Il tema del bug bounty di Stato applicato alla Pubblica Amministrazione italiana ha una storia travagliata, fatta di porte chiuse e diffidenze culturali che solo ora iniziano a scricchiolare. Nel 2021, quando qualcuno provò a sollevare la questione in ambito istituzionale, la risposta fu piuttosto netta: l’idea venne considerata irrealistica, quasi pericolosa. Il timore era che premiare economicamente chi segnala vulnerabilità nei sistemi pubblici potesse generare una sorta di mercimonio, con qualcuno tentato di introdurre apposta falle nel software della PA per poi incassare la ricompensa. A marzo 2024, però, il confronto con uno dei più importanti dirigenti della PA italiana aprì uno spiraglio concreto: le osservazioni vennero accolte, condivise, e ci fu l’impegno a portarle ai tavoli decisionali che contano davvero.
A pochi anni di distanza, quella visione ottusa del 2021 risulta non solo superata, ma in pieno contrasto con quanto accade nel resto del mondo. Paesi come USA, Svizzera, Germania, Belgio, Estonia e la stessa Unione Europea si sono mossi nella direzione opposta: canali ufficiali di disclosure, programmi di bug bounty strutturati, safe harbor per i ricercatori e coinvolgimento regolato della comunità hacker etica.
Il cuore del problema è semplice. Chi scopre un grave bug di sicurezza che espone dati personali dei cittadini, magari estremi di documenti d’identità, tessere elettorali, informazioni sanitarie o indirizzi di residenza, nelle piattaforme della PA, oggi non ha a disposizione in Italia alcuna piattaforma ufficiale per segnalarlo in sicurezza. L’hacker etico, una figura che nel nostro Paese non è ancora formalmente riconosciuta, si trova costretto a girare la testa dall’altra parte per paura di ritorsioni legali. Eppure, nel settore privato, i programmi di bug bounty sono prassi consolidata da anni. Lo Stato, invece, chiede più sicurezza digitale ma non ha mai costruito un quadro normativo capace di proteggere chi, in buona fede, individua vulnerabilità e prova a segnalarle responsabilmente.
Il grande equivoco italiano e il nodo della tutela legale
L’Italia ha guardato a lungo all’hacking etico con sospetto. In molti contesti istituzionali, il ricercatore di sicurezza indipendente viene ancora percepito come una figura ambigua, non come un alleato strategico ma come un soggetto potenzialmente problematico. Questa lettura nasce da un’impostazione ormai datata della cybersecurity, quella secondo cui la sicurezza dovrebbe passare esclusivamente da controlli interni, audit contrattualizzati e fornitori selezionati.
Ma il mondo reale funziona diversamente. Le vulnerabilità vengono scoperte di continuo da soggetti esterni: ricercatori indipendenti, analisti, penetration tester, accademici, professionisti del settore. E naturalmente anche da gruppi criminali. La differenza non sta nella capacità tecnica di trovare un bug, sta nell’uso che se ne fa. Un ecosistema maturo crea canali regolamentati perché le vulnerabilità vengano segnalate in sicurezza. Un ecosistema immaturo produce silenzio, paura e falle che restano aperte fino a quando qualcuno decide di sfruttarle.
L’articolo 615 ter del Codice Penale, quello sull’accesso abusivo a un sistema informatico, rappresenta ancora oggi il principale spauracchio per chi svolge attività di ricerca indipendente. Anche senza alcuna intenzione offensiva, il semplice fatto di interagire con un sistema vulnerabile può esporre a contestazioni penali. E la legge 28 giugno 2024 n. 90 ha ulteriormente inasprito le pene, portando la detenzione fino a 12 anni nei casi più gravi. Senza un safe harbour legislativo, cioè una causa di non punibilità per chi conduce ricerca di sicurezza in buona fede rispettando regole precise di responsible disclosure, parlare di bug bounty di Stato resta un esercizio teorico. Svizzera, Belgio, Francia e altri Paesi europei hanno già introdotto modelli normativi chiari che distinguono il ricercatore etico dal cybercriminale. Nessun ricercatore investirà tempo, competenze e risorse per segnalare vulnerabilità critiche alla PA se il prezzo potenziale è un procedimento giudiziario.
La CVD dell’ACN e le condizioni per partire davvero
Il vero spartiacque potrebbe essere la futura politica nazionale di Coordinated Vulnerability Disclosure (CVD) prevista dal D.Lgs. 138/2024, il decreto che recepisce la direttiva NIS2 in Italia. La norma prevede che l’Agenzia per la Cybersicurezza Nazionale (ACN) adotti una politica nazionale di disclosure coordinata delle vulnerabilità. È probabilmente il documento più atteso dal settore cyber italiano. Per la prima volta, dovrebbe definire cosa può fare un ricercatore, quali attività sono consentite, come vanno effettuate le segnalazioni, quali tempi di remediation devono rispettare gli enti, quali tutele spettano al segnalante e quali comportamenti fanno decadere le protezioni. Una CVD nazionale chiara e ben strutturata potrebbe creare finalmente un terreno di fiducia tra ricercatori, aziende e istituzioni. Una policy vaga o giuridicamente ambigua rischierebbe invece di congelare tutto ancora una volta.
E le condizioni per partire ci sarebbero già. La Strategia Nazionale di Cybersicurezza 2022 al 2026 prevede 82 misure di rafforzamento digitale; il PNRR ha destinato risorse enormi alla digitalizzazione della PA e alla resilienza cyber. Avviare un bug bounty sperimentale sui sistemi pubblici più esposti sarebbe realistico, anche solo per costruire processi e confrontarsi sulla gestione delle segnalazioni. Quando il Dipartimento della Difesa USA avviò il programma “Hack the Pentagon”, in molti sollevarono gli stessi timori che si sentono oggi in Italia. Il risultato fu l’identificazione rapida di centinaia di vulnerabilità reali, con costi inferiori rispetto ai modelli tradizionali di auditing. Anche la Svizzera ha seguito una strada simile, trasformando progressivamente il bug bounty da progetto pilota a componente stabile della sicurezza federale.
A tutto questo si aggiunge un dato che fa riflettere: il III Rapporto Cyber Index PMI 2026 assegna alle imprese italiane un punteggio medio di appena 55 su 100 in consapevolezza cyber, con la capacità di identificare vulnerabilità in modo strutturato ferma a 47 su 100. Le università potrebbero usare programmi di disclosure come ambienti controllati di formazione pratica, le startup cybersecurity potrebbero costruire servizi specializzati attorno ai processi di vulnerability management. Il problema non è la mancanza di talenti, ma del contesto necessario per valorizzarli. Le infrastrutture pubbliche italiane custodiscono dati sanitari, identità digitali, informazioni fiscali, archivi anagrafici, sistemi elettorali e servizi essenziali. Continuare a tenere a distanza la comunità di ricerca anziché considerarla una risorsa strategica significa restare ancorati a una visione della sicurezza informatica del tutto anacronistica. Nel 2021, parlare di bug bounty di Stato sembrava a molti un’idea visionaria. Nel 2026, alla luce della NIS2, delle esperienze internazionali e della fragilità strutturale del sistema digitale italiano, è diventata una necessità strategica.
