zum Inhalt springen
    ntc-labor-services-titel

    Testiamo ciò che altrimenti non verrebbe testato.

    Test di cibersicurezza indipendenti e lungimiranti - per una Svizzera digitale sicura.

    L'Istituto nazionale di test per la cibersicurezza NTC è un'associazione indipendente senza scopo di lucro al servizio della collettività. In qualità di ente neutrale, identifichiamo in modo proattivo le vulnerabilità critiche e promuoviamo la loro eliminazione in modo mirato.

    In questo modo colmiamo una lacuna critica e contribuiamo a rafforzare la resilienza digitale della Svizzera.

    I test presso NTC

    Test su incarico di gestori di infrastrutture critiche e autorità

    L'NTC effettua test per conto di gestori di infrastrutture critiche e autorità, nonché della polizia e dell'esercito, quando è richiesta la massima indipendenza e obiettività. I nostri test sono condotti secondo linee guida trasparenti, libere da qualsiasi influenza da parte di produttori, fornitori di servizi o interessi politici. I casi tipici di applicazione sono i test di sicurezza delle applicazioni di e-government, dei sistemi di controllo critici o delle piattaforme interautoritarie.

    L'ambito della verifica, la profondità dei test e la tempistica vengono stabiliti insieme al committente. Le verifiche vengono effettuate solo previo consenso delle parti direttamente coinvolte. Il committente riceve un rapporto finale che documenta tutte le vulnerabilità individuate, le relative valutazioni e le raccomandazioni concrete. Su richiesta, l'NTC fornisce assistenza nella divulgazione responsabile.

    Contattateci

    La nostra metodologia di test

    • L'NTC si occupa di prodotti digitali e infrastrutture interconnesse di grande rilevanza per l'economia e la società, in particolare quando, a causa della mancanza di incentivi o di obblighi di legge, non vengono sottoposti a test sufficienti.

      L’ NTC si concentra in particolare sui sistemi e le infrastrutture interconnessi in modo sistematico, dai componenti hardware alle applicazioni web e mobili, dagli ambienti cloud ai sistemi di controllo industriale, dai dispositivi IoT alle infrastrutture critiche complesse. A tal fine, l’ NTC utilizza moderni metodi di attacco per individuare tempestivamente le vulnerabilità a livello hardware e software e ridurre al minimo i rischi in modo mirato.

      L'NTC non effettua test per conto di fornitori di prodotti, produttori o fornitori di servizi privati.

    • L’ NTC effettua i test in modo completamente indipendente, senza alcuna influenza da parte di produttori, fornitori di servizi o dalla politica. l’NTC individua in modo proattivo i rischi delle nuove tecnologie e ne sostiene attivamente l'eliminazione.

    • Invece di rilasciare certificati o label con validità limitata nel tempo, l’NTC redige rapporti di prova trasparenti che documentano i risultati e la data del test. In questo modo, l'NTC crea basi aggiornate e affidabili per decisioni ponderate in materia di sicurezza.

    • Le analisi di sicurezza dell'NTC vanno oltre i semplici test tecnici: nelle analisi più complete, l'NTC tiene conto non solo delle vulnerabilità tecniche, ma anche delle configurazioni non sicure, dei processi e degli aspetti organizzativi in modo olistico.

    • L'NTC supporta attivamente la correzione e la convalida delle vulnerabilità per ottenere un aumento sostenibile del livello di sicurezza. Idealmente, l'NTC accompagna il processo, ad esempio tramite richieste tecniche, controllo dei progetti e nuovi test. In questo modo, l'NTC contribuisce all'attuazione mirata di efficaci misure di protezione e alla prevenzione duratura dei rischi conseguenti.

    • In caso di incarichi di test urgenti, è fondamentale ottenere risultati tempestivi. Poiché una parte significativa delle verifiche è avviata dallo stesso NTC, le scadenze non dipendono da committenti esterni. Ciò garantisce la flessibilità temporale necessaria per dare la priorità ai progetti urgenti e completarli in tempi brevi.

    • Con l'approvazione della mozione «Svolgimento di controlli di cibersicurezza urgentemente necessari» nel dicembre 2024, il Parlamento federale ha espressamente riconosciuto l'importanza dei controlli di sicurezza indipendenti.

      In linea con tale riconoscimento, l’NTC contribuisce attivamente all’attuazione della Strategia nazionale in materia di cibersicurezza (CSN), in particolare alle misure M4 «Analisi delle tendenze, dei rischi e delle dipendenze» e M5 «Individuare e prevenire le vulnerabilità». L’importanza e l’efficacia di questi contributi sono nuovamente sottolineate nell’attuale Primo rapporto sull’attuazione della Ciberstrategia nazionale (CSN) del maggio 2025:

      Per individuare tempestivamente tendenze, rischi e dipendenze, l’Istituto nazionale di test per la cibersicurezza NTC analizza le tecnologie e gli sviluppi digitali. Ad esempio, l’NTC ha esaminato i potenziali rischi legati alle dipendenze dei sistemi europei e, in collaborazione con l’UFCS, ha analizzato le app Temu e TikTok, formulando raccomandazioni concrete. Questo lavoro contribuisce alle decisioni strategiche in materia di resilienza, al rafforzamento delle competenze specialistiche in Svizzera e alla sensibilizzazione sulle tendenze tecnologiche.

      Ufficio federale della cibersicurezza (UFCS)

       

    I nostri ambiti di prova

    App Icon für Anwendungsprüfung

    Application Penetration Testing

    Verifica della sicurezza delle applicazioni, siano esse applicazioni web, mobili, desktop o API, compresa la revisione del codice secondo standard riconosciuti come OWASP ASVS

    Icon Smartphone und Tablet

    Mobile Application Penetration Testing

    Verifica della sicurezza delle applicazioni mobili per Android e iOS secondo standard riconosciuti come OWASP MASVS.

    Icon eines Kühlschranks

    Verifica della sicurezza dei sistemi IoT e OT

    Valutazione di dispositivi connessi in rete (Internet of Things - IoT) e sistemi di controllo industriale (ICS/SCADA/DCS), in conformità con standard quali la IEC 62443.

    Icon eines Routers stellvertretend für Hardwarekomponenten

    Verifica dei componenti hardware

    Analisi di dispositivi fisici e sistemi integrati come dispositivi di controllo, sensori e chip. Tale attività include la lettura e il reverse engineering del firmware, nonché attacchi a interfacce di debug o altre interfacce interne. A tal fine vengono prese in considerazione norme quali la EN 18031.

    Icon einer Wolke

    Controllo della sicurezza del cloud

    Esame di ambienti cloud e piattaforme SaaS per individuare configurazioni errate, controlli di accesso insufficienti o vulnerabilità in scenari cloud ibridi. Tali ambienti possono essere quelli di hyperscaler come Azure, AWS o GCP, ma anche quelli di fornitori di servizi IT locali. A tal fine vengono prese in considerazione raccomandazioni quali i benchmark CIS.

    Icon eines Tablets mit Coding Klammern davor

    Analisi della sicurezza del software open source

    Verifica del software e delle librerie open source di grande rilevanza e diffusione in Svizzera. L'obiettivo è identificare vulnerabilità critiche, come quelle emerse nel 2021 in Log4j, o backdoor, come quelle scoperte nel 2024 in XZ Utils.

    Netzwerk Icon, Kreis mit Verbindung zu kleineren Kreisen

    Verifica dell'infrastruttura di rete e di sicurezza

    Analisi delle infrastrutture di rete, che si tratti di firewall, VPN, router, reti WLAN o servizi di base come DNS, e-mail e VoIP, per identificare errori di configurazione, vulnerabilità dei protocolli o segmentazione inadeguata.

    Icon eines servers

    Verifica dell'infrastruttura client/server

    Verifica della cibersicurezza di client (Windows, Linux, Android, iOS, VDI, ecc), server (Windows, Unix, ecc) soluzioni di virtualizzazione (VMware, Hyper-V, ecc) e tecnologie container (Docker, ecc).

    Icons eines kleinen Roboters

    Verifica di nuove tecnologie (ad es. sistemi di IA)

    Analisi delle tecnologie moderne emergenti, quali i sistemi di intelligenza artificiale e di apprendimento automatico, le infrastrutture di ricarica per la mobilità elettrica, le smart grid in vista dello sviluppo delle energie rinnovabili nonché i computer quantistici, al fine di individuare vulnerabilità e sensibilizzare in modo lungimirante la società svizzera in merito ai nuovi rischi.

    Quadro giuridico e divulgazione responsabile

    Integrità giuridica

    I controlli di sicurezza sui sistemi di terzi vengono effettuati con il consenso degli organismi responsabili e in conformità al quadro giuridico vigente in Svizzera.

    Divulgazione responsabile delle vulnerabilità

    Segnalazione riservata: per una rapida risoluzione delle vulnerabilità, queste vengono prima segnalate in modo riservato al produttore o all'operatore.

    Pubblicazione: in accordo con i partner di verifica e dopo un adeguato periodo di tempo, i risultati dei test possono essere resi pubblici. Ciò consente di segnalare i tipi di vulnerabilità più diffusi e di fornire un avviso tempestivo in caso di mancata o ritardata risoluzione.

    Vulnerability Disclosure Policy

    NTC Vulnerability Hub

    I vostri referenti