Chiunque abusivamente si introduce in un sistema informatico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a 3 anni.

Cosa significa questa frase, vista nell’ottica di un penetration tester? La risposta è semplice: per quanto buone possano essere le vostre intenzioni, mai eseguire un penetration test (o anche solo una parte di esso) su sistemi che non siano di vostra proprietà, a meno che non disponiate di un apposito permesso scritto da parte di tutti i proprietari dell’infrastruttura da testare. Ovviamente, per “permesso scritto” non stiamo parlando certo di una semplice mail (soluzione che qualcuno potrebbe proporvi), ma piuttosto di un documento formale (la cosiddetta manleva) in cui si stabilisce, tra l’altro, quali siano i sistemi da testare, che tipo di test effettuare e i vincoli a cui dovete attenervi. È questo documento (e il rispetto dei relativi termini) che differenzia un penetration tester (ovvero un professionista) da un volgare pirata informatico.