente un Vulnerability Assessment?
Un Vulnerability Assessment (VA) è un processo sistematico di identificazione, classificazione e prioritizzazione delle vulnerabilità di sicurezza presenti nei sistemi informatici, nelle reti e nelle applicazioni di un'organizzazione. A differenza del penetration test, il VA non tenta di sfruttare le vulnerabilità trovate, ma si concentra sulla loro mappatura completa. Il risultato è un report dettagliato con tutte le debolezze trovate, classificate per gravità (critica, alta, media, bassa) con le relative raccomandazioni di remediation.
Qual è la differenza tra Vulnerability Assessment e Penetration Test?
Il Vulnerability Assessment identifica e classifica le vulnerabilità senza tentare di sfruttarle, offrendo una visione ampia della superficie di attacco. Il Penetration Test, invece, tenta attivamente di sfruttare le vulnerabilità per dimostrare l'impatto reale di un attacco. Il VA è più ampio e sistematico (copre tutti i sistemi), il Pentest è più profondo ma focalizzato. Il VA è il punto di partenza consigliato: prima mappi tutte le vulnerabilità, poi con un Pentest verifichi quelle più critiche.
Ogni quanto va eseguito un Vulnerability Assessment?
La frequenza raccomandata dipende dal settore e dalla normativa applicabile. Come minimo, un VA completo andrebbe eseguito almeno 2 volte l'anno (semestrale). Per le aziende soggette a NIS2 o che trattano dati sensibili, la frequenza consigliata è trimestrale. Dopo ogni cambiamento significativo dell'infrastruttura (nuovi server, migrazione cloud, cambio firewall) è necessario un VA aggiuntivo. Le aziende più mature implementano vulnerability scanning continuo con scansioni settimanali automatizzate.
Quanto costa un Vulnerability Assessment per una PMI?
Il costo di un Vulnerability Assessment per una PMI con 20-100 dipendenti varia generalmente tra €2.000 e €8.000 per singola sessione, a seconda dell'ampiezza del perimetro (numero di IP, server, applicazioni web). Un VA solo esterno (perimetro internet) costa €1.500-3.000. Un VA interno + esterno completo costa €3.000-8.000. Un programma annuale con 2-4 VA e vulnerability scanning continuo costa €6.000-15.000/anno. Un MSP come BullTech può includere il VA nel canone di assistenza, rendendo il costo più prevedibile.
Posso eseguire un Vulnerability Assessment internamente?
Tecnicamente sì, esistono strumenti open source come OpenVAS che permettono di eseguire scansioni base. Tuttavia, un VA efficace richiede competenze specialistiche per: configurare correttamente gli strumenti (evitando falsi positivi e negativi), interpretare i risultati nel contesto della tua infrastruttura, prioritizzare le vulnerabilità in base al rischio reale (non solo al punteggio CVSS), e pianificare la remediation. Un VA interno può essere un buon complemento tra un VA professionale e l'altro, ma non dovrebbe sostituirlo.
Il Vulnerability Assessment è obbligatorio per legge?
Non esiste un obbligo esplicito di eseguire un VA, ma diverse normative lo richiedono implicitamente. Il GDPR richiede 'misure tecniche adeguate' per proteggere i dati personali, e il VA è considerato una misura tecnica fondamentale dal Garante Privacy. La NIS2 richiede esplicitamente la 'gestione delle vulnerabilità' tra le 10 misure obbligatorie. La ISO 27001 include il vulnerability management nel suo framework. Di fatto, per dimostrare la due diligence in caso di data breach, avere un programma di VA documentato è essenziale.
Il Vulnerability Assessment è il fondamento di ogni strategia di sicurezza informatica seria. Senza conoscere le proprie vulnerabilità, qualsiasi investimento in cybersecurity è un tiro al buio. Se non hai mai fatto un VA, o se l'ultimo risale a più di 6 mesi fa, contattaci per un assessment della tua infrastruttura. Il team BullTech opera in tutta la Lombardia dalla sede di Vimercate (Monza Brianza).