ATTIVITÀ DI VULNERABILITY ASSESSMENT – PENETRATION TEST – CYBER RISK INVESTIGATION

​

Articolo 1 – Esecuzione del servizio

Il Cliente prende atto e accetta che:

• le attività di Vulnerability Assessment (VA) sono svolte mediante:

  • strumenti automatizzati di analisi della sicurezza;

  • attività di verifica estesa, comprensive, ove applicabile, di tentativi controllati di exploitation delle vulnerabilità individuate, al solo fine di validarne l’effettiva sfruttabilità;

• le attività di exploitation svolte nell’ambito del Vulnerability Assessment hanno finalità esclusivamente dimostrativa e tecnica.

È espressamente escluso che le attività di Vulnerability Assessment, anche nella loro forma estesa, comprendano:

• attività di post-exploitation;

• esfiltrazione, copia, modifica o cancellazione di dati;

• accesso ai contenuti informativi del Cliente;

• persistenza, movimentazione laterale o escalation dei privilegi oltre il perimetro strettamente necessario alla validazione tecnica.

Le attività di Vulnerability Assessment non richiedono la sottoscrizione preventiva di accordi di non divulgazione (NDA) né lo svolgimento di kickoff meeting, salvo diverso accordo scritto tra le parti.

Le attività di Penetration Test (PT) restano invece subordinate a specifica autorizzazione formale, definizione del perimetro, eventuale NDA e condizioni di manleva dedicate.

 

Articolo 2 – Oggetto del servizio e autorizzazione del Cliente

Il Cliente autorizza il Fornitore a eseguire, secondo quanto concordato:

• attività di Vulnerability Assessment, standard o esteso;

• attività di Penetration Test, ove espressamente richieste;

• attività di Cyber Risk Investigation.

Il Cliente dichiara di essere titolare o legittimamente autorizzato all’utilizzo, alla gestione e all’analisi dei sistemi, domini, applicazioni, dati e asset oggetto dei servizi.

 

Articolo 3 – Limitazione di responsabilità e manleva (VA / PT)

Il Cliente è consapevole che, in particolare nell’ambito delle attività di Penetration Test, le operazioni di testing possono involontariamente causare disservizi, rallentamenti, crash o reboot dei sistemi.

Il Cliente accetta la piena responsabilità dei rischi potenziali e delle attività necessarie al ripristino delle funzionalità eventualmente compromesse e manleva e tiene indenne il Fornitore da qualsiasi pretesa, richiesta o azione derivante da:

• interruzioni di servizio;

• problemi operativi;

• accessi non autorizzati conseguenti a vulnerabilità emerse;

• danni diretti o indiretti, incidentali o consequenziali.

Resta espressamente esclusa ogni responsabilità del Fornitore per conseguenze derivanti da vulnerabilità validate mediante exploitation nell’ambito del Vulnerability Assessment, fermo restando che tali attività non includono post-exploitation né esfiltrazione di dati.

 

Articolo 4 – Obbligo di diligenza

Il Fornitore si impegna a svolgere i servizi con la massima diligenza professionale, mantenendo le attività nei limiti delle finalità di verifica della sicurezza e riducendo, per quanto tecnicamente possibile, l’impatto sui sistemi del Cliente.

 

Articolo 5 – Dichiarazioni del Cliente

Il Cliente dichiara:

• di disporre di tutte le autorizzazioni necessarie a consentire l’esecuzione dei servizi;

• di fornire informazioni corrette, complete e aggiornate;

• di essere stato informato delle modalità operative e dei limiti dei servizi richiesti.

 

Articolo 6 – Definizione del servizio di Cyber Risk Investigation

Il servizio di Cyber Risk Investigation consiste in un’attività di analisi dell’esposizione al rischio cyber del Cliente, svolta mediante:

• analisi di fonti pubblicamente accessibili;

• attività di OSINT e threat intelligence;

• analisi di circuiti del cosiddetto “dark web”;

• correlazione di dati e indicatori di rischio.

Il servizio ha natura preventiva, valutativa e informativa.

 

Articolo 7 – Perimetro operativo del Cyber Risk Investigation

Il Cliente prende atto che il servizio di Cyber Risk Investigation:

• non comporta accessi non autorizzati a sistemi o reti;

• non utilizza tecniche intrusive o di attacco;

• non prevede scansioni attive sui sistemi del Cliente;

• non costituisce attività di Vulnerability Assessment o Penetration Test.

 

Articolo 8 – Autorizzazioni specifiche del Cliente

Il Cliente autorizza il Fornitore a:

• analizzare dati riferibili al proprio dominio, brand, infrastruttura o organizzazione;

• consultare fonti di threat intelligence e dark web;

• trattare informazioni che possono provenire anche da soggetti terzi.

Il Cliente manleva il Fornitore da ogni responsabilità derivante da difetti di titolarità o autorizzazione sugli asset analizzati.

 

Articolo 9 – Limiti del servizio di Cyber Risk Investigation

Il Cliente riconosce che:

• la presenza di dati nel dark web non implica necessariamente una violazione in corso;

• i dati reperiti possono essere obsoleti, duplicati, incompleti o alterati;

• l’assenza di evidenze non equivale all’assenza di rischio;

• le analisi riflettono lo stato delle fonti al momento dell’esecuzione.

 

Articolo 10 – Assenza di garanzia di rimozione dei dati

Il Fornitore non garantisce la rimozione, cancellazione o deindicizzazione di dati presenti su:

• dark web;

• forum;

• marketplace;

• archivi o sistemi gestiti da soggetti terzi.

Il servizio è limitato all’identificazione e valutazione del rischio.

 

Articolo 11 – Cyber Risk Score, impatto economico e remediation

Eventuali Cyber Risk Score, stime di impatto economico, simulazioni di scenario e raccomandazioni di remediation:

• hanno natura modellistica e previsionale;

• non costituiscono previsione certa di eventi futuri;

• non costituiscono prova di danno subito.

Le decisioni di mitigazione e gestione del rischio restano di esclusiva competenza del Cliente.

 

Articolo 12 – Divieto di utilizzo probatorio e di affidamento

I risultati dei servizi VA, PT e Cyber Risk Investigation:

• non costituiscono perizia, certificazione o accertamento tecnico;

• non hanno valore probatorio in sede giudiziaria o amministrativa;

• non possono essere utilizzati in denunce, segnalazioni ad Autorità o contenziosi;

• non possono essere integrati o reinterpretati attribuendo al Fornitore valutazioni non espresse.

Ogni utilizzo difforme avviene a esclusivo rischio del Cliente.

 

Articolo 13 – Separazione delle responsabilità

Il Fornitore analizza e segnala indicatori di rischio.
Il Cliente resta unico responsabile delle decisioni di sicurezza, delle azioni di remediation e delle conseguenze derivanti dalla loro mancata o ritardata attuazione.

 

Articolo 14 – Confidenzialità

Il Fornitore si impegna a trattare come strettamente confidenziali tutte le informazioni acquisite durante l’esecuzione dei servizi.
I risultati potranno essere utilizzati in forma anonimizzata esclusivamente per finalità di studio e ricerca.

 

Articolo 15 – Subappalto

Il Fornitore può avvalersi di collaboratori esterni qualificati, vincolati da accordi di riservatezza.
Il Fornitore mantiene la responsabilità per le attività affidate a terzi.

 

Articolo 16 – Durata e risoluzione

Le presenti condizioni entrano in vigore alla data di sottoscrizione e restano valide fino al completamento dei servizi.
Ciascuna parte può recedere con preavviso scritto di 15 giorni, fermo restando il pagamento delle attività già svolte.

 

Articolo 17 – Disposizioni finali

Il presente accordo è regolato dalla legge italiana.
Per ogni controversia è competente in via esclusiva il Tribunale di Roma.