← Learn
Definizione6 min di lettura

Che cos'è il TLPT (Threat-Led Penetration Testing)?

Definizione breve

Il TLPT è una forma di penetration testing mandata dal regolatore in cui gli scenari d'attacco sono guidati esplicitamente dalla threat intelligence sugli avversari che stanno effettivamente bersagliando l'entità testata, eseguita da un red team indipendente con metodologia documentata e chain di evidenze verificabile.

Perché conta adesso

Il TLPT è diventato requisito vincolante per le entità finanziarie UE significative ai sensi dell'art. 26 di DORA da gennaio 2025. Gli RTS 2025 hanno codificato TIBER-EU come metodologia di riferimento e reso la chain di evidenza — dall'input di threat-intel al red-team test fino alla closure — verificabile dall'autorità competente. Fallire il test sulle evidenze è un enforcement event, non un finding di qualità.

Punti chiave

  • Mandato da DORA art. 26 per entità finanziarie significative; raccomandato per qualsiasi operatore regolato sotto NIS2.
  • Metodologia di riferimento: TIBER-EU (Threat Intelligence-based Ethical Red Teaming).
  • Fasi: TI Provision → Red Team Test → Purple Team → Closure, con artefatti obbligatori per ognuna.
  • L'indipendenza del red team esterno è requisito vincolante, non preferenza di qualità.
  • Le evidenze devono essere verificabili — i tipici PDF contractor non soddisfano più lo standard.
  • Cadenza baseline: ogni 3 anni per l'esercizio formale; test continui sui sistemi ICT critici ex art. 25 nel mezzo.

Come il TLPT differisce da un pentest standard

Un pentest standard parte da un documento di scope. Il TLPT parte dalla threat intelligence su chi sta bersagliando il tuo settore — Brain Cipher, Akira, FIN12, Scattered Spider, attori di matrice statuale — e riproduce le loro TTP (tattiche, tecniche e procedure) effettive nel tuo ambiente.

Le implicazioni pratiche: lo scope è informato dalla capacità avversaria invece che dalla convenienza del cliente, il team di test dev'essere indipendente dall'entità (niente red team in-house per l'esercizio formale), e la metodologia è documentata e riproducibile. Ogni fase produce artefatti firmati che l'autorità competente può richiedere e verificare.

Le fasi TIBER-EU in parole semplici

  1. TI Provision — un provider di threat intelligence produce un report tailored su chi ti attaccherebbe, come, e quali asset crown-jewel mirerebbe. Firmato, datato, attribuibile.
  1. Red Team Test — un red team indipendente esegue gli scenari dal report TI sull'ambiente di produzione, con rules of engagement firmate da entrambe le parti. Sistemi reali, utenti reali, nessun annuncio al SOC.
  1. Purple Team — red e blue team ricostruiscono la catena d'attacco insieme. Finding, gap di detection e fallimenti di processo vengono catalogati.
  1. Closure — piano di remediation, retest, report formale di chiusura firmato dall'entità e dall'osservatore dell'autorità competente.

Il requisito di chain-of-evidence (RTS 2025)

Gli RTS 2025 hanno rafforzato i requisiti di evidenza. Ogni artefatto TLPT dev'essere verificabile crittograficamente in sequenza, dall'input di threat-intelligence al documento di chiusura finale. Un PDF marcato "v1.3" con timestamp editoriale non basta più.

È il motivo operativo per cui le piattaforme di continuous testing con chain di evidenze firmate integrate (ECDSA, bundle firmati X.509, log con timestamp) sono diventate favorite in procurement: spediscono il requisito artefattuale come sottoprodotto delle operazioni normali, invece che come task di assemblaggio manuale al momento della submission TLPT.

Ogni quanto va eseguito il TLPT?

Il baseline DORA è una volta ogni tre anni per l'esercizio TLPT formale sui sistemi ICT critici. Non sostituisce però l'obbligo art. 25 di testare in continuo — gli standard tecnici EBA rendono esplicito che "continuo" significa continuo, informato dalla threat intelligence corrente, non una cadenza trimestrale con TLPT incollato sopra.

Nella pratica, le entità mature eseguono il TLPT formale ogni 24-36 mesi e mantengono nel mezzo una validazione continua in stile TLPT (automatizzata, con gli stessi input TI e la stessa chain di evidenze firmate). Il beneficio è che l'esercizio formale diventa una conferma, non una scoperta.

Approfondisce

Vuoi questo sul tuo ambiente?

Prenota una call di scoping di 30 minuti — mappiamo direttamente sul tuo scope di compliance attuale e sul tuo profilo di minaccia.

Richiedi una demoEsplora i casi d'uso
← Torna alla Home