Penetration testing e security advisory con Letter of Authorization firmata, metodologia riconosciuta e report pensati per i board. Dalle web application alle infrastrutture critiche.
Ogni engagement inizia con una Letter of Authorization firmata dal rappresentante legale, che definisce IP, domini e finestra temporale. Nessuna attività al di fuori dello scope concordato.
Combiniamo standard riconosciuti a livello internazionale con verifica manuale. Gli automatismi trovano il rumore; l'analisi umana trova ciò che conta davvero.
Enumerazione di superfici, servizi e tecnologie esposte. Si definisce con precisione cosa è realmente attaccabile.
Test condotti secondo OWASP Top 10, PTES e NIST SP 800-115: copertura sistematica, ripetibile e documentata.
Le vulnerabilità non vengono solo segnalate: dove autorizzato, si dimostra l'impatto reale senza danneggiare i sistemi.
Report tecnico con evidenze e remediation per chi opera, executive summary chiaro per chi decide.
Definizione di scope, obiettivi e timeline con il referente aziendale.
Firma del rappresentante legale: IP, domini e periodo autorizzati, messi nero su bianco.
Assessment nel perimetro concordato. Nessuna attività fuori scope, comunicazione continua.
Consegna di report tecnico ed executive summary entro i termini pattuiti.
Presentazione ai decisori e roadmap di remediation prioritizzata.
Stiamo integrando modelli di nuova generazione capaci di ragionare sul codice sorgente, individuando classi di vulnerabilità che gli scanner tradizionali, basati su pattern, non rilevano.
Studio Cociu è in fase di accreditamento ai programmi di accesso avanzato dell'ecosistema Anthropic, di cui ha seguito da vicino le presentazioni a Google Cloud Next 2026.
La ricerca pubblicata da Anthropic ha mostrato modelli capaci di individuare vulnerabilità rimaste latenti per oltre vent'anni in software maturo. Portiamo questo approccio nell'assessment professionale.
Richiedi accesso anticipatoLe risposte alle domande che ci vengono poste più spesso prima di un engagement.
È il documento, firmato dal rappresentante legale dell'organizzazione, che autorizza formalmente le attività di test specificando indirizzi IP, domini e finestra temporale. Senza LoA non iniziamo nessuna attività: è ciò che rende il penetration test legale e tracciabile.
OWASP Top 10 per le applicazioni web, PTES (Penetration Testing Execution Standard) per il processo complessivo e NIST SP 800-115 come riferimento tecnico. La copertura è sistematica, ripetibile e documentata.
Sempre ed esclusivamente. Ogni attività si svolge nel perimetro definito dalla LoA. Nessun test viene mai condotto su sistemi di terzi o fuori dallo scope concordato.
Un report tecnico con le evidenze e le indicazioni di remediation prioritizzate, e un executive summary leggibile dal board. Per gli engagement più ampi è prevista la presentazione diretta ai decisori.
Dipende dallo scope: un Web Application Assessment richiede 5–7 giorni, un Infrastructure Assessment 10–15 giorni, un Full Red Team 3–6 settimane. La timeline precisa viene concordata nella fase iniziale.
Il servizio è esposto secondo i protocolli di commercio agentico di frontiera: un agente AI può scoprire il catalogo e avviare l'ingaggio in autonomia. Ogni engagement parte comunque da un acconto di scoping e da una Letter of Authorization firmata.
Universal Commerce Protocol per Gemini e AI Mode./.well-known/ucp
Agentic Commerce Protocol per ChatGPT e Operator, via Stripe./.well-known/acp
Pagamenti HTTP 402 nativi per agenti./.well-known/x402
Acconto di scoping di €500 per avviare l'assessment. Saldo dopo la Letter of Authorization firmata e lo scope concordato. Umani: pagamento via SumUp. Agenti AI: pagamento via Stripe (ACP).
Descrivi il tuo scope e riceverai una risposta entro 24 ore con la proposta e il template di Letter of Authorization.