Bug bounty di Stato: l'Italia è pronta a fidarsi degli hacker etici?

Nel 2021, proposi di aprire una discussione sulla necessità di un bug bounty di Stato per la Pubblica Amministrazione (PA) italiana. La risposta ricevuta fu sostanzialmente liquidatoria: l’idea fu considerata irrealistica, persino pericolosa. Secondo alcuni, premiare economicamente chi segnala vulnerabilità nei sistemi pubblici avrebbe potuto generare un “mercimonio”, incentivando qualcuno a introdurre volutamente vulnerabilità nei software della PA per poi monetizzarne la scoperta.

A marzo 2024 ebbi modo di parlarne con uno tra i più importanti dirigenti della PA italiana che accolse le mie osservazioni, le condivise e mi informò sull’opportunità di portarle all’attenzione dei “tavoli che contano”.

A distanza di pochi anni, l’ottusa visione del “mercimonio” manifestata nel 2021 non solo risulta superata, ma in contrasto con l’evoluzione internazionale della cybersecurity.

USA, Svizzera, Germania, Belgio, Estonia e Unione Europea si sono mossi nella direzione opposta: canali ufficiali di disclosure, programmi bug bounty, safe harbor per i ricercatori e coinvolgimento regolato della comunità hacker etica.

Come segnalare responsabilmente vulnerabilità senza esporsi a rischi legali?

Ecco l’email che inviai all’epoca:

Parliamo della scoperta di gravi bug di sicurezza che espongono dati personali dei cittadini, in alcuni casi addirittura dati sensibili (estremi di documenti d’identità validi, tessere elettorali, indirizzi ed eventuali cambi di residenza, figli a carico, informazioni sanitarie e molto altro ancora…), sulle piattaforme della PA.

L’hacker etico (nel nostro Paese questa figura non è ancora formalmente riconosciuta) che desideri segnalare responsabilmente il problema di sicurezza, allo stato attuale non ha a disposizione, in Italia, alcuna piattaforma che permetta di farlo. Ritengo che il ricercatore che segnala in modo responsabile debba essere incentivato, tutelato e, ove ritenuto opportuno, anche premiato.

Mentre, come ben sappiamo, aziende private offrono programmi bug bounty per premiare i ricercatori che responsabilmente segnalano bug, lo Stato non incentiva questo tipo di attività. Anzi, chi scopre problematiche di sicurezza nelle piattaforme usate da parte degli enti pubblici spesso si volta dall’altra parte temendo ritorsioni legali per violazione di sistemi informativi.

Lo Stato da un lato chiede maggiore sicurezza digitale, ma non ha mai costruito un quadro normativo realmente capace di proteggere chi, in buona fede, individua vulnerabilità nei sistemi pubblici e tenta di segnalarle responsabilmente.

Il grande equivoco italiano sugli hacker etici

Appena un lustro fa, la risposta ricevuta da alcuni interlocutori istituzionali fu emblematica del clima culturale dell’epoca. Un programma di bug bounty pubblico era considerato quasi una provocazione, se non addirittura un rischio.

L’Italia ha a lungo guardato all’hacking etico con diffidenza: in molti contesti istituzionali, il ricercatore di sicurezza indipendente continua a essere percepito come una figura ambigua. Non un alleato strategico, ma un soggetto potenzialmente problematico. È una lettura che nasce da un’impostazione ormai superata della cybersecurity, secondo cui la sicurezza dovrebbe essere garantita esclusivamente attraverso controlli interni, audit contrattualizzati e attività verticali affidate a fornitori selezionati.

Il problema è che il mondo reale funziona diversamente. Le vulnerabilità sono scoperte con continuità da soggetti esterni: ricercatori indipendenti, analisti, penetration tester, soggetti accademici, professionisti del settore e, naturalmente, gruppi criminali. La differenza non sta nella capacità tecnica di trovare un bug, ma nell’uso che viene fatto di quella scoperta.

Un ecosistema maturo crea canali regolamentati affinché le vulnerabilità siano segnalate in sicurezza. Un ecosistema immaturo produce invece silenzio, paura e vulnerabilità che restano aperte fino al momento in cui qualcuno decide di sfruttarle. È esattamente ciò che è accaduto in Italia per anni.

Il vero problema: il ricercatore oggi non è davvero protetto

Un ricercatore che individua una vulnerabilità in una piattaforma pubblica italiana continua a muoversi in un’area di forte incertezza normativa.

L’articolo 615-ter del Codice Penale (“accesso abusivo ad un sistema informatico o telematico“) rappresenta ancora oggi uno dei principali elementi di rischio percepito da chi svolge attività di ricerca indipendente. Anche quando non esiste alcuna intenzione offensiva, il semplice fatto di interagire con un sistema vulnerabile può teoricamente esporre il ricercatore a contestazioni penali.

Rilevato che la legge 28 giugno 2024 n. 90 ha addirittura ulteriormente inasprito le pene portando la pena detentiva fino a 12 anni nei casi più gravi, il problema della mancata tutela per gli hacker etici o comunque per chiunque agisca in buona fede resta di scottante attualità.

Safe harbour legislativo: senza protezione giuridica non esiste disclosure responsabile

Il primo pilastro di qualsiasi bug bounty di Stato è il safe harbour legislativo: significa introdurre una causa di non punibilità per chi conduce attività di ricerca di sicurezza in buona fede, senza perseguire vantaggi illeciti, nel rispetto di precise regole di responsible disclosure (condivisione dei dettagli delle vulnerabilità di sicurezza in forma privata e responsabile), senza arrecare danni ai sistemi o interrompere servizi.

Svizzera, Belgio, Francia e altri Paesi europei hanno già introdotto modelli normativi che distinguono chiaramente il ricercatore etico dal cybercriminale.

Nessun ricercatore investirà tempo, competenze e risorse per segnalare vulnerabilità critiche alla PA se il prezzo potenziale è l’esposizione a procedimenti giudiziari o sequestri di dispositivi.

Il safe harbour non serve a “legalizzare gli hacker”, come spesso viene superficialmente raccontato (che poi gli hacker, non sono tutti black…), serve a stabilire un principio fondamentale: la ricerca di sicurezza svolta nell’interesse pubblico non può essere trattata allo stesso modo di un’attività criminale. Proprio questa distinzione continua ancora oggi a mancare nel sistema italiano quando altri Paesi si sono già mossi in maniera oculata.

La Coordinated Vulnerability Disclosure dell’ACN sarà il vero spartiacque

A nostro avviso, dirimente potrà davvero essere a questo punto la futura politica nazionale di Coordinated Vulnerability Disclosure (CVD) prevista dal D.Lgs. 138/2024, il decreto che recepisce la direttiva NIS2 in Italia.

La norma prevede che l’Agenzia per la Cybersicurezza Nazionale (ACN) adotti una politica nazionale di disclosure coordinata delle vulnerabilità. È probabilmente il documento più importante che il settore cyber italiano attende da anni. Per la prima volta, infatti, dovrebbe esistere un riferimento ufficiale capace di definire:

• cosa può fare un ricercatore;
• quali attività sono consentite;
• come devono essere effettuate le segnalazioni;
• quali tempi di remediation devono rispettare gli enti;
• quali tutele spettano al segnalante;
• quali comportamenti fanno decadere le protezioni.

Quel documento determinerà concretamente se l’Italia intenda costruire un ecosistema moderno di collaborazione con la comunità hacker etica oppure mantenere un approccio difensivo e burocratico.

Una CVD nazionale chiara, moderna e ben strutturata potrebbe finalmente creare un terreno di fiducia tra ricercatori, aziende e istituzioni. Una policy vaga, restrittiva o giuridicamente ambigua rischierebbe invece di congelare tutto ancora una volta. NIS2, d’altra parte, va esattamente nella direzione opposta rispetto alla vecchia cultura della segretezza: gli Stati membri devono favorire la disclosure coordinata, non ostacolarla.

Un bug bounty sperimentale nella PA è già realisticamente possibile

Spesso si continua a descrivere il bug bounty pubblico come un progetto futuristico o economicamente difficile da sostenere. In realtà, oggi esistono già le condizioni finanziarie, strategiche e normative per avviare almeno un programma pilota.

La Strategia Nazionale di Cybersicurezza 2022-2026 prevede 82 misure di rafforzamento digitale; parallelamente, il PNRR ha destinato risorse enormi alla digitalizzazione della PA e alla resilienza cyber. In questo contesto sarebbe assolutamente realistico avviare un bug bounty sperimentale sui sistemi pubblici più esposti con il preciso intento di costruire processi, confrontarsi sulla gestione delle segnalazioni, sulla comunicazione con i ricercatori, sulle priorità di rischio.

Quando il Dipartimento della Difesa USA avviò il programma “Hack the Pentagon” (un nome tutto un programma…), molti sollevarono gli stessi timori sentiti oggi in Italia. Il risultato fu invece l’identificazione rapida di centinaia di vulnerabilità reali con costi inferiori rispetto ai modelli tradizionali di auditing.

Anche la Svizzera ha seguito una strada simile: il National Cyber Security Centre ha progressivamente trasformato il bug bounty da progetto pilota a componente stabile della sicurezza federale.

La domanda, quindi, non è più se un bug bounty pubblico sia possibile: la vera domanda è perché l’Italia non abbia ancora deciso di farlo.

Cultura e formazione: il problema più grande è la carenza di maturità cyber

Il III Rapporto Cyber Index PMI 2026 assegna alle imprese italiane un punteggio medio di appena 55 su 100 in consapevolezza cyber. Ancora più preoccupante è il dato relativo alla capacità di identificare vulnerabilità in modo strutturato, che si ferma a 47 su 100. Sono numeri che raccontano una fragilità sistemica.

Le università potrebbero utilizzare programmi di disclosure come ambienti controllati di formazione pratica. I centri di competenza potrebbero contribuire allo sviluppo di metodologie condivise. Le startup cybersecurity potrebbero costruire servizi specializzati attorno ai processi di vulnerability management.

Anche il Piano per l’industria cyber nazionale promosso dall’ACN potrebbe beneficiare enormemente di un ecosistema di responsible disclosure maturo, capace di generare competenze, occupazione altamente specializzata e innovazione.

Il problema che tocca direttamente la realtà nostrana non è certo la mancanza di talenti ma del contesto necessario per valorizzarne le competenze.

Il rischio italiano più grande non è il bug bounty. È continuare a non gestire le vulnerabilità come si deve

Esiste un equivoco che continua a condizionare il legislatore italiano: l’idea che evitare i programmi di disclosure significhi ridurre il rischio. La realtà è esattamente opposta.

Le vulnerabilità esistono indipendentemente dalla promozione di un programma bug bounty. La differenza sta nel soggetto che le trova per primo: un ricercatore etico, un broker di exploit, un gruppo ransomware, un attore statale. Pensare che il silenzio porti sicurezza è uno degli errori più pericolosi che una democrazia digitale possa commettere.

Le infrastrutture pubbliche italiane custodiscono dati sanitari, identità digitali, informazioni fiscali, archivi anagrafici, sistemi elettorali e servizi essenziali.

Continuare a considerare la comunità di ricerca come un elemento da tenere a distanza anziché una risorsa strategica significa rimanere ancorati a una visione della sicurezza informatica del tutto anacronistica.

Nel 2021, parlare di bug bounty di Stato sembrava a molti un’idea “visionaria”. Nel 2026, alla luce della NIS2, delle esperienze internazionali, della crescita degli attacchi e della fragilità strutturale del sistema digitale italiano, è diventata una necessità strategica.