Bug Bounty in Italia: opportunità, ostacoli normativi e maturità del mercato
Mentre nel mondo il mercato dei programmi di bug bounty macina cifre da capogiro e ridefinisce il rapporto tra industria tecnologica e comunità della ricerca indipendente, l’Italia osserva da una posizione di cauta periferia. Il divario non è soltanto di risorse o di cultura aziendale: è, prima ancora, un problema di architettura normativa e di fiducia reciproca tra chi cerca vulnerabilità in buona fede e chi deve decidere se denunciarlo o ringraziarlo.
Un mercato globale in accelerazione
I dati del 2025 parlano chiaro. HackerOne, la principale piattaforma mondiale di bug bounty, ha distribuito 81 milioni di dollari in premi ai suoi ricercatori nell’arco di dodici mesi (luglio 2024–giugno 2025), con una crescita del 13% anno su anno. Per ogni dollaro speso in bounty, le aziende hanno evitato in media 15 dollari di perdite da violazioni, per un totale stimato di 3 miliardi di dollari di danni scongiurati. I 100 programmi più attivi della piattaforma hanno erogato da soli oltre 51 milioni di dollari; i primi dieci ne hanno concentrati 21,6 milioni.
I 100 ricercatori più remunerati in assoluto hanno incassato collettivamente 31,8 milioni di dollari, con singoli professionisti che superano ormai con regolarità i sei zeri di guadagno annuale.
Il mercato globale delle piattaforme di bug bounty era valutato 1,52 miliardi di dollari nel 2024 e si proietta verso i 5,7 miliardi entro il 2033, con un tasso di crescita annuo composto del 15,84%. La concentrazione geografica è però eloquente: il Nord America detiene il 48% della quota, l’Europa il 27%. L’Italia, in questo quadro, non compare come attore di rilievo né dal lato della domanda (le aziende che lanciano programmi) né da quello dell’offerta, ossia i ricercatori italiani che vi partecipano su scala strutturata.
Il 2025 ha segnato anche l’irruzione dell’intelligenza artificiale nella caccia ai bug: i programmi che includono esplicitamente sistemi AI nel perimetro di test sono cresciuti del 270% e i cosiddetti hackbot (agenti autonomi) hanno già prodotto oltre 560 segnalazioni valide. L’ecosistema si evolve rapidamente, e chi non costruisce oggi le proprie infrastrutture normative e culturali rischia di restare escluso da un mercato che seleziona capacità e affidabilità istituzionale.
La trappola giuridica: l’art. 615-ter e il paradosso del ricercatore
Chiunque abbia mai avuto a che fare con la sicurezza offensiva in Italia conosce la sensazione. Si individua il bug, magari su un sistema della Pubblica Amministrazione, si vuole segnalarlo, e poi ci si ferma perché non esiste alcuna norma che tuteli il segnalante.
L’art. 615-ter del codice penale italiano, introdotto dalla Legge 23 dicembre 1993 n. 547, punisce chiunque «abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo», con la reclusione fino a tre anni nella forma base. La norma ha oltre trent’anni ed è stata costruita in un’epoca in cui il concetto di ethical hacking era fantascienza: non si immaginava che qualcuno potesse penetrare in un sistema per difenderlo.
Il problema, nel 2026, è che quella norma non si è adattata alla realtà. La Legge 28 giugno 2024 n. 90 ha modificato in senso ulteriormente restrittivo le fattispecie aggravate: le ipotesi aggravate generali salgono ora a «reclusione da due a dieci anni», mentre per gli attacchi a sistemi di interesse militare, ordine pubblico, sanità, protezione civile o comunque di pubblica rilevanza sono previste pene da tre a dieci anni nella forma base e da quattro a dodici anni nelle circostanze più gravi.
La pena base del comma 1 («fino a tre anni») è rimasta invariata, ma l’innalzamento massiccio delle aggravanti avviene senza che il legislatore abbia introdotto alcuna distinzione tra il ricercatore che segnala in buona fede e il criminale che attacca per lucro o per danno. Su questo aspetto, una lettura critica della Legge 90/2024 mette in luce come alcune scelte legislative risultino particolarmente controverse proprio nel confronto con le strategie europee di divulgazione responsabile.
Il nodo è quello che in diritto comparato si chiama “safe harbour”: una protezione legale esplicita per chi conduce ricerche di sicurezza in buona fede, nel rispetto di regole definite e senza divulgazione irresponsabile. Paesi come Polonia, Belgio, Francia e Lituania hanno introdotto quadri normativi che proteggono condizionatamente la ricerca di buona fede sulle vulnerabilità. Il Belgio, in particolare, ha recepito la NIS2 con la Legge del 26 aprile 2024, imponendo a tutte le entità NIS2 di adottare una politica CVD e proteggendo legalmente chi segnala nel rispetto dei procedimenti stabiliti. L’Italia non ha introdotto nulla di simile.
Il rischio concreto non è teorico. Il caso emblematico viene da Malta: nel 2022, tre studenti dell’Università di Malta e il loro professore (che aveva semplicemente riletto la loro email di segnalazione prima dell’invio) vennero arrestati, perquisiti e videro i propri dispositivi confiscati dopo aver comunicato vulnerabilità critiche all’app FreeHour. Si trovarono a rischiare fino a quattro anni di prigione e una multa massima di 23.293 euro.
Il caso si è risolto nel luglio 2025 attraverso una grazia presidenziale deliberata dal governo maltese, non attraverso una riforma legislativa: un segnale che la politica può correggere gli eccessi della legge, ma che quello stesso errore normativo rimane potenzialmente replicabile. In Italia, la struttura normativa attuale rende uno scenario analogo non solo possibile ma probabile, in assenza di una policy esplicita da parte dell’organizzazione oggetto della segnalazione.
NIS2, CVD e il ruolo del CSIRT Italia: una finestra di opportunità
La spinta normativa europea sta aprendo spazi che sarebbe sbagliato ignorare. La NIS2 stabilisce un quadro per la divulgazione coordinata delle vulnerabilità (CVD) nell’intera UE e richiede a ciascuno Stato membro di designare uno dei propri CSIRT come coordinatore nazionale per la CVD. L’Italia ha recepito la direttiva con il D.Lgs. 138/2024, in vigore dal settembre 2024.
Il CSIRT Italia è designato coordinatore in materia di divulgazione coordinata delle vulnerabilità ai sensi del D.Lgs. 138/2024, che attuando la NIS2 introduce questo strumento nel diritto italiano. Il decreto specifica però che la divulgazione dovrà avvenire in linea con una politica nazionale CVD adottata dall’ACN (art. 16, co. 4). A inizio 2026, quella politica non risulta ancora pubblicata come documento autonomo e operativo: il quadro istituzionale è predisposto, ma il meccanismo concreto non è ancora pienamente attivato.
Vale la pena ricordare che non si tratta di un tema del tutto nuovo per l’Italia: già nel 2018 il Team per la Trasformazione Digitale della Presidenza del Consiglio aveva elaborato una policy CVD in collaborazione con il CERT nazionale, con un programma pilota per le aziende private. Quel lavoro non è mai diventato struttura permanente. La NIS2 offre ora una seconda occasione, questa volta con forza normativa obbligatoria.
La NIS2 parla esplicitamente di Vulnerability Disclosure Policy che, se incentivate, assumono le caratteristiche dei programmi di bug bounty. La differenza tra una VDP e un bug bounty è essenzialmente quella tra un riconoscimento simbolico e un incentivo economico: le prime creano struttura e dialogo; i secondi attraggono la comunità più ampia e motivata dei ricercatori. È da qui che si parte. E l’Italia non ha ancora compiuto nemmeno questo primo passo su scala sistemica.
Bug Bounty in Italia: segnali di vita in un ecosistema ancora immaturo
Sarebbe scorretto dipingere un quadro totalmente negativo. Alcune esperienze esistono, anche se marginali rispetto alla scala dei bisogni.
Nel settore privato, alcune realtà come UNGUESS (piattaforma italiana di crowdtesting applicato alla cybersecurity) hanno sviluppato una community di oltre 500 ethical hacker in crowdsourcing e gestiscono programmi per aziende che non hanno la struttura né la notorietà di Google o Microsoft. Realtà come Telecom Italia hanno aperto canali di vulnerability disclosure su HackerOne. Alcuni grandi marchi internazionali operanti in Italia (dai principali istituti bancari a catene della grande distribuzione) hanno politiche di responsible disclosure, spinte nella gran parte dei casi dalla casa madre internazionale, non da una cultura indigena.
Ma è il dato quantitativo più recente a offrire la misura più precisa del ritardo. Il III Rapporto Cyber Index PMI (Confindustria, Generali, Politecnico di Milano, ACN), presentato a Roma il 12 marzo 2026, rivela che le piccole e medie imprese italiane raggiungono un punteggio medio di 55 punti su 100 di consapevolezza digitale, ancora sotto la soglia di sufficienza fissata a 60, nonostante una crescita di 3 punti rispetto al 2024. Solo il 16% delle PMI può essere considerato «maturo» nella gestione del rischio cyber. La capacità di identificare vulnerabilità in modo strutturato si ferma a 47/100. Quasi una PMI su quattro ha subito una violazione informatica negli ultimi tre anni.
Questi numeri non sono solo un indicatore di fragilità: sono il ritratto di un mercato che non è ancora pronto per assorbire né produrre programmi di bug bounty strutturati. Un’azienda che non riesce a identificare i propri asset a rischio non può gestire un programma di ricerca esterna sulle vulnerabilità. La cultura precede l’infrastruttura.
Nella Pubblica Amministrazione la situazione è ancora più critica. Il CSIRT Italia ha inviato, solo a gennaio 2026, 1.010 comunicazioni di allertamento a PA e imprese per l’esposizione su Internet di 1.409 servizi a rischio. Una superficie d’attacco enorme, spesso ignara della propria esposizione. Un programma strutturato di bug bounty per la PA, sul modello del Hack the Pentagon del Dipartimento della Difesa statunitense (attivo dal 2016 su HackerOne), sarebbe non solo ragionevole ma urgente.
Il confronto europeo: cosa manca all’Italia
Il confronto con gli altri paesi europei è istruttivo. Il Belgio ha implementato un quadro legale per la CVD con la Legge del 26 aprile 2024: tutte le entità NIS2 sono obbligate ad adottare una politica CVD, la ricerca di vulnerabilità è legalmente consentita a condizioni precise e chi segnala in buona fede è protetto da conseguenze penali. L’Estonia sta conducendo un programma pilota su VDP e bug bounty attraverso HackerOne. La Germania ha pubblicato la propria politica CVD nel dicembre 2022. La Polonia, la Francia e la Lituania dispongono di framework con protezioni esplicite per i ricercatori indipendenti.
Come ha osservato un’analisi del marzo 2026 della testata europea Binding Hook, senza un porto sicuro per i ricercatori indipendenti l’Europa rischia di scoraggiare proprio il tipo di segnalazioni di cui il suo regime di disclosure ha bisogno. In quella stessa analisi, l’Italia viene inclusa tra i paesi in cui le protezioni per i ricercatori indipendenti sono insufficienti o del tutto assenti.
Il paradosso è evidente. La Legge 90/2024 ha inasprito le pene per le fattispecie aggravate degli accessi abusivi proprio nel momento in cui la NIS2 chiedeva di costruire un ecosistema di segnalazione responsabile. I due movimenti normativi si sono svolti in parallelo, approvati a pochi mesi di distanza, senza che nessuno si preoccupasse di riconciliarli. È un caso di mancato coordinamento legislativo destinato a produrre effetti concreti sugli anni a venire. A questo si aggiunge che gli adempimenti NIS2 imposti dal D.Lgs. 138/2024 stanno entrando nella fase più critica della loro attuazione proprio mentre la politica CVD nazionale resta ancora in sospeso.
Prospettive: cosa servirebbe per costruire un ecosistema italiano
La domanda non è se l’Italia debba sviluppare un ecosistema di bug bounty, ma come e in quanto tempo. I presupposti ci sono: una comunità di ricercatori tecnicamente capace, alcune realtà industriali che iniziano a comprendere il valore della sicurezza proattiva, e una cornice normativa europea che punta nella direzione giusta.
Ciò che manca è una serie di interventi strutturali.
Il primo è un safe harbour legislativo: la riforma dell’art. 615-ter per includere una causa di non punibilità per chi conduce ricerche di sicurezza in buona fede, nel rispetto di un protocollo di responsible disclosure e senza perseguire vantaggi illeciti. Non è una novità concettuale (è quello che Belgio, Francia e altri paesi hanno già fatto) ed è il prerequisito di qualsiasi programma di bug bounty serio.
Il secondo è la politica nazionale CVD dell’ACN. Il D.Lgs. 138/2024 la prevede e l’ACN deve adottarla. Quel documento diventa il testo fondante dell’intero ecosistema di responsible disclosure italiano, il riferimento che consente a un ricercatore di capire se è protetto o esposto.
Il terzo è un programma pilota nella PA. Con i fondi del PNRR e la Strategia Nazionale di Cybersicurezza 2022-2026 che prevede 82 misure di rafforzamento digitale, sarebbe possibile finanziare un programma sperimentale di bug bounty per i sistemi più esposti della PA centrale.
Il quarto, spesso sottovalutato, è la cultura e la formazione. Il dato del Cyber Index PMI 2026 (55 su 100, sotto la sufficienza) dimostra che il percorso è ancora lungo. Università, centri di competenza e lo stesso ecosistema di startup cyber che l’ACN sta cercando di alimentare attraverso il Piano per l’industria cyber nazionale potrebbero giocare un ruolo determinante nel costruire la massa critica di ricercatori capaci e riconosciuti di cui il mercato ha bisogno.
Il costo dell’attesa
C’è una tentazione, nelle istituzioni e nelle aziende, di aspettare che il problema si risolva da solo: che la NIS2 produca i suoi effetti, che qualcuno faccia il primo passo, che il mercato maturi spontaneamente. Ma i dati globali dicono che per ogni dollaro investito in bug bounty le organizzazioni evitano in media 15 dollari di perdite, e che il mercato cresce del 15% l’anno. Il Cyber Index PMI 2026 dice che quasi una PMI italiana su quattro ha già subito una violazione negli ultimi tre anni, mentre il 70% del tessuto produttivo si trova in una zona grigia dove la consapevolezza non si traduce ancora in difese operative.
Ogni anno di ritardo è un anno in cui le vulnerabilità restano aperte, i ricercatori italiani capaci lavorano per programmi esteri e il paese rimane esposto senza sfruttare le energie di chi potrebbe difenderlo.
Il modello del bug bounty non è una moda anglosassone: è una risposta pragmatica all’impossibilità di testare la sicurezza con le sole risorse interne. La domanda reale non è se sia opportuno adottarlo, ma se l’Italia abbia il coraggio istituzionale di riformare ciò che ostacola il suo sviluppo: a partire da quella norma del 1993 che, in un ecosistema che avrebbe bisogno di ricercatori come alleati, continua a trattarli come potenziali imputati.
