Il principio DNSH (Do No Significant Harm) entra nel perimetro tecnico ogni volta che la dimostrazione di conformità dipende da piattaforme digitali, workflow documentali, API o sistemi di monitoraggio ambientale.
Quando questi sistemi presentano vulnerabilità, il rischio non è solo informatico: è la credibilità stessa del processo di rendicontazione a essere compromessa, con conseguenze dirette su audit, due diligence e fiducia degli stakeholder.
In breve: DNSH e rischio digitale
Il principio DNSH conta sul piano tecnico quando la raccolta di evidenze, la gestione dei dati, il monitoraggio dei KPI o la reportistica ambientale passano da sistemi digitali. In questi casi il penetration test non serve a “certificare il DNSH”, ma a verificare se portali, API, workflow documentali e piattaforme di reporting siano abbastanza affidabili da sostenere la dimostrazione di conformità. Il suo valore cresce quando aiuta a proteggere integrità, disponibilità e correttezza delle informazioni usate nelle verifiche.
A chi è utile questa guida
Il contenuto è rilevante per ESG Manager, Compliance Manager, CTO e IT Manager; per le organizzazioni che devono dimostrare DNSH in progetti finanziati, investimenti o processi di rendicontazione; per i fornitori di software e piattaforme che supportano reporting ambientale, monitoraggio o documentazione tecnica; e per i team che devono collegare rischio digitale, affidabilità dei dati e credibilità delle evidenze.
Perché il DNSH riguarda anche i sistemi informativi
Il principio DNSH vive spesso dentro processi documentali e decisionali che si appoggiano a sistemi informativi. Questo crea punti di attenzione molto concreti:
- Dati ambientali o tecnici raccolti tramite piattaforme web o integrazioni API;
- Workflow approvativi e documentali che devono restare integri e tracciabili;
- Repository che custodiscono allegati, relazioni, attestazioni e prove di conformità;
- Sistemi di monitoraggio o dashboard che influenzano decisioni e verifiche;
- Accessi privilegiati che, se abusati, possono alterare evidenze o lo storico delle informazioni.
In questo contesto il rischio cyber non si limita al furto di dati: riguarda anche la perdita di affidabilità del processo che deve dimostrare l’assenza di danni significativi.
Dove il penetration test crea valore in un percorso DNSH
In un percorso legato a DNSH, il penetration test crea valore soprattutto quando bisogna dimostrare che:
- Portali e workflow usati per gestire la conformità non sono facilmente alterabili;
- Ruoli, approvazioni e accessi privilegiati non permettono modifiche improprie a dati o allegati;
- Integrazioni, API e repository non espongono informazioni o permettono manipolazioni indesiderate;
- Il sistema di evidenze regge abbastanza bene da sostenere audit, due diligence o controlli ex post;
- Remediation e retest producono un percorso di affidabilità più leggibile.
In pratica, il test serve a verificare che l’infrastruttura digitale che sostiene il DNSH non introduca un rischio significativo proprio dove si vuole dimostrare il contrario.
Nei test su ambienti dove la dimostrazione DNSH dipende da sistemi digitali, i finding più ricorrenti riguardano portali di raccolta evidenze con workflow di approvazione non tracciato in modo difendibile, API di integrazione con piattaforme di reportistica ESG che permettono la modifica dei dati inviati dopo la validazione, e sistemi documentali con controllo di versione insufficiente a dimostrare l’immutabilità delle evidenze presentate agli auditor.
Cosa cercano auditor e stakeholder nelle verifiche
Chi valuta un processo o un servizio collegato a DNSH tende a cercare:
- Chiarezza su come sono raccolte, custodite e aggiornate le evidenze;
- Affidabilità dei sistemi che producono o gestiscono i dati usati nella rendicontazione;
- Protezione di ruoli, approvazioni e storico documentale;
- Vulnerabilità con impatto sulla credibilità del processo, non solo sull’IT in astratto;
- Remediation e retest che mostrino controllo operativo del rischio.
La differenza la fa la capacità di collegare vulnerabilità tecnica e potenziale danno alla solidità del processo di conformità.
Mappatura tra aree di rischio, evidenze e attività
| Area da validare | Evidenza utile | Attività più adatta | Output atteso |
|---|---|---|---|
| Portali e workflow di raccolta evidenze | Vulnerabilità sfruttabili, alterazione dati, gap di autenticazione | Web Application Penetration Testing | Executive summary, finding, remediation |
| Architettura del processo digitale | Punti deboli su approvazioni, ruoli, integrazioni e tracciabilità | Secure Architecture Review | Lettura tecnica del rischio e priorità |
| Componenti infrastrutturali e accessi esposti | Esposizione, hardening debole, accessi impropri | Network Penetration Testing | Report tecnico e impatto operativo |
| Continuità del presidio | Roadmap, remediation, governance e follow-up | Virtual CISO | Piano di miglioramento e retest |
Caso d’uso: due diligence su piattaforme di rendicontazione ambientale
Uno scenario tipico è quello di un’organizzazione che usa piattaforme digitali per raccogliere, aggregare e validare dati ambientali o tecnici a supporto di un dossier DNSH. La conformità documentale sembra in ordine, ma durante una due diligence emergono domande molto pratiche: chi può cambiare i dati? Le API sono protette? Gli allegati possono essere sostituiti? Lo storico è affidabile? In quel momento il penetration test aiuta a capire se il processo è robusto anche dal punto di vista digitale.
Errori frequenti nella gestione del rischio digitale DNSH
- Trattare il DNSH come tema solo legale o documentale;
- Ignorare che la conformità dipende da sistemi, workflow e dati digitali;
- Concentrarsi solo sulla riservatezza e non su integrità e tracciabilità delle evidenze;
- Non collegare il rischio tecnico all’affidabilità del processo di rendicontazione;
- Chiudere il lavoro senza retest o percorso di miglioramento.
Domande frequenti su DNSH e penetration test
- Il DNSH richiede obbligatoriamente un penetration test?
- No. DNSH (Do No Significant Harm) non è uno schema di sicurezza tecnica. Una verifica tecnica diventa però molto utile quando il rispetto del principio dipende da sistemi digitali che gestiscono dati, workflow o prove documentali.
- Perché la sicurezza informatica conta in un percorso DNSH?
- Se piattaforme, dati o processi digitali non sono affidabili, anche la dimostrazione di conformità può perdere credibilità davanti ad auditor, investitori o enti finanziatori.
- Quali evidenze sono riusabili in audit o vendor assessment?
- Executive summary, scope, finding con impatto sul processo, remediation plan e retest sono le prove più utili per documentare il rischio in modo leggibile e difendibile.
Le vulnerabilità delle applicazioni web possono esporre la tua azienda a rischi e attacchi informatici.
Affidati a ISGroup per:
- Web Application Penetration Test efficace e mirato
- Individuazione e correzione preventiva delle falle di sicurezza
- Supporto tecnico da esperti in sicurezza applicativa
Per capire quanto il rischio digitale possa indebolire un percorso DNSH, il primo passo utile è chiarire quali sistemi, dati e workflow sostengono davvero la conformità. Si può partire da una Secure Architecture Review per mappare i punti critici, usare il Web Application Penetration Testing sui portali più esposti e affiancare il Virtual CISO per trasformare il lavoro in un presidio continuativo.
Approfondimenti correlati
- Per valutare quando il penetration test è davvero necessario in un contesto DNSH, è utile l’approfondimento su DNSH e quando il penetration test conta davvero;
- Per capire come costruire evidenze solide per audit e vendor assessment, si può consultare la guida su DNSH e le evidenze utili per audit e vendor assessment;
- Per definire scope, deliverable e retest in modo operativo, è disponibile la guida pratica su DNSH, scope, deliverable e retest.