Microsoft regala 17 milioni agli hacker etici: il bug bounty più ricco di sempre

Nel 2025, Microsoft ha stabilito un nuovo record nella storia della sicurezza informatica, distribuendo 17 milioni di dollari a 344 ricercatori di sicurezza etica provenienti da 59 Paesi, attraverso il proprio Bug Bounty Program. Questa cifra, la più alta mai raggiunta nel programma (e siamo appena in estate…), rappresenta molto più di un semplice premio in denaro: riconosce il ruolo centrale che la comunità di ricercatori indipendenti svolge nel miglioramento delle tecnologie Microsoft e, più in generale, dell’intero ecosistema digitale.

Un modello collaborativo di sicurezza

Il Microsoft Bounty Program, gestito in collaborazione con il Microsoft Security Response Center (MSRC), si basa sul principio della Coordinated Vulnerability Disclosure (CVD): una strategia trasparente e responsabile che consente ai ricercatori di segnalare in modo sicuro vulnerabilità critiche, contribuendo a rafforzare la fiducia che milioni di utenti ripongono nei vari prodotti software.

Il team Microsoft racconta che solo quest’anno oltre mille vulnerabilità sono state identificate e risolte grazie a segnalazioni indipendenti, coprendo un’ampia gamma di servizi e piattaforme: Azure, Microsoft 365, Dynamics 365, Power Platform, Windows, Microsoft Edge, Xbox e Copilot AI.

Ogni programma bounty è strutturato con ambiti precisi, criteri di ammissibilità, fasce premi e linee guida, per garantire ai ricercatori un processo trasparente e sicuro.

Zero Day Quest: l’hacking etico in prima linea

Un momento di particolare rilievo è stato Zero Day Quest, l’evento live di hacking più grande mai organizzato da Microsoft. Svoltosi nell’aprile 2025, ha visto la partecipazione di decine di ricercatori selezionati attraverso una fase di qualificazione che ha raccolto oltre 600 segnalazioni di vulnerabilità.

Durante l’evento, Microsoft ha assegnato 1,6 milioni di dollari in premi e ha rappresentato un’occasione per affrontare sfide Capture the Flag su prodotti Microsoft, approfondire la sicurezza in ambito Copilot e Cloud, partecipare a workshop formativi su AI bug hunting, SSRF e altro, collaborare direttamente con i team di sicurezza Microsoft.

Zero Day Quest tornerà nel 2026 con nuove sfide sul versante della ricerca, nuovi premi e una collaborazione ancora più profonda tra la community e i team interni di Microsoft.

Perché estendere i programmi bug bounty anche al settore pubblico

Tradizionalmente, la sicurezza informatica nella Pubblica Amministrazione è reattiva, basata su audit, pentest programmati o controlli periodici. Un programma bug bounty introduce un modello continuativo, aperto e scalabile, capace di: intercettare vulnerabilità prima che siano sfruttate da attori malevoli, coinvolgere esperti esterni con una visione diversa da quella interna ai fornitori o ai team IT pubblici, creare un flusso di segnalazioni aggiornato e in tempo reale.

Nel privato, programmi come quelli di Microsoft, Google e Meta dimostrano che migliaia di ricercatori indipendenti, etici e competenti sono disposti a collaborare in cambio di una ricompensa commisurata al rischio mitigato. Estendere questo approccio alla Pubblica Amministrazione:

• Apre le porte a una “crowd intelligence” distribuita e qualificata.
• Porta visibilità su software e servizi critici.
• Permette alla PA di evolvere da un approccio chiuso a uno trasparente, meritocratico e cooperativo.

Già nel 2022 parlavamo dell’iniziativa bug bounty di Stato promossa dalla Svizzera. Perché non seguire un esempio simile? Quanto meno, perché non riconoscere, finalmente, il prezioso ruolo dell’hacker etico?