CyLock è una startup di cybersecurity che si presenta come volto dell’offensive security made in Italy: capace di innovare, brevettare, integrare processi AI e rispondere in modo agile alle richieste di un mercato che chiede velocità, le sue soluzioni promettono precisione e risultati immediatamente azionabili.

Sul piano tecnologico, CyLock si distingue dai competitor per scelte innovative e un focus sulla semplificazione delle procedure di cybersecurity assessment. La startup di ethical hacking ha brevettato nel 2024 un processo di testing per reti e servizi, sviluppato attraverso tecnologie proprietarie interamente in Italia. Il software è completamente autonomo e non richiede competenze di cybersecurity per essere utilizzato: “ molti tool storici di vulnerability assessment e penetration testing richiedono profonde conoscenze di ethical hacking per essere utilizzati, mentre CyLock simula autonomamente attacchi dall’esterno e fornisce soluzioni di remediation pronte all’uso, semplificando il lavoro dei system integrator” spiega Diego Padovan, CEO di CyLock, che prosegue: “questo è soprattutto utile nell’attuale momento storico, in cui la crescente necessità di cybersecurity non riesce ad essere soddisfatta solo acquisendo competenze. Avere un tool che in autonomia identifica il percorso di exploit e vulnerabilità e spiega come chiudere le porte agli attacchi hacker attraverso una reportistica chiara e a prova di audit, permette ai nostri partner di lavorare sul loro core business e promuovere la sicurezza informatica nelle aziende italiane”.

Il team di CyLock. Da sinistra: Alessio Salzano, Co-Founder e CFO; Paolo Antoniani, Co-Founder e Ethical Hacker; Verando Zappi, Chief Commercial Officer e Diego Padovan, CEO

I servizi principali

Il cuore dell’offerta ruota attorno a quattro servizi principali che, integrati tra loro, compongono una suite in modalità SaaS per la gestione globale del rischio cyber.Cyber Risk Investigation è il cuore della threat intelligence di nuova generazione: un modulo che scandaglia Web, Deep Web e Dark Web per intercettare qualsiasi traccia digitale legata all’azienda — dalle credenziali compromesse ai domini esposti, fino ai dati sensibili trafugati. Oltre a individuare le minacce, il sistema elabora una stima del potenziale danno economico legato alle informazioni rilevate e include nel report finale un piano di remediation dettagliato, con le azioni prioritarie per mitigare il rischio e rafforzare la postura di sicurezza. Un vero e proprio radar che monitora in tempo reale l’esposizione aziendale e trasforma i dati in insight operativi.

A fianco di questo, EVA (Extended Vulnerability Assessment) rappresenta il secondo pilastro della piattaforma. Basato su un motore proprietario brevettato, EVA individua vulnerabilità e configurazioni errate nei sistemi IT senza richiedere competenze tecniche avanzate. I risultati sono poi validati da ethical hacker certificati, garantendo un livello di affidabilità unico nel suo genere. In pratica, è come avere un team di esperti sempre attivo dietro le quinte, pronto a segnalare ogni punto debole prima che diventi un problema.

Per completare il quadro, la piattaforma offre anche Penetration Test on demand, condotti secondo standard internazionali come OWASP e OSSTMM. Queste simulazioni di attacco valutano la sicurezza di reti, applicazioni e API, producendo report dettagliati e piani di remediation concreti. Infine, un accenno al modulo Anti-Phishing, pensato per formare gli utenti con esercitazioni simulate e corsi e-learning interattivi. Un modo smart per aumentare la consapevolezza interna e trasformare il “fattore umano” da punto debole a prima linea di difesa.

Grazie alla modularità e alla customizzazione white label, il partner può offrire servizi a proprio marchio, massimizzando la differenziazione e la fidelizzazione del cliente finale. L’assistenza è gestita da un team italiano di specialisti in offensive security, che offre supporto diretto sia nella fase di test che in quella di interpretazione dei risultati. Un elemento di innovazione è rappresentato dall’agente AI interno, che elabora in tempo reale le domande in linguaggio naturale relative alla reportistica.

Per quanto riguarda la configurazione, il modello CyLock privilegia la velocità: dopo la prima attivazione, il partner è operativo in 24 ore, pronto ad eseguire test e generare report. La soluzione si integra facilmente nel workflow di MSP e dei reseller, che possono utilizzarla anche per avviare la relazione con nuovi clienti, proporre assessment e consigliare remediation su misura, grazie alla possibilità di integrare software e hardware di terze parti.

Padovan sottolinea che “dal punto di vista tecnico, CyLock viene spesso comparata a strumenti storici come Tenable o OpenVAS, ma si differenzia profondamente per la fruibilità: la nostra piattaforma gestita elimina la necessità di lavorare sui parametri del testing e rende immediato il beneficio dell’assessment chiavi-in-mano, anche per MSSP e system integrator con competenze non specialistiche. Il successo della soluzione è confermato dalla sostituzione progressiva di strumenti laboriosi e che necessitano di forti competenze per ottenere risultati tangibilie dalla preferenza accordata da clienti come banche, comparti industriali, pubbliche amministrazioni e sanità, che sono settori in cui la sfida del rischio cyber richiede rapidità e precisione”.

L’interfaccia della piattaforma e della reportistica sono pensate per uscire dal tecnicismo: l’output non è rivolto solo agli specialisti, ma anche ai manager, ai decision maker e ai responsabili della security, a cui è garantita la possibilità di comprendere a colpo d’occhio i rischi, l’esposizione e le raccomandazioni. Il carattere distintivo della soluzione CyLock è che i test automatizzati generano path di attacco realistici, anziché banali elenchi di vulnerabilità statiche, di modo da mettere i partner nella condizione di affrontare davvero la remediation con piena consapevolezza delle criticità.

Guardando al futuro, CyLock sta testando in beta una soluzione pensata per il segmento industriale. Il progetto include una dashboard di controllo avanzata, progettata per professionisti e pentester, che consente il setup e la gestione di preset personalizzati per l’analisi e il monitoraggio in tempo reale — confermando una roadmap orientata a coprire anche i contesti più critici e complessi.