Quanto costa un penetration test? Una guida realistica

Quanto costa un penetration test? E la domanda che ogni azienda si pone prima di richiedere un assessment. La risposta onesta e che dipende - ma non nel senso vago dei commerciali. Dipende da fattori specifici e quantificabili, e capirli ti aiuta a valutare se un preventivo e ragionevole o se stai per pagare troppo (o troppo poco, che e peggio).

I fattori che determinano il costo

Scope (ampiezza): un pentest su una singola applicazione web costa meno di un pentest su un'intera infrastruttura di rete con 200 host. Profondita: un test black-box (nessuna informazione) richiede piu tempo di un grey-box (credenziali fornite). Complessita: un'applicazione con autenticazione multi-ruolo, API, e integrazioni esterne richiede piu lavoro di un sito vetrina. Compliance: se il report deve soddisfare requisiti specifici (PCI-DSS, ISO 27001), il formato e il livello di dettaglio cambiano.

Range di prezzo realistici nel 2025-2026

Per il mercato italiano, i range che vedo regolarmente sono: web application pentest (singola app): 3.000-8.000 euro. Network pentest (infrastruttura media, 50-200 host): 5.000-15.000 euro. Pentest completo (web + network + social engineering): 10.000-30.000 euro. Red team engagement (simulazione avanzata multi-vettore): 20.000-50.000+ euro. Se qualcuno ti offre un "pentest completo" a 1.000 euro, stai comprando una scansione automatizzata con un report generato, non un penetration test.

Il costo riflette il tempo di un professionista qualificato. Un pentest serio su un'applicazione web richiede 5-10 giorni di lavoro manuale: reconnaissance, mapping, testing di ogni funzionalita, tentativo di exploit, documentazione dettagliata con proof-of-concept e raccomandazioni di remediation. Non e un processo automatizzabile - e il valore aggiunto del pentester umano sta nel pensiero laterale, nella capacita di concatenare vulnerabilita minori in scenari di attacco critici.

Il mio consiglio: non scegliere in base al prezzo. Chiedi il CV del tester, esempi di report (sanitizzati), metodologia usata (OWASP, PTES, OSSTMM), e cosa e incluso nel re-test. Un buon pentest e un investimento nella sicurezza della tua azienda, non una spesa da minimizzare.