Lo stato del pentesting nel 2025: perché la convalida della sicurezza basata sull'intelligenza artificiale è ora un imperativo strategico

. Rapporto sull'indagine sullo stato del pentesting del 2025 di Pentera dipinge un quadro sorprendente di un panorama della sicurezza informatica sotto assedio e in rapida evoluzione. Non si tratta solo di una storia sulla difesa dei confini digitali; è un modello di come le aziende stanno trasformando il loro approccio alla sicurezza, guidate dall'automazione, dagli strumenti basati sull'intelligenza artificiale e dall'incessante pressione delle minacce del mondo reale.

Le violazioni persistono nonostante gli stack di sicurezza più grandi

Nonostante l'implementazione di stack di sicurezza sempre più complessi, il 67% delle aziende statunitensi ha segnalato di aver subito una violazione negli ultimi 24 mesi. Non si è trattato di incidenti di lieve entità: il 76% ha segnalato un impatto diretto sulla riservatezza, l'integrità o la disponibilità dei dati, il 36% ha subito tempi di inattività non pianificati e il 28% ha subito perdite finanziarie.

La correlazione è chiara: con l'aumentare della complessità dello stack, aumentano anche gli avvisi e le violazioni. Le aziende che utilizzano più di 100 strumenti di sicurezza hanno ricevuto in media 3,074 avvisi settimanali, mentre quelle che utilizzano tra 76 e 100 strumenti ne hanno ricevuti 2,048 a settimana.

Tuttavia, questa valanga di dati spesso travolge i team di sicurezza, ritardando i tempi di risposta e consentendo alle minacce reali di passare inosservate.

L'assicurazione sulla sicurezza informatica sta plasmando l'adozione della tecnologia

Le compagnie di assicurazione informatica sono diventate inaspettatamente motori di innovazione in ambito cybersecurity. Un sorprendente 59% delle aziende statunitensi ha implementato nuovi strumenti di sicurezza specificamente su richiesta della propria compagnia assicurativa e il 93% dei CISO ha dichiarato che le compagnie assicurative hanno influenzato le loro strategie di sicurezza. In molti casi, queste raccomandazioni sono andate oltre la conformità, plasmando la strategia tecnologica.

L'ascesa del pentesting basato sul software

Il pentesting manuale non è più la soluzione standard. Oltre il 55% delle organizzazioni si affida ora al pentesting software nei propri programmi interni, mentre un altro 49% si affida a provider terzi. Al contrario, solo il 17% si affida ancora esclusivamente ai test manuali interni.

Questa transizione a test avversari automatizzati riflette una tendenza più ampia: la necessità di una convalida scalabile, ripetibile e in tempo reale in un'epoca di minacce in continua evoluzione. Queste piattaforme automatizzate simulano attacchi che vanno dal malware file-less all'escalation dei privilegi, consentendo alle aziende di valutare la propria resilienza in modo continuo e senza interruzioni.

I budget per la sicurezza crescono rapidamente

La sicurezza non sta diventando più economica, ma le organizzazioni le stanno comunque dando priorità. Il budget medio annuo per il pentesting è di 187,000 dollari, pari al 10.5% della spesa totale per la sicurezza IT. Le aziende più grandi (oltre 10,000 dipendenti) spendono ancora di più: una media di 216,000 dollari all'anno.

Nel 2025, il 50% delle aziende prevede di aumentare il budget destinato al pentesting e il 47.5% prevede di aumentare la spesa complessiva per la sicurezza. Solo il 10% prevede una diminuzione degli investimenti. Questi numeri evidenziano l'ascesa della sicurezza da necessità operativa a priorità a livello dirigenziale.

I test di sicurezza sono ancora in fase di recupero

Ecco una sorprendente discrepanza: il 96% delle aziende segnala modifiche all'infrastruttura almeno trimestralmente, ma solo il 30% esegue test di penetrazione con la stessa frequenza. Il risultato? Nuove vulnerabilità si insinuano tra le modifiche non testate, ampliando la superficie di attacco a ogni push del software o aggiornamento della configurazione.

Solo il 13% delle grandi aziende con oltre 10,000 dipendenti effettua pentest trimestrali. Nel frattempo, quasi la metà effettua ancora test solo una volta all'anno, un ritardo pericoloso nell'attuale contesto di minacce dinamiche.

L’allineamento del rischio è più netto che mai

È incoraggiante notare che i responsabili della sicurezza stanno concentrando i test dove si verificano effettivamente le violazioni. Quasi il 57% dà priorità alle risorse web, seguite da server interni, API, infrastrutture cloud e dispositivi IoT. Questo allineamento riflette una crescente consapevolezza del fatto che gli aggressori non fanno distinzioni: sfruttano qualsiasi vulnerabilità disponibile sull'intera superficie di attacco.

Le API, in particolare, si sono rivelate un obiettivo ad alta priorità, sia per gli aggressori che per i difensori. Queste interfacce sono sempre più essenziali per le operazioni aziendali, ma spesso mancano di visibilità e monitoraggio standard, il che le rende adatte allo sfruttamento.

Operatività dei risultati dei pentest

I report dei pentest non vengono più archiviati. Il 62% delle aziende, invece, ne trasferisce immediatamente i risultati all'IT per stabilire le priorità di intervento, mentre il 47% condivide i risultati con il senior management e il 21% ne informa direttamente i consigli di amministrazione o gli enti regolatori.

Questo spostamento verso l'azione riflette una più profonda integrazione del pentesting nella gestione strategica del rischio, non solo nel controllo della conformità. La convalida della sicurezza sta diventando parte integrante del dibattito aziendale.

Cosa impedisce un progresso ancora più rapido?

Sebbene le tendenze siano positive, permangono i principali ostacoli a un'esecuzione più frequente dei pentest. I due principali ostacoli a un'esecuzione più frequente sono i vincoli di budget (44%) e la mancanza di pentest disponibili (48%), quest'ultima a causa di un carenza globale di 4 milioni di professionisti della sicurezza informatica, secondo il World Economic Forum.

Il rischio operativo, come il timore di interruzioni durante i test, continua a rappresentare una preoccupazione per il 30% dei CISO.

Dall'obbligo di conformità all'arma strategica

Il pentesting si è evoluto ben oltre le sue origini come requisito normativo. Oggi supporta iniziative strategiche, tra cui la due diligence in caso di fusioni e acquisizioni (M&A) e il processo decisionale a livello dirigenziale. Quasi un terzo degli intervistati cita ora "mandato esecutivo" e "preparazione a fusioni e acquisizioni" come motivazioni chiave per l'esecuzione di pentest.

Ciò segna una trasformazione fondamentale: da un controllo reattivo a una misura proattiva e continua della resilienza informatica.

Considerazioni finali

. Rapporto sull'indagine sullo stato del pentesting del 2025 È più di un semplice aggiornamento di stato: è un campanello d'allarme. Con l'aumento delle superfici di attacco e la crescente sofisticazione degli attori delle minacce, le organizzazioni non possono più permettersi approcci lenti, manuali o isolati ai test di sicurezza. Il pentesting basato su software e basato sull'intelligenza artificiale sta intervenendo per colmare questo divario con velocità, scalabilità e insight.

Le organizzazioni che prospereranno in questa nuova era saranno quelle che considereranno la convalida della sicurezza non solo come una necessità tecnica, ma come un imperativo strategico.

Per ulteriori approfondimenti, scarica il testo completo Rapporto sull'indagine sullo stato del pentesting del 2025 da Pentera.