← Torna alla pagina

Questo è il report che ricevi per ogni fornitore. Dati reali, anonimizzati.

VendoReport

Vendor Risk Report

fornitore-erp.it

7.4 HIGH
Entità valutata fornitore-erp.it
Ruolo del fornitore Fornitore ERP · critico per il business (classificazione del cliente)
Ambito Analisi esterna passiva della superficie di attacco · point-in-time
Data di valutazione 2026-06-06
Validità fino al 2026-09-06 · riverifica trimestrale
Metodologia VR-EXT v1.2
Valutato da Team di analisi VendoReport
ID report VR-2026-0606-ERP

NIS2 · Art. 21

VendoReport · VR-EXT v1.2 · report VR-2026-0606-ERP · 2026-06-06 p. 1/7

1 · Executive summary

Questa sintesi evidenzia i finding a maggiore impatto osservabili dall’esterno. L’elenco completo dei 4 finding è nella sezione 2; ambito e limiti nella sezione 5.

  1. 1

    Una porta database (3306) risponde da internet. È il principale driver del punteggio HIGH.

  2. 2

    L’azienda compare in 2 data breach noti (2021, 2023). Alcune credenziali potrebbero circolare.

  3. 3

    La protezione anti-spoofing email (SPF) non è configurata. Fare phishing a nome di questo fornitore è più facile del dovuto.

VendoReport · VR-EXT v1.2 · report VR-2026-0606-ERP · 2026-06-06 p. 2/7

2 · Technical findings

HIGH

Servizio database potenzialmente esposto

porta 3306 (MySQL) risponde
Fonte: Record host passivo Rilevato: 2026-06-06 09:14 UTC Riferimento: Art. 21(2)(d) · CIR All. 5.3 (evidenza di monitoraggio) Stato: Aperto · azione richiesta

Chiedi al fornitore di limitare l’accesso al database a una rete privata.

HIGH

Esposizione a breach noti

2 breach: 2021, 2023
Fonte: Indici pubblici di breach Rilevato: 2026-06-06 09:15 UTC Riferimento: Art. 21(2)(d) Stato: Aperto · azione richiesta

Chiedi conferma che le credenziali coinvolte siano state ruotate.

MEDIUM

Configurazione TLS da aggiornare

grado B · TLS 1.0 attivo
Fonte: Probe TLS Rilevato: 2026-06-06 09:16 UTC Riferimento: Art. 21(2)(h) Stato: Aperto · azione richiesta

Richiedi il supporto esclusivo di TLS 1.2 o superiore.

MEDIUM

Autenticazione email incompleta

record SPF assente
Fonte: Lookup DNS TXT Rilevato: 2026-06-06 09:16 UTC Riferimento: Art. 21(2)(g) Stato: Aperto · azione richiesta

Richiedi la configurazione di SPF, DKIM e DMARC.

VendoReport · VR-EXT v1.2 · report VR-2026-0606-ERP · 2026-06-06 p. 3/7

3 · Mappatura NIS2 e CIR

Art. 21(2)(d) Gap rilevato (2 finding HIGH)

Sicurezza della supply chain

Art. 21(3) Valutato in parte · solo vulnerabilità esterne (vedi Limiti)

Vulnerabilità specifiche del fornitore e qualità delle pratiche

Art. 21(2)(f) Documentato da questo report

Valutazione dell’efficacia

Art. 22(1) Fuori ambito · non sostitutivo (vedi Limiti)

Valutazioni coordinate delle supply chain critiche

CIR (UE) 2024/2690 All. 5.1.2 Mappato ove applicabile

Criteri di selezione dei fornitori

CIR All. 5.3 Evidenze allegate per ogni finding

Evidenza documentata del monitoraggio

ACN Det. 127437/2026 Mappato per la dichiarazione annuale ACN

Dichiarazione fornitori rilevanti

La Det. ACN 127437/2026 è un obbligo di dichiarazione dei fornitori, non uno standard di sicurezza. Le misure di base sono fissate dalla Det. ACN 379907/2025; i controlli tecnici di supply chain dal Regolamento di esecuzione (UE) 2024/2690, Allegato 5.

VendoReport · VR-EXT v1.2 · report VR-2026-0606-ERP · 2026-06-06 p. 4/7

4 · Remediation

Le richieste da inoltrare al fornitore, in ordine di priorità:

01

Limitare l’accesso al database (porta 3306) a una rete privata.

Owner: Fornitore Severità: HIGH Stato: Richiesta il 2026-06-06 Riverifica: Alla prossima scansione
02

Confermare la rotazione delle credenziali coinvolte nei breach 2021 e 2023.

Owner: Fornitore Severità: HIGH Stato: Richiesta il 2026-06-06 Riverifica: Alla prossima scansione
03

Disattivare TLS 1.0 e supportare solo TLS 1.2 o superiore.

Owner: Fornitore Severità: MEDIUM Stato: Richiesta il 2026-06-06 Riverifica: Alla prossima scansione
04

Configurare i record SPF, DKIM e DMARC.

Owner: Fornitore Severità: MEDIUM Stato: Richiesta il 2026-06-06 Riverifica: Alla prossima scansione

VendoReport · VR-EXT v1.2 · report VR-2026-0606-ERP · 2026-06-06 p. 5/7

5 · Metodologia, ambito e limiti

VendoReport produce una valutazione esterna e passiva della superficie di attacco pubblica del fornitore. Non accede ai sistemi, non esegue test intrusivi e non sostituisce un audit interno.

Scala di severità

LOW 0.0 a 3.9 Lacuna minore di igiene, esposizione bassa.
MEDIUM 4.0 a 6.4 Da correggere, esposizione diretta limitata.
HIGH 6.5 a 8.4 Esposizione rilevante, richiedere remediation.
CRITICAL 8.5 a 10 Esposizione direttamente sfruttabile, agire subito.

Fonti dei dati

  • DNS passivo e certificate transparency
  • Indici pubblici di data breach
  • Banner dei servizi su porte esposte
  • Record di autenticazione email (SPF, DKIM, DMARC)

Limiti

  1. 01 È una vista esterna e passiva della superficie di attacco pubblica, non un audit di sicurezza completo.
  2. 02 L’attribuzione di IP e host ha un margine di confidenza e può includere infrastruttura condivisa.
  3. 03 I finding descrivono ciò che è potenzialmente esposto, non ciò che è confermato sfruttabile.
  4. 04 Le pratiche di sviluppo sicuro del fornitore (Art. 21(3)) sono fuori dall’ambito passivo: richiedono questionari o verifiche contrattuali.
  5. 05 Questo report non sostituisce le valutazioni coordinate previste dall’Art. 22(1) NIS2.
  6. 06 I risultati valgono alla data di valutazione indicata. Riverifica trimestrale o a ogni cambiamento rilevante.

Valutazione eseguita dal team di analisi VendoReport secondo la metodologia VR-EXT v1.2.

VendoReport · VR-EXT v1.2 · report VR-2026-0606-ERP · 2026-06-06 p. 6/7

6 · Riferimenti normativi

Direttiva (UE) 2022/2555 (NIS2)

Art. 21, misure di gestione del rischio.

D.lgs. 138/2024

Recepimento italiano della NIS2.

Regolamento di esecuzione (UE) 2024/2690

Allegato 5, controlli tecnici di supply chain.

ACN Det. 379907/2025

Misure di sicurezza di base, dal 15 gennaio 2026.

ACN Det. 127437/2026

Dichiarazione dei fornitori rilevanti all’ACN, finestra dal 15 aprile al 31 maggio.

VendoReport · VR-EXT v1.2 · report VR-2026-0606-ERP · 2026-06-06 p. 7/7

Questo è ciò che ricevi per ogni fornitore.

Richiedi il tuo a €49

Non una scansione automatica: verificato da un analista · Senza account · Soddisfatti o rimborsati