La nuova LPD (legge federale svizzera sulla protezione dei dati, in vigore dal settembre 2023) impone alle aziende di attuare misure tecniche e organizzative proporzionate per proteggere i dati personali. Sebbene non imponga esplicitamente un audit di rete annuale, la documentazione delle misure di sicurezza è obbligatoria. In caso di violazione dei dati, l'assenza di diligenza provata può comportare multe fino a 250 000 CHF per i responsabili del trattamento. Un rapporto di audit costituisce questa prova di diligenza presso l'Incaricato federale della protezione dei dati e della trasparenza (IFPDT).

Sì, un penetration test può potenzialmente disturbare la produzione, ma ciò dipende fortemente dalla metodologia utilizzata, dal livello di aggressività autorizzato e dalla maturità dell'infrastruttura testata. Ad esempio, lo sfruttamento di alcune vulnerabilità può causare riavvii di servizi, blocchi di accesso o un degrado delle prestazioni.

Per questo motivo, è essenziale definire un quadro chiaro prima di qualsiasi test, includendo le fasce orarie autorizzate, i sistemi da escludere (o da duplicare in ambiente di test) e le misure di backup. I pentesters professionisti applicano tecniche non distruttive, ma una comunicazione stretta con il team IT rimane indispensabile per anticipare e gestire gli impatti eventuali.

Un pentest può occasionalmente rivelare una zero-day, ma non è garantito. I pentesters si basano principalmente su vulnerabilità note (CVE, configurazioni errate, pratiche rischiose), ma può accadere che un test manuale, una logica di attacco particolare o un'intuizione permetta di scoprire una vulnerabilità inedita.

Tuttavia, la scoperta di zero-day nell'ambito di un pentest rimane rara e dipende dal livello di profondità dell'analisi, dall'esperienza dei tester e dalla complessità del sistema testato. Per questa ragione, alcuni pentest molto avanzati includono fasi di fuzzing o di audit del codice specifici per la ricerca di zero-day, soprattutto in contesti ad alto rischio (settore difesa, finanza, infrastrutture critiche).

Nella maggior parte dei casi, no. Pagare il riscatto non garantisce il recupero: il 56% delle organizzazioni che hanno pagato ha recuperato i propri dati solo parzialmente (Sophos 2024), e l'80% viene riattaccata entro l'anno. Bexxo valuta prima tutte le opzioni tecniche — decrittazione, backup, estrazione forense — prima di considerare qualsiasi negoziazione, che rimane sempre un'ultima risorsa.

Per una PMI svizzera, esternalizzare la funzione CISO (vCISO — Virtual CISO) è spesso più conveniente di un'assunzione a tempo pieno. Bexxo può svolgere questo ruolo: definizione della politica di sicurezza, partecipazione alle riunioni di direzione, gestione degli incidenti e reporting — a costi adeguati alle vostre dimensioni.

Sì, questi quadri sono complementari. Da Bexxo, raccomandiamo un approccio progressivo: iniziare con lo Standard TIC svizzero o la guida ANSSI, strutturare con il NIST CSF, poi puntare alla certificazione ISO 27001. Ogni fase rafforza la precedente senza ripartire da zero.