Pentest per Fintech
Sicurezza offensiva di alto livello per fintech su scala — da PSP a wallet digitali, BaaS e infrastruttura PIX.
Perché ora
Il dolore reale
Ogni fintech è un bersaglio. Frode, ATO, money mule, scraping, abuso di cashback, scraping di saldo — l'attaccante sta già eseguendo playbook contro di te. La differenza è scoprire il vettore prima di lui.
Regolamentazione applicabile
/superficie-di-attacco
Vettori che testiamo in fintech
Ogni ingaggio è progettato per il vostro ambiente. I punti seguenti fanno parte del nostro playbook standard per questo settore — lo scope finale è adattato al vostro stack e contratto.
API PIX e DICT
Audit dei flussi PIX di addebito, rimborso, MED e abuso di chiave/QR Code.
Onboarding e KYC
Bypass di liveness, deepfake, OCR di documento e frodi in PFA.
Wallet digitale
Race condition in prelievo, scoperto indotto, trasferimento negativo.
Open Finance
Validazione del consenso, mTLS, FAPI 1.0 Advanced, ITP/AISP.
App mobile
Reverse engineering, root/jailbreak detection, certificate pinning, secret in release.
Backoffice e BPO
Accesso non autorizzato da parte di operatori, abuso interno, frode da dipendente.
/metodologia
Pentest manuale vero
Gli scanner automatici trovano ciò che è documentato. Gli attaccanti veri trovano ciò che non lo è. Il 90% del lavoro è manuale — eseguito da specialisti con OSCP, CISSP, CRTO e GPEN.
01 · Ricognizione
Mapping del target, OSINT, footprint, threat modeling specifico del settore.
02 · Scoperta
Enumerazione approfondita, scansione complementare, identificazione manuale dell'esposizione.
03 · Sfruttamento
Validazione manuale con PoC controllata, concatenamento di finding, escalation.
04 · Report
Esecutivo + tecnico, replica passo-passo, mappato alla regolamentazione applicabile.
/perche-fidarsi
Chi si è già fidato del nostro lavoro
Cliente OpenFinance/OpenBanking; esperienza in ambienti regolati da BACEN.
Valutazione tecnica riconosciuta in ambienti regolamentati ad alta criticità — il pentest che trova ciò che nessuno aveva trovato prima.
Douglas Lopes
Founder · CEO · intrus.io
/crivo · programma di integrità
dei candidati pentester non supera il nostro Crivo
Sai chi avrà accesso al tuo ambiente?
L'NDA vale in tribunale. Non vale nel quotidiano. Prima del primo accesso, ogni nostro pentester passa background, profilo psicometrico e test di integrità.
- Verifica criminale, fiscale e professionale approfondita
- Valutazione psicometrica e profilo di rischio
- Test di integrità pratico con scenari controllati
- Team fisso — non rotativo, niente "sconosciuto a ogni ingaggio"
/faq
FAQ — Fintech
Fate pentest FAPI?
Sì. Copriamo FAPI 1.0 Advanced (Brasile), validazione mTLS, JARM, PAR e validazione del consenso per scope.
Quanto dura un pentest fintech?
Tra 2 e 6 settimane secondo lo scope. Wallet + API + mobile generalmente 4 settimane con 2 pentester.
/contatti
Pronto per un pentest serio in fintech?
Fissa una riunione riservata. Entro 48h inviamo la proposta con scope, tempi e prezzo.