Qualificazione ACN e penetration test per evidenze tecniche PA

La Qualificazione ACN (Qualificazione dei Servizi Cloud per la Pubblica Amministrazione – Agenzia per la Cybersicurezza Nazionale) richiede ai provider cloud e ai fornitori SaaS di dimostrare che servizio, perimetro tecnico, superficie esposta, ruoli privilegiati e gestione operativa sono allineati alle aspettative di sicurezza del committente pubblico.

Quando questi requisiti si riflettono su applicazioni, portali, API e ambienti cloud, il penetration test aiuta a produrre evidenze tecniche concrete: senza scope, remediation e retest allineati al contesto ACN, la qualificazione resta un requisito formale difficile da difendere in audit o vendor assessment.

Qualificazione ACN e sicurezza tecnica

La Qualificazione ACN conta sul piano tecnico perché il committente pubblico non valuta solo policy, ma anche la capacità del servizio di reggere su applicazioni, API, identità privilegiate, logging, segregazione e continuità. Il rischio è concreto soprattutto in presenza di:

• Portali e applicazioni usate da enti, operatori e cittadini;
• API e integrazioni con sistemi esterni o servizi di supporto;
• Ambienti cloud con superfici internet-facing o ruoli amministrativi ampi;
• Workflow che devono restare affidabili e difendibili anche in audit e qualifica.

In breve

Il penetration test non sostituisce la qualificazione: aiuta a renderla credibile sul piano tecnico. Quando i requisiti ACN riguardano applicazioni, portali, API o infrastrutture esposte, il test produce evidenze utili per audit, qualifica, vendor assessment e decisioni di rischio.

A chi si rivolge questa guida

Questa guida è utile a CISO, CTO, IT Manager, Compliance Manager e Bid Manager, nonché a fornitori cloud, SaaS e software house che lavorano o vogliono lavorare con la PA, a team che devono collegare requisiti ACN, rischio tecnico ed evidenze verificabili, e a organizzazioni che affrontano verifiche, due diligence o richieste di assurance da parte di enti pubblici e centrali di committenza.

Dove il penetration test produce evidenze utili

Il penetration test è utile soprattutto quando occorre dimostrare che la superficie esposta del servizio non presenta vulnerabilità facilmente sfruttabili, che ruoli, autorizzazioni e percorsi amministrativi non aprono escalation indebite, che applicazioni, API e componenti cloud resistono a scenari realistici di abuso e che remediation e retest producono una prova leggibile anche da auditor, buyer pubblici e stakeholder non tecnici. In pratica, il test aiuta a trasformare la qualificazione da requisito formale a prova tecnica spendibile.

Nei test su servizi cloud in percorso di Qualificazione ACN, i finding più ricorrenti riguardano la segregazione incompleta tra ambienti produttivi e di gestione, l’accesso degli operatori di supporto a dati degli enti clienti privo di controlli adeguati e le API esposte alle PA che non verificano correttamente l’identità e le autorizzazioni dell’ente richiedente.

Cosa verificano buyer, auditor e enti pubblici

Un responsabile acquisti PA, un valutatore ACN o un ente pubblico che seleziona un servizio cloud qualificato chiede elementi precisi:

• Il servizio ha superato la qualificazione ACN per la categoria corretta (SaaS, PaaS, IaaS) e per il livello di sicurezza richiesto (Base, Elevato)?
• Applicazioni, API, pannelli di amministrazione e ambienti di gestione sono stati verificati tecnicamente in modo indipendente?
• I finding tecnici impattano requisiti specifici della qualificazione ACN, come segregazione, logging, continuità o gestione degli accessi privilegiati?
• La remediation è tracciabile e documentabile per supportare audit successivi da parte dell’ACN?
• Esiste un retest che chiude le vulnerabilità critiche prima del rinnovo della qualificazione?

Mappatura tra requisiti ACN, rischio ed evidenze

Area da validare	Evidenza utile	Attività ISGroup più adatta	Output atteso
Applicazioni e portali del servizio	Vulnerabilità sfruttabili, abuso di ruolo, impatto sul processo	Web Application Penetration Testing	Executive summary, finding, remediation
Configurazioni cloud, IAM e servizi esposti	Errori di configurazione, privilegi e trust boundary deboli	Cloud Security Assessment	Dettaglio tecnico e priorità
Rete, accessi remoti e componenti esposti	Hardening debole, pivoting, esposizione di servizi	Network Penetration Testing	Report tecnico e rischio operativo
Governo del miglioramento	Piano di trattamento, ownership e follow-up	Virtual CISO	Roadmap e retest

Caso d’uso: fornitore cloud in percorso di qualificazione

Uno scenario tipico è quello di un fornitore che propone alla PA un portale o un servizio cloud già maturo sul piano funzionale, ma che deve dimostrare anche robustezza tecnica. La documentazione può essere ordinata, ma quando arriva la verifica emergono domande operative su ruoli amministrativi, API, tenant, logging, superfici esposte e processi di remediation. In quel momento il penetration test traduce il requisito in evidenza tecnica concreta. Un caso utile da considerare in questo contesto è il Web Application Penetration Test su Albo pretorio di ISWEB S.p.A., che mostra come ISGroup colleghi verifica tecnica, remediation e fiducia del cliente in un risultato leggibile anche fuori dal team security.

Errori frequenti nella gestione della qualificazione ACN

• Trattare la qualificazione come una pratica solo documentale;
• Testare solo la parte pubblica del servizio ignorando ruoli e workflow amministrativi;
• Non includere API, integrazioni o componenti cloud critici;
• Produrre un report tecnico senza collegarlo alle aspettative della PA;
• Chiudere l’attività senza retest.

Domande frequenti sulla Qualificazione ACN e il penetration test

• La Qualificazione ACN prevede esplicitamente un penetration test?
• I requisiti tecnici della Qualificazione ACN includono controlli specifici su test e verifica del codice, vulnerability management e penetration test come misure di verifica della postura di sicurezza. Per i servizi di livello Elevato questi requisiti diventano più stringenti. Un penetration test indipendente è quindi sia un elemento di conformità sia una prova tecnica concreta per gli enti clienti.
• Cosa distingue i tre livelli di qualificazione ACN (Base, Standard, Elevato)?
• I livelli riflettono il profilo di rischio dei dati trattati: Base per dati pubblici, Standard per dati con riservatezza media, Elevato per dati sensibili o critici della PA. I requisiti di sicurezza tecnica — inclusi penetration test, logging, cifratura e gestione degli incidenti — diventano progressivamente più rigorosi al crescere del livello.
• Come si usa la Qualificazione ACN nel Marketplace ACN?
• La qualificazione è il prerequisito per inserire un servizio cloud nel Marketplace ACN (ex Cloud Marketplace AgID). Gli enti pubblici italiani possono acquistare solo servizi qualificati presenti nel marketplace. Una verifica tecnica documentata e aggiornata accelera sia il processo di qualificazione sia la risposta alle richieste di due diligence degli enti acquirenti.

Per collegare la Qualificazione ACN a evidenze tecniche spendibili, il primo passo utile è chiarire quali superfici, quali ruoli e quali componenti cloud del servizio sono davvero critici per la qualifica e per il committente pubblico. È possibile partire dal Cloud Security Assessment, approfondire le superfici applicative con il Web Application Penetration Testing e usare il Virtual CISO per trasformare i risultati in un percorso di miglioramento leggibile.

Approfondimenti correlati

• Per capire quando il penetration test serve davvero nel contesto ACN, è disponibile un approfondimento su Qualificazione ACN e quando il penetration test conta davvero;
• Per audit, vendor assessment e fiducia del buyer pubblico, è utile la guida sulle evidenze utili per audit e vendor assessment nella Qualificazione ACN;
• Per scope, deliverable e retest, è disponibile la guida pratica su scope, deliverable e retest nella Qualificazione ACN.