Disponibile per nuovi incarichi

Proteggo la tua azienda prima che sia troppo tardi.

Sono Corrado Tuccitto — Security Engineer e Auditor ISO 27001 certificato. Testo le tue web app come farebbe un attaccante reale, e ti guido nella conformità GDPR. Senza giri di parole, con risultati concreti.

Vedi pacchetti Prenota consulenza →
ct@pentest ~ /scan
$ nmap -sV --script vuln target.it
Scanning target.it (192.168.1.x)...
⚠ CVE-2024-3094 — Critical XSS found
⚠ SQL Injection on /api/login
⚡ Missing CSP headers
⚡ JWT token not expiring
──────────────────────────────
✓ Report generato: 4 vulnerabilità
✓ Remediation plan pronto
$
15+
Anni di esperienza in security
3
Certificazioni ISO
OWASP
Metodologia Top 10
100%
Report con remediation plan
Servizi

Cosa posso fare per la tua azienda

Servizi mirati per PMI, e-commerce e startup che vogliono proteggere i propri asset digitali senza complessità inutili.

Scopri se sei esposto

Un primo sguardo gratuito alla tua superficie d'attacco. Identifico le vulnerabilità visibili dall'esterno e ti dico cosa ho trovato — senza scendere nel dettaglio tecnico e senza indicarti come risolvere. Serve a farti capire se hai un problema.

Analisi completa senza remediation

Controllo quello che chiunque può vedere del tuo sito dall'esterno — tecnologie obsolete, dati trapelati, configurazioni errate, porte aperte. Ricevi un report dettagliato con tutto quello che ho trovato e cosa rischi, ma senza indicazioni su come risolvere.

Analisi completa con piano di remediation

L'analisi piu completa della tua superficie d'attacco. Include tutto quello di CT/Recon Base con in piu le indicazioni precise su come risolvere ogni vulnerabilita trovata. Ricevi un piano di remediation prioritizzato e pronto da implementare.

Valutazione sicurezza applicazioni e API

Con la tua autorizzazione, analizzo come si comporta la tua applicazione web e le sue API sotto attacco simulato — accessi non autorizzati, dati esposti, integrazioni vulnerabili. Ricevi un report con le vulnerabilita trovate, il loro livello di gravita e le azioni correttive consigliate.

Perché scegliere me

Security Engineer con esperienza reale in ambienti enterprise

Infrastruttura e rete

Hardening di reverse proxy Nginx, mitigazione DDoS, segregazione di microservizi e gestione sicura di ambienti multi-tenant. Esperienza diretta nella protezione di infrastrutture che servono centinaia di clienti simultaneamente.

Sicurezza applicativa e API

Sviluppo e audit di API REST e SOAP con applicazione dei principi CIA (Confidentiality, Integrity, Availability). Validazione input, encoding dell'output, autenticazione robusta e logging di sicurezza su web app monolitiche, microservizi e integrazioni di terze parti.

Container e ambienti isolati

Hardening di container Docker in produzione: prevenzione privilege escalation, scansione vulnerabilità delle immagini, applicazione del principio di least privilege. Sicurezza concreta in ambienti dove un errore di configurazione espone tutti i tenant.

Compliance e metodo

Implementazione controlli ISO/IEC 27001 e Statement of Applicability (SoA) in aziende ICT. Auditor certificato IBC con formazione ISO 19011:2018. Ogni vulnerabilità documentata con gravità, impatto, evidenza e piano di remediation concreto.

ISO/IEC 27001 Lead Auditor
ISO 19011:2018
OWASP Top 10
GDPR Compliance
Pacchetti

Prezzi chiari, senza sorprese.

Due pacchetti calibrati per diverse esigenze. Entrambi includono report dettagliato e piano di remediation.

Gratuito
CT/Recon Free
Enuncia le vulnerabilità visibili dall'esterno senza scendere nel dettaglio tecnico.
0
gratuito · nessun impegno
  • Ricognizione passiva (OSINT)
  • Elenco vulnerabilità rilevate
  • Classificazione per gravità (alta/media/bassa)
  • Report sintetico via email
Essenziale
CT/Recon Base
Controllo quello che chiunque può vedere del tuo sito dall'esterno — tecnologie obsolete, dati trapelati, configurazioni errate, porte aperte. Senza indicarti come risolvere.
800
una tantum · IVA esclusa se appl.
  • Tutto di CT/Recon Free, piu:
  • Ricognizione passiva completa (OSINT)
  • Analisi tecnologie e versioni esposte
  • Ricerca dati trapelati e credenziali leaked
  • Scansione porte e servizi esposti
  • Report dettagliato con classificazione per gravita
  • Call di debriefing 30 min
PIÙ RICHIESTO
Completo
CT/Recon Completo
Include tutto di CT/Recon Base con in piu le indicazioni precise su come risolvere ogni vulnerabilita trovata.
1.500
una tantum · IVA esclusa se appl.
  • Tutto di CT/Recon Base, piu:
  • Piano di remediation prioritizzato
  • Indicazioni tecniche su come risolvere ogni vulnerabilita
  • Suggerimenti di hardening specifici
  • Re-test gratuito post-remediation
  • 1 ora di consulenza inclusa
Professionale
CT/AppSec
Analizzo come si comporta la tua applicazione web e le sue API sotto attacco simulato — accessi non autorizzati, dati esposti, integrazioni vulnerabili.
1.490
una tantum · IVA esclusa se appl.
  • Tutto di CT/Recon Completo, piu:
  • Test attivo su applicazione web e API
  • Simulazione attacchi OWASP Top 10
  • Proof of Concept per ogni vulnerabilita
  • Report con gravita e azioni correttive
  • Re-test gratuito post-remediation
  • 2 ore di consulenza incluse

Scegli come pagare: Bitcoin o carta di credito

₿ Bitcoin on-chain Zero KYC Self-custody Tor-friendly Visa / Mastercard / AMEX Voucher partnership
Rischi reali

"Tanto a me non succede."
Finché non succede.

Pensi che il pericolo venga solo da hacker anonimi dall'altra parte del mondo? Ripensaci. Le minacce più frequenti e devastanti arrivano dall'interno: dipendenti infedeli, ex collaboratori rancorosi, e concorrenti senza scrupoli.

Lo sapevi? Il 60% degli attacchi informatici alle PMI coinvolge un insider — dipendenti attuali, ex dipendenti o collaboratori con accesso ai sistemi. Non servono competenze da hacker: basta una password condivisa, un accesso non revocato, o un file copiato su una chiavetta USB.

● Critico — Minaccia interna

Il dipendente infedele: la minaccia che hai già in casa

Un impiegato insoddisfatto, sottopagato, o semplicemente disonesto ha già le chiavi del regno. Accesso al gestionale, ai database clienti, alle email aziendali, ai documenti riservati. Non ha bisogno di "bucare" nulla: è già dentro. Può copiare il database clienti su una chiavetta USB in 30 secondi, vendere listini prezzi alla concorrenza, cancellare dati critici per vendetta, o semplicemente spiare comunicazioni riservate per mesi senza che nessuno se ne accorga. Un assessment di sicurezza identifica chi ha accesso a cosa, se ci sono permessi eccessivi, e se i log di accesso tracciano le attività in modo adeguato.


34% dei data breach coinvolge attori interni (Verizon DBIR)
● Critico — Minaccia esterna mirata

L'ex dipendente che vuole farti pagare

Hai licenziato qualcuno? Ha dato le dimissioni in modo brusco? Ecco la domanda: gli hai revocato tutti gli accessi? Email aziendale, VPN, pannelli admin, account cloud, repository codice, credenziali condivise, token API? Nella maggior parte delle PMI la risposta è no, o "non tutti". Un ex dipendente deluso con ancora le credenziali attive può entrare nei tuoi sistemi settimane o mesi dopo l'uscita: scaricare dati, sabotare progetti, cancellare backup, o vendere informazioni ai concorrenti. Senza log e senza un audit, non saprai mai cosa è successo — e soprattutto quando.


Il 49% degli ex dipendenti accede ancora ai sistemi dopo l'uscita (Beyond Trust)
● Critico — Spionaggio

I concorrenti che ti spiano (e tu non lo sai)

La competizione è spietata, soprattutto nelle PMI dove un singolo cliente grande fa la differenza. Un concorrente senza scrupoli può pagare un tuo dipendente per avere i tuoi listini, corrompere un ex collaboratore per le tue strategie commerciali, o persino ingaggiare qualcuno per cercare falle nel tuo sito ed estrarre dati. Spionaggio industriale non è roba da film: è quotidianità. Se il tuo gestionale web è accessibile con credenziali deboli, se le API non hanno rate limiting, se i file riservati sono in cartelle senza protezione — sei un bersaglio facile.


Lo spionaggio industriale costa €445 miliardi/anno globali
● Critico — Sabotaggio

Sabotaggio: quando qualcuno vuole vederti chiuso

Non serve rubare dati per farti male. Basta impedirti di lavorare. Un attacco mirato che blocca il tuo e-commerce nel weekend di punta, che corrompe il database ordini il giorno della scadenza fiscale, che "buca" il sito e pubblica contenuti imbarazzanti. Un ex socio che conosce le password dell'hosting. Un fornitore arrabbiato che ha ancora l'accesso FTP. Un dipendente che prima di andarsene piazza una "bomba logica" nel codice. Queste cose succedono. E senza un audit delle autorizzazioni e dei log, non hai modo né di prevenirle né di dimostrare chi è stato.


1 PMI su 5 ha subito sabotaggio interno (Ponemon)
● Critico

Sanzioni GDPR fino al 4% del fatturato

Il Garante Privacy non fa sconti. Una violazione dei dati personali dei tuoi clienti può costare fino a €20 milioni o il 4% del fatturato annuo globale. Non è teoria: nel solo 2024, le PMI italiane hanno ricevuto centinaia di sanzioni.


Sanzione media PMI: da €10.000 a €50.000
● Critico

Perdita totale di fiducia dei clienti

Un data breach è una notizia. I tuoi clienti lo sapranno. E l'87% dei consumatori dichiara che non farebbe più affari con un'azienda che non protegge i loro dati. La fiducia si costruisce in anni, si distrugge in un giorno.


-60% clienti dopo un data breach
● Critico

Chiusura dell'attività

Il dato più duro: il 60% delle PMI che subisce un attacco informatico significativo cessa l'attività entro 6 mesi. Non per l'attacco in sé, ma per i costi di recupero, le sanzioni, e la perdita di clienti che seguono.


60% chiude entro 6 mesi
● Alto

Danno reputazionale irreversibile

Un sito bucato, dati esposti, un defacement pubblico: Google indicizza tutto. Il danno SEO e reputazionale resta visibile per mesi o anni. I tuoi competitor ringraziano.


Google non dimentica
● Alto

Responsabilità legale personale

Il titolare del trattamento è legalmente responsabile della protezione dei dati. Non aver investito in sicurezza dimostra negligenza. In caso di causa civile, il giudice valuterà le misure preventive adottate. Zero misure = zero difesa.


Art. 82 GDPR: diritto al risarcimento
● Alto

Ransomware: il ricatto digitale

I tuoi dati cifrati, il tuo business fermo, e una richiesta di riscatto. Il costo medio di un attacco ransomware per una PMI supera i €100.000 tra fermo attività, riscatto e ripristino. Un'analisi di sicurezza da 800 EUR sembra diversa adesso?


Riscatto medio PMI: €25.000-€100.000+
● Medio

Perdita di bandi e opportunità

Sempre più bandi pubblici e gare private richiedono certificazioni di sicurezza o prove di compliance. Senza un assessment documentato, sei tagliato fuori dalle opportunità più importanti.


Requisito crescente in gare pubbliche
● Medio

Immagine di scarsa professionalità

Un sito senza HTTPS, cookie banner non a norma, informative privacy copiate: il tuo cliente più attento lo nota. E pensa: "se non curano nemmeno questo, come gestiscono i miei dati?" Non investire in sicurezza comunica trascuratezza.


La percezione è tutto
Casi reali documentati

Non è teoria. È cronaca giudiziaria.

Questi non sono scenari ipotetici. Sono casi reali, con nomi e cognomi, sentenze penali, cause civili e danni milionari. Succede alle multinazionali. Succede alle startup. Può succedere a te.

"Ma queste sono multinazionali, a me non succede"

Sbagli, ma non per il motivo che pensi. I casi delle PMI non finiscono sui giornali — non perché non succedono, ma perché non fanno notizia. Quando il dipendente di una carrozzeria a Brescia copia il database clienti su una chiavetta e apre un'officina concorrente, non lo leggi su TechCrunch. Quando l'ex contabile di un e-commerce di Catania cancella gli ordini per vendetta, non c'è un comunicato stampa. Ma succede ogni giorno. Il 12% dei dipendenti che lascia un'azienda porta con sé dati riservati (DTEX Report 2023). Il 75% degli incidenti insider coinvolge ex dipendenti delusi (Palo Alto Unit 42). Ecco alcuni dei casi che sono finiti in tribunale — e pensa a quanti non ci sono mai arrivati.

 Spionaggio tra competitor
DEEL VS RIPPLING — 2025 · USA

Un competitor piazza una spia dentro l'azienda rivale per 4 mesi

Deel ha pagato €5.000/mese un dipendente di Rippling affinché spiasse dall'interno. La spia cercava il termine "Deel" nei sistemi interni in media 23 volte al giorno, rubando listini prezzi, pipeline di vendita, dati clienti e nomi di dipendenti chiave. I pagamenti passavano tramite il conto della moglie del COO. Scoperto con honeypot, ha confessato sotto giuramento.

Causa RICO (racket mafioso)
FBI e DOJ indagano
4+ aziende vittime
Fonti: TechCrunch, CNBC, documenti giudiziari federali USA (2025)
 Ex dipendente — vendetta
STRADIS HEALTHCARE — 2020 · USA

VP licenziato sabota le spedizioni di mascherine durante il COVID

Christopher Dobbins, VP di Stradis Healthcare — una piccola azienda di confezionamento dispositivi medici — dopo il licenziamento ha usato un account fittizio creato mesi prima. In 45 minuti: 115.000 record modificati, 2.400 cancellati. Spedizioni di mascherine e guanti bloccate per giorni durante la pandemia. Ospedali senza forniture.

24-72h blocco totale
$221.200 danni
1 anno di carcere
Fonte: FBI.gov, Dipartimento di Giustizia USA (2020)
 Ex dipendente — furto lista clienti
SHOWPO (E-COMMERCE MODA) — AUSTRALIA

Grafica di un piccolo e-commerce ruba 306.000 contatti clienti e li passa al concorrente

Una graphic designer di Showpo — un piccolo negozio di moda online — ha rubato l'intero database clienti (306.000 contatti) e lo ha consegnato a Black Swallow, un concorrente diretto. Black Swallow ha subito adottato branding identico a Showpo e ha iniziato a fare marketing mirato alla stessa base clienti. Un singolo dipendente con accesso al CRM ha distrutto anni di lavoro nel marketing.

306.000 contatti rubati
Vendite perse a concorrente
Causa legale in corso
Fonte: Lexology, Federal Court of Australia
 Ex dipendente — furto dati clienti
AZIENDA UK NON NOMINATA — 2023 · UK

Impiegato in uscita si invia i dati di 957 clienti alla email personale prima di andare dal concorrente

Un dipendente, il suo ultimo giorno di lavoro, ha inviato alla propria email personale i dati di 957 clienti — nomi, contatti, storico acquisti — prima di iniziare un nuovo ruolo presso un'azienda rivale. L'ICO (Garante Privacy UK) lo ha perseguito penalmente ai sensi del Data Protection Act. Non serviva essere un hacker: bastava un "inoltra" su Outlook.

957 clienti esfiltrati via email
Condanna penale DPA
Multa + risarcimento
Fonte: ICO UK, Osborne Clarke (2023)
 Ex dipendente — accesso post-uscita
FINWISE BANK (BANCA LOCALE) — 2024 · USA

Ex dipendente di una piccola banca accede ai sistemi dopo il licenziamento: 689.000 clienti esposti

FinWise Bank, una piccola banca dello Utah, ha scoperto — un anno dopo — che un ex dipendente aveva ancora accesso ai sistemi e aveva consultato i dati personali di 689.000 clienti: nomi, date di nascita, codici fiscali, numeri di conto. I dati erano salvati in chiaro, senza crittografia. Risultato: 6 class action consolidate e oltre $5 milioni richiesti in danni.

689.000 clienti esposti
1 anno prima della scoperta
6 class action consolidate
Fonte: Maine AG, SecurityWeek, American Banker (2025)
 Ex dipendente — sabotaggio
CISCO SYSTEMS — 2018 · USA

Ex ingegnere cancella 456 server e blocca 16.000 account WebEx

Sudhish Kasaba Ramesh, 5 mesi dopo le dimissioni, aveva ancora le credenziali AWS attive. Ha deployato uno script che ha cancellato 456 macchine virtuali, mandando offline 16.000 account WebEx Teams per due settimane. La causa: nessuno aveva revocato le credenziali cloud dopo l'uscita.

$2.4 milioni di danni
16.000 account offline
2 anni di carcere
Fonte: DoJ Northern District of California, BleepingComputer (2020)
 Dipendenti — concorrenza sleale
GENERAL ELECTRIC — USA

Due dipendenti GE rubano segreti industriali e fondano azienda concorrente

Due ingegneri GE hanno scaricato migliaia di file con segreti commerciali, caricandoli su cloud personali. Hanno convinto un sysadmin a concedere accessi non autorizzati. Con la proprietà intellettuale rubata hanno fondato una società concorrente che ha iniziato a vincere gare d'appalto al ribasso contro GE stessa.

Milioni $ in contratti persi
Arresto per frode
Trade secrets rubati
Fonte: Dipartimento di Giustizia USA, Gurucul Report
 Ex dipendenti — data leak
TESLA — 2023 · USA/GERMANIA

Due ex dipendenti rubano i dati di 75.735 persone e li passano alla stampa estera

Due ex dipendenti Tesla hanno esfiltrato nomi, indirizzi, telefoni e email di oltre 75.000 persone — dipendenti e collaboratori attuali e passati — consegnando tutto a un quotidiano tedesco. L'azienda non aveva limiti sufficienti sull'accesso privilegiato ai database HR.

75.735 record rubati
Leak a giornale estero
Violazione GDPR tedesco
Fonte: Mimecast, Gurucul Insider Threat Report (2023)
 Ex dipendente — IP theft
WAYMO (GOOGLE) → UBER — 2016 · USA

Ingegnere ruba 14.000 file segreti e fonda startup poi acquisita da Uber

Anthony Levandowski, lead engineer Waymo, un mese prima di dimettersi ha scaricato 14.000 file riservati su disco esterno. Ha fondato Otto, startup acquisita da Uber. La stessa dinamica succede ogni giorno nelle PMI: il commerciale che se ne va con il file Excel dei clienti.

14.000 file riservati
$245M settlement
18 mesi di carcere
Fonte: The Guardian, documenti giudiziari USA (2016-2020)

Non servono budget milionari per proteggersi.

Il dipendente di Stradis ha usato un account fittizio. L'impiegata di Showpo ha copiato un file Excel. L'ex dipendente di FinWise aveva ancora la password attiva. In tutti i casi, un audit degli accessi, un monitoraggio base dei log e una procedura di offboarding IT — cose che rientrano in un assessment da €1.490 — avrebbero evitato tutto.

Previeni ora →
Le bugie che ti racconti

"Non serve, tanto..."

"Gli hacker colpiscono solo le grandi aziende, io sono troppo piccolo."
+
Falso. Le grandi aziende hanno team di sicurezza dedicati, firewall avanzati e budget milionari. Per un attaccante è molto più semplice e redditizio colpire 100 PMI non protette che una sola multinazionale. Gli attacchi sono automatizzati: i bot non guardano il tuo fatturato, scansionano tutto internet cercando falle. Se la tua web app ha una SQL injection, verrà trovata. La domanda non è "se", ma "quando".
→ Il 43% degli attacchi mira alle piccole imprese (Verizon DBIR 2024)
"Ho già un antivirus e un firewall, sono a posto."
+
Antivirus e firewall proteggono il perimetro. Ma la tua web app è esposta su internet per design — è fatta per essere raggiunta. Una SQL injection, un XSS o un broken authentication non vengono bloccati dal firewall perché passano attraverso il traffico "legittimo" (porta 80/443). Serve testare l'applicazione stessa, non solo la rete intorno.
→ Il 70% delle vulnerabilità è a livello applicativo, non di rete
"Costa troppo, non me lo posso permettere."
+
Un penetration test costa meno di una singola sanzione GDPR minima. Meno di un giorno di fermo attività. Meno del danno reputazionale di un data breach. Il vero costo è non farlo. CT/Recon Free è gratuito e CT/Recon Base parte da 800 EUR — meno del costo di un commercialista per la dichiarazione dei redditi. È un investimento con un ROI misurabile: evitare perdite da migliaia a centinaia di migliaia di euro.
→ ROI medio della cybersecurity: 179% (Ponemon Institute)
"Il mio sito non gestisce dati sensibili, non rischio niente."
+
Hai un form di contatto? Raccogli email? Hai un'area login? Allora tratti dati personali ai sensi del GDPR. Nome, email, IP, cookie di sessione: sono tutti dati personali. Inoltre, un sito compromesso può essere usato per attaccare altri (phishing, distribuzione malware), e la responsabilità legale ricade su di te come titolare dell'infrastruttura.
→ Anche un semplice form contatto ti rende soggetto al GDPR
"Lo faccio l'anno prossimo, ora ho altre priorità."
+
Ogni giorno che la tua web app è online con vulnerabilità non rilevate è un giorno di esposizione. Gli attacchi non aspettano il tuo budget. I bot scansionano internet 24/7 cercando falle conosciute. Una singola vulnerabilità critica non patchata per 30 giorni moltiplica esponenzialmente il rischio di compromissione. Il momento migliore era ieri. Il secondo momento migliore è oggi.
→ Tempo medio per sfruttare una vulnerabilità pubblica: 15 giorni
"Il mio sviluppatore ha detto che il sito è sicuro."
+
Il tuo sviluppatore è (probabilmente) bravo a sviluppare. Ma sviluppare e testare la sicurezza sono due mestieri diversi. Un chirurgo non si opera da solo. Un pentester ha strumenti, metodologie (OWASP) e un mindset offensivo che uno sviluppatore non è tenuto ad avere. Non è una critica al tuo dev — è la differenza tra costruire una porta e provare a sfondarla.
→ Il 95% delle web app ha almeno una vulnerabilità (HCL AppScan)
"Mi fido dei miei dipendenti, qui siamo come una famiglia."
+
La fiducia è una cosa meravigliosa, ma non è una strategia di sicurezza. Il 60% degli attacchi alle PMI coinvolge un insider — e non sempre per malizia. A volte è un dipendente che clicca su un link di phishing, che usa "password123" per il gestionale, che condivide credenziali via WhatsApp, o che si porta a casa un file "per lavorare nel weekend" su un portatile non protetto. E poi ci sono i casi peggiori: il dipendente che se ne va e porta con sé il database clienti per "iniziare in proprio" o venderlo a un concorrente. Senza controlli sugli accessi, senza log, e senza segregazione dei privilegi, non hai modo di accorgertene — né di dimostrarlo in tribunale.
→ Il 74% delle aziende è vulnerabile a minacce interne (Bitglass)
"Siamo un'azienda piccola, la concorrenza non ci spia di certo."
+
È il contrario: nelle nicchie di mercato la competizione è ancora più feroce. Un tuo concorrente che ottiene i tuoi listini, la tua lista clienti, le tue strategie commerciali o le tue offerte in corso può letteralmente toglierti il lavoro sotto i piedi. E non deve nemmeno essere un hacker: basta un ex dipendente con ancora l'accesso all'email, un gestionale web con credenziali deboli, o un cloud drive condiviso con permessi troppo ampi. Lo spionaggio industriale nelle PMI non fa notizia perché nessuno se ne accorge — non perché non succede. Un audit dei permessi e un test di sicurezza ti dicono esattamente chi può accedere a cosa, e dove sono le porte aperte.
→ Il 25% delle violazioni di dati ha motivazione di spionaggio (Verizon DBIR)
"Ho licenziato quel dipendente mesi fa, ormai non è più un problema."
+
Hai revocato l'accesso all'email aziendale? Alla VPN? Al pannello admin del sito? Al CRM? Alle cartelle su Google Drive o Dropbox? Al repository del codice? Hai cambiato le password condivise che conosceva? Nella maggior parte delle PMI, la procedura di offboarding IT semplicemente non esiste. Il risultato: ex dipendenti che possono accedere ai tuoi sistemi per settimane, mesi, a volte anni dopo l'uscita. E se quell'ex dipendente è arrabbiato — per il licenziamento, per l'ultimo stipendio, per un contrasto personale — hai un attore motivato con le chiavi di casa. Un security audit verifica proprio questo: chi ha ancora accesso, a cosa, e se quel accesso dovrebbe esistere.
→ Il 49% degli ex dipendenti mantiene accesso ai sistemi dopo l'uscita (Beyond Trust)
Domande pratiche sul servizio

"Ok, ma concretamente..."


"Dopo il vostro intervento sono al sicuro al 100%?"
+
No, e chiunque te lo prometta ti sta mentendo. Fare un penetration test è come fare le analisi del sangue: analizziamo i parametri che il pacchetto copre, identifichiamo le anomalie, e ti diciamo esattamente cosa non va e quanto è grave. Ma le analisi non ti guariscono — ti danno la diagnosi. Poi serve il medico specialista per la cura. Allo stesso modo, il nostro report ti dice: "hai una SQL injection critica qui, un XSS lì, i permessi del database sono troppo ampi, tre ex dipendenti hanno ancora l'accesso attivo." Ti diamo il piano di remediation con priorità e istruzioni, ma l'implementazione delle correzioni la deve fare chi gestisce i tuoi sistemi (il tuo sviluppatore, il tuo sysadmin, o noi stessi come servizio aggiuntivo). E proprio come le analisi del sangue, vanno rifatte periodicamente — perché il software cambia, le minacce evolvono, e nuove vulnerabilità vengono scoperte ogni giorno.
→ Un pentest è una fotografia dello stato di sicurezza in quel momento. Non è una polizza assicurativa permanente.

"Che differenza c'è tra Vulnerability Assessment e Penetration Test?"
+
Restando nell'analogia medica: il Vulnerability Assessment è l'emocromo completo — una scansione ampia e automatizzata che identifica le vulnerabilità note. Ti dice "qui il colesterolo è alto, la glicemia è borderline." È più veloce, meno costoso, e copre un perimetro ampio. Il Penetration Test è la visita specialistica: un essere umano (il pentester) prende quei risultati e va in profondità. Non si limita a dire "c'è una potenziale falla qui" — la sfrutta davvero, esattamente come farebbe un attaccante. Ti dimostra con prove concrete (Proof of Concept) che da quella falla è possibile entrare nel database, leggere i dati dei clienti, o prendere il controllo del server. È la differenza tra sapere che la porta potrebbe essere aperta e aprirla davvero per dimostrarti cosa succede.
-> CT/Recon Free e gratuito. CT/Recon Base (Gratuito) e l'analisi completa dall'esterno. CT/Recon Completo include anche le indicazioni su come risolvere. CT/AppSec (€800) aggiunge il test attivo su applicazione e API.

"Cosa ricevo esattamente alla fine?"
+
Non un PDF da 200 pagine pieno di gergo tecnico incomprensibile. Ricevi un report strutturato con tre livelli di lettura: un Executive Summary di una pagina per il titolare (cosa rischi, quanto è grave, quanto costa sistemare), una sezione tecnica per il tuo sviluppatore o IT con ogni vulnerabilità classificata per gravità (CVSS), la prova che è reale (Proof of Concept con screenshot), e le istruzioni precise per correggerla. In più, un piano di remediation prioritizzato: prima le cose critiche, poi le importanti, poi le migliorative. Infine, una sessione di debriefing in videochiamata dove ti spiego tutto di persona, rispondendo a ogni domanda. Nel pacchetto Penetration Test e Audit Completo è incluso anche un re-test gratuito per verificare che le correzioni siano state applicate correttamente.
→ Executive Summary per il titolare + Report tecnico per l'IT + Piano prioritizzato + Debriefing + Re-test

"E chi sistema le cose che trovate? Il mio sviluppatore è capace?"
+
Nella maggior parte dei casi, sì. Il report contiene istruzioni talmente dettagliate che uno sviluppatore competente può implementare le correzioni in autonomia. Ti dico esattamente quale riga di codice è vulnerabile, quale parametro non è sanificato, quale configurazione va cambiata — con esempi di codice corretto. Per le cose più semplici (aggiornamento librerie, configurazione headers di sicurezza, revoca accessi) bastano spesso poche ore. Per vulnerabilità più profonde (architettura dell'autenticazione, crittografia, separazione dei privilegi), posso affiancare il tuo sviluppatore in una sessione di lavoro congiunta o intervenire direttamente come consulente. Ricorda: io stesso ho 5+ anni di esperienza come sviluppatore backend (Ruby on Rails, Node.js, Python) — parlo la stessa lingua del tuo dev.
→ Il report è fatto per essere azionabile, non per finire in un cassetto. Se serve supporto extra, sono disponibile.

"Ogni quanto andrebbe rifatto il test?"
+
Come le analisi del sangue: dipende dal tuo stato di salute. Come minimo, una volta all'anno — è anche ciò che raccomandano lo standard ISO 27001 e le linee guida OWASP. Ma ci sono situazioni in cui va fatto prima: dopo un rilascio importante del software (nuove funzionalità = nuove potenziali falle), dopo un cambio di fornitore IT o di hosting, dopo un turnover significativo di personale (nuovi accessi da controllare, vecchi da revocare), o se operi in un settore ad alto rischio come sanità, finanza, o e-commerce. Se hai un'applicazione che cambia spesso, il pacchetto ideale include test continui a cadenza trimestrale o semestrale — ne parliamo nella call conoscitiva.
→ Minimo annuale. Dopo ogni rilascio significativo. Dopo ogni cambio di personale con accessi ai sistemi.

"Il test può rompere qualcosa o bloccare il mio sito?"
+
È una preoccupazione legittima, e la risposta onesta è: il rischio esiste ma è minimo, e facciamo tutto il possibile per azzerarlo. Prima di iniziare, concordiamo insieme le fasce orarie (tipicamente notturne o nei periodi di basso traffico), definiamo cosa è escluso dal test (es. niente DoS, niente dati di produzione reali), e stabiliamo un contatto di emergenza H24 per il periodo del test. I test che eseguiamo non sono "bombardamenti" — sono analisi precise e controllate. Non cancello dati, non modifico database, non mando offline nulla. Se durante un test rilevo una vulnerabilità critica che potrebbe causare danni se sfruttata da altri, ti avviso immediatamente prima ancora di finire il report. Tutto questo è formalizzato nel documento di autorizzazione che firmiamo insieme.
→ Test controllato, in fasce orarie concordate, con contatto emergenza H24. Zero sorprese.

"Non ho un reparto IT. Posso comunque fare il test?"
+
Assolutamente sì — anzi, è proprio la situazione in cui un assessment è più urgente. Se non hai un IT interno, probabilmente il sito lo ha fatto un'agenzia, il gestionale è un SaaS, e l'hosting è gestito dal provider. Ma chi controlla che tutto sia configurato correttamente? Chi verifica che le password non siano "admin123"? Chi revoca gli accessi quando cambi fornitore? Nessuno. Ed è esattamente il lavoro che faccio io. Per la fase di remediation, se non hai un IT interno, posso interfacciarmi direttamente con la tua agenzia web o il tuo fornitore hosting, parlando la loro lingua tecnica e assicurandomi che le correzioni vengano implementate. Oppure posso farlo io stesso come intervento diretto. Il primo passo è sempre la diagnosi — poi vediamo insieme come organizzare la cura.
→ Niente reparto IT? Nessun problema. Mi interfaccio con la tua agenzia o intervengo direttamente.

"Come faccio a fidarmi? Vi sto dando le chiavi di casa mia."
+
Domanda giustissima. Stai affidando la sicurezza dei tuoi sistemi a qualcuno che per mestiere cerca falle — è legittimo chiedere garanzie. Ecco cosa offro: sono certificato ISO 27001 Lead Auditor (non autodidatta, certificato da ente accreditato IBC). Firmiamo un documento di autorizzazione legale che definisce esattamente cosa posso e non posso fare, con clausole di riservatezza, trattamento dati GDPR e limitazione di responsabilità. Tutti i dati raccolti vengono cifrati e conservati per massimo 90 giorni, poi distrutti in modo sicuro. Non condivido nulla con nessuno — mai. Il mio profilo professionale è pubblico su LinkedIn: puoi verificare il mio percorso, le mie certificazioni, e le mie esperienze. La trasparenza è parte del servizio.
→ Certificazioni verificabili + contratto legale + cifratura dati + distruzione a 90gg + profilo pubblico.

Non aspettare l'incidente per investire nella prevenzione.

Una call conoscitiva di 15 minuti è gratuita e senza impegno. Capiamo insieme se e come posso aiutarti.

Prenota ora →
Finanziamenti attivi

Lo Stato ti rimborsa fino al 50%.

Esistono incentivi concreti — italiani ed europei — che coprono fino alla metà dei costi in cybersecurity. Molte PMI non lo sanno e perdono migliaia di euro di agevolazioni ogni anno.

● Attivo 2026
€20.000 max

Voucher Cloud & Cybersecurity MIMIT

150 milioni di euro per voucher a fondo perduto destinati a PMI per l'acquisto di soluzioni di cybersecurity e software di sicurezza.

Copertura: fino al 50% a fondo perduto
Extra: 71M€ riservati al Sud e Sicilia
Vai al bando MIMIT →
● Bando UE
€30.000 max

Bando SECURE — Digital Europe

Progetto europeo da 22 milioni di euro per rafforzare la cyber-resilienza delle PMI. Cofinanziamento al 50%.

Copertura: 50% a fondo perduto
Dettagli bando SECURE →
Prenota

Iniziamo a proteggere il tuo business

Compila il form, scegli il pacchetto e paga: Bitcoin o carta di credito.

Bitcoin
On-chain · Zero KYC
💳
Carta
Visa · Mastercard · AMEX

Pagamento diretto in Bitcoin · Zero intermediari · Zero KYC · Indirizzo unico per transazione

🎉

Pagamento confermato!

Il tuo ordine è stato ricevuto e confermato. Ti contatterò entro 24 ore per concordare la data di inizio.

🔐 Documento Legale

Autorizzazione Pentest

Firma Elettronica Avanzata (FEA) — eIDAS · CAD

⚖️

Questo documento ha valore legale. È richiesto prima dell'inizio di qualsiasi attività di penetration testing. La procedura include: verifica identità tramite OTP SMS, firma grafometrica digitale e generazione PDF con hash di integrità. Conforme a Reg. UE 910/2014 (eIDAS) e D.Lgs. 82/2005 (CAD).

01

Dati del Committente

Persona fisica o giuridica che commissiona il test

02

Perimetro del Test

Definisci esattamente cosa può essere testato

03

Clausole Contrattuali

Leggi attentamente e accetta le condizioni

AUTORIZZAZIONE AL PENETRATION TEST

Il presente documento costituisce formale autorizzazione, ai sensi degli artt. 50 e 615-ter del Codice Penale italiano, allo svolgimento delle attività di Penetration Testing.

Art. 1 — Oggetto

  1. Il Committente autorizza Corrado Tuccitto a condurre attività di analisi delle vulnerabilità sugli asset specificati nella sezione "Perimetro del Test".
  2. Le attività includono: scansioni di rete, test di autenticazione, iniezione di codice (SQL Injection, XSS, CSRF), fuzzing, analisi delle API, verifica configurazioni SSL/TLS.

Art. 2 — Perimetro e limiti

  1. Il Consulente opererà esclusivamente sugli asset indicati nel periodo temporale concordato.
  2. Sono esplicitamente escluse: attività DoS/DDoS, ingegneria sociale, accesso fisico a locali.

Art. 3 — Riservatezza

  1. Il Consulente si impegna alla massima riservatezza su tutte le informazioni acquisite durante il test.
  2. Il report finale sarà conservato in forma cifrata per 90 giorni, poi distrutto.
  3. Trattamento dati conforme al GDPR (Reg. UE 2016/679).

Art. 4 — Limitazione di responsabilità

  1. La responsabilità complessiva del Consulente è limitata all'importo del compenso pattuito.
  2. Il Committente riconosce il rischio intrinseco, seppur minimo, di disservizi temporanei.

Art. 5 — Legge applicabile

  1. Regolato dalla legge italiana. Foro competente: Messina.
04

Verifica identità e Firma Elettronica

OTP via SMS + firma grafometrica — FEA ai sensi del Reg. eIDAS e del CAD

🔐

Firma Elettronica Avanzata (FEA) — Questa procedura combina OTP via SMS e firma grafometrica. Riconosciuta ai sensi del Regolamento UE n. 910/2014 (eIDAS) e del D.Lgs. 82/2005 (CAD). Ha pieno valore legale equivalente alla firma autografa.

Fase 1: Verifica via SMS

Inserisci il numero di cellulare del firmatario. Riceverai un OTP a 6 cifre valido per 5 minuti.

🎉

Documento firmato elettronicamente

L'autorizzazione è stata firmata con Firma Elettronica Avanzata (FEA): OTP + firma grafometrica. Il PDF contiene la firma, i metadati di verifica e l'hash di integrità. Scarica entrambi i file e conservali.

📧 Una copia verrà inviata a support@ctsec.it e al tuo indirizzo email. Il test potrà iniziare alla data concordata.

📋 Validità legale: Il presente documento, sottoscritto con Firma Elettronica Avanzata (art. 26 Reg. UE 910/2014 — eIDAS, artt. 20-21 D.Lgs. 82/2005 — CAD), ha piena efficacia probatoria ai sensi dell'art. 2702 c.c.
Passo 1 di 4
🤝 Contratto di Partnership

Proponi una Partnership

Firma Elettronica Avanzata (FEA) — eIDAS · CAD

🤝

Proponi una partnership a favore di Corrado Tuccitto / CT/sec. Dopo la firma riceverai un voucher al portatore valido 2 anni che dà diritto allo sconto 100% su qualsiasi servizio. Il voucher è monouso e cedibile a terzi.

01

Dati del Proponente

Persona fisica o giuridica che propone la partnership

02

Proposta di Partnership

Descrivi cosa offri a Corrado Tuccitto / CT/sec

Come funziona: Il beneficiario della partnership è Corrado Tuccitto / CT/sec. In cambio della tua proposta, riceverai un voucher al portatore valido 2 anni per il servizio selezionato, pari al suo valore. Il voucher è monouso, soggetto ad approvazione e cedibile a terzi senza preavviso.
03

Clausole Contrattuali

Leggi attentamente e accetta le condizioni della partnership

CONTRATTO DI PARTNERSHIP

Il presente documento costituisce formale proposta di partnership a favore di Corrado Tuccitto / CT/sec.

Art. 1 — Oggetto

  1. Il Proponente propone una partnership a favore di Corrado Tuccitto / CT/sec, come descritto nella sezione "Proposta di Partnership".
  2. La partnership ha lo scopo di generare valore reciproco attraverso collaborazioni commerciali, tecniche o di marketing.

Art. 2 — Voucher

  1. In cambio della proposta accettata, il Proponente riceve un voucher al portatore del valore pari al servizio selezionato (), applicabile esclusivamente su tale servizio offerto da CT/sec.
  2. Il voucher è valido 2 anni dalla data di firma, monouso e non frazionabile.
  3. La partnership è soggetta ad approvazione da parte di CT/sec. Il voucher sarà utilizzabile solo dopo l'approvazione.

Art. 3 — Obblighi del Proponente

  1. Il Proponente si impegna ad adempiere a quanto descritto nella proposta di partnership.
  2. L'inadempimento non invalida il voucher già emesso.

Art. 4 — Riservatezza

  1. Le parti si impegnano alla massima riservatezza sui termini della partnership.
  2. Trattamento dati conforme al GDPR (Reg. UE 2016/679).

Art. 5 — Legge applicabile

  1. Regolato dalla legge italiana. Foro competente: Messina.

Art. 6 — Trasferibilità

  1. Il voucher è al portatore e può essere ceduto a terzi senza necessità di preavviso o autorizzazione.
04

Verifica identità e Firma Elettronica

OTP via SMS + firma grafometrica — FEA ai sensi del Reg. eIDAS e del CAD

🔐

Firma Elettronica Avanzata (FEA) — OTP via SMS + firma grafometrica. Riconosciuta ai sensi del Reg. UE n. 910/2014 (eIDAS) e del D.Lgs. 82/2005 (CAD).

Fase 1: Verifica via SMS

Inserisci il numero di cellulare del firmatario. Riceverai un OTP a 6 cifre valido per 5 minuti.

🎉

Partnership registrata! Ecco il tuo Voucher.

Voucher Code

Questo codice è valido 2 anni e può essere ceduto a terzi senza preavviso. Conservalo con cura.

Scadenza:
⏳ In attesa di approvazione — La tua proposta di partnership è stata registrata ed è in attesa di revisione. Riceverai una email con il contratto firmato e approvato quando la partnership sarà confermata. Solo allora il voucher sarà utilizzabile.
📋 Come usare il voucher: Dopo l'approvazione, nella sezione Prenota seleziona "Partnership" come metodo di pagamento e inserisci il codice voucher. Il voucher è valido solo per il servizio selezionato.
Passo 1 di 4
Sostenibilita

Il nostro impegno per l'ambiente.

La sicurezza informatica non deve costare al pianeta. Per questo abbiamo scelto una politica operativa consapevole che riduce al minimo il nostro impatto energetico.

🌑

Server spento nelle ore notturne

I nostri server vengono spenti ogni sera e riaccesi ogni mattina. Durante le ore notturne (tipicamente dalle 22:00 alle 07:00) il sito potrebbe non essere raggiungibile. Non e un problema tecnico: e una nostra scelta deliberata per ridurre il consumo energetico.

📅

Offline nei giorni festivi

Nei weekend, festivi e durante eventi particolari, il sito potrebbe essere offline. Crediamo che la disponibilita 24/7 non sia sempre necessaria e che l'energia risparmiata conti piu di qualche ora di uptime in orari in cui nessuno lavora.

🌱

Perche lo facciamo

Un server acceso 24/7 consuma quanto un frigorifero domestico — circa 200-400 kWh all'anno. Moltiplicato per milioni di server nel mondo, l'impatto e enorme. Noi scegliamo di fare la nostra parte, anche se piccola. Se trovi il sito temporaneamente non disponibile, sappi che e per una buona ragione.

Per richieste urgenti fuori orario — invia una email a support@ctsec.it. Risponderemo alla riapertura del servizio.