Per anni abbiamo pensato agli hacker come minacce da cui difenderci, costruendo muri digitali sempre più alti per proteggerci da attacchi invisibili. Ma cosa accade quando decidiamo di abbattere quelle barriere e trasformare i “nemici” in alleati? È la visione di Katie Moussouris, pioniera mondiale della cybersecurity, fondatrice e CEO di Luta Security, tra le prime a creare programmi di collaborazione tra aziende e hacker etici.
Sabato 18 ottobre sarà protagonista di «No Hat 2025», la settima edizione della conferenza internazionale sulla cybersecurity e l’hacking etico a Bergamo, dove dialogherà con esperti e giovani talenti su come costruire un cyberspazio più sicuro e collaborativo. Il giorno successivo, domenica 19 ottobre alle ore 11.30, Moussouris sarà invece ospite della 23esima edizione del festival «BergamoScienza» con il talk «Alleati inattesi: se gli hacker ci aiutano a proteggere i dati», in collaborazione con «No Hat», community italiana di ethical hackers con cui Moussouris condivide la missione di formare nuove generazioni di esperti in cybersecurity. Un incontro che promette di ribaltare le nostre certezze: non più difese solitarie, ma un’intelligenza collettiva al servizio della sicurezza.
AL: Sei considerata una pioniera della cybersecurity. Com’è nato il tuo interesse per l’hacking e la ricerca sulle vulnerabilità?
KM: Tutto è cominciato dalla curiosità. Da bambina amavo smontare gli oggetti di casa, tant’è che mia madre doveva nascondere i cacciaviti. Quando avevo otto anni mi regalò il mio primo computer, un «Commodore 64», e imparai da sola a programmare. Crescendo nei dintorni di Boston, entrai in contatto con i primi bulletin board systems, le prime comunità online dove conobbi altre persone affascinate dal funzionamento della tecnologia. È così che mi sono innamorata dell’hacking, molto prima che diventasse una professione.
AL: Com’è una tua giornata tipo come CEO di Luta Security e come sostenitrice globale dell’etical hacking?
KM: In realtà non esiste una vera “giornata tipo”. Posso passare dal concludere un accordo commerciale al consigliare governi su politiche di cybersecurity o discutere dei rischi legati alle tecnologie di sorveglianza. Il mio lavoro spazia dalla gestione della mia azienda alla tutela dei diritti umani nel cyberspazio, il tutto cercando di conciliare anche la vita familiare.
AL: Hai lavorato in uno dei primi gruppi di bioinformatica al mondo e hai contribuito al «Progetto Genoma Umano». In che modo quell’esperienza ha influenzato la tua visione della tecnologia e della sicurezza?
KM: Al Genome Center del MIT subimmo un enorme attacco informatico che mandò in tilt tutti i sistemi del laboratorio. Quell’esperienza mi spinse a passare dalla bioinformatica alla sicurezza informatica. All’epoca, al MIT non era permesso installare firewall, l’idea era che la scienza dovesse restare aperta, quindi dovevamo “hackerare” noi stessi per difenderci. Mi insegnò presto che proteggere un sistema richiede la stessa mentalità di chi cerca di violarlo.
AL: Gli hacker sono spesso visti come i “cattivi” di Internet. Come ribalti questa percezione e come definiresti un hacker etico?
KM: Il termine «hacker etico» riguarda l’intenzione e la responsabilità. Quando scopri una vulnerabilità, hai delle scelte: venderla, segnalarla o sfruttarla. Ho creato il primo programma di bug bounty (un programma che ricompensa le persone – hacker etici – per la segnalazione responsabile di vulnerabilità e bug nei software e nei sistemi di un’azienda, ndr) di Microsoft proprio per dare ai ricercatori la possibilità di essere retribuiti senza doversi rivolgere a mercati rischiosi. Per me, un hacker etico è chi riflette sulle conseguenze delle proprie azioni, anche quando questo significa avvisare il pubblico se un’azienda rifiuta di correggere un difetto.
AL: Senza troppi spoiler, cosa puoi raccontarci del tuo talk «Unexpected Allies»? Chi sono questi alleati e cosa significa costruire alleanze nella cybersecurity oggi?
KM: Parlerò di collaborazione: tra hacker, aziende e governi. Gli hacker possono essere veri alleati, persino whistleblower, quando rivelano rischi importanti. Ma le normative devono essere gestite con attenzione: imporre la divulgazione anticipata delle vulnerabilità, come prevede il nuovo Cyber Resilience Act europeo, può paradossalmente rendere i sistemi meno sicuri, diffondendo informazioni sensibili troppo presto.
AL: Con l’Intelligenza artificiale che sta trasformando la cybersecurity, le organizzazioni possono davvero difendersi da sole?
KM: L’IA sta rivoluzionando il modo in cui scopriamo e correggiamo i bug, ma ne sta anche creando di nuovi: circa il 60% del codice scritto da IA contiene vulnerabilità. Il rischio è sostituire troppo rapidamente le competenze umane. L’intelligenza artificiale è potente, ma manca di giudizio e contesto: non può ancora sostituire l’esperienza delle persone nella protezione dei sistemi.
AL: Stai collaborando con «NoHat» e presto terrai un evento con loro. Cosa unisce le vostre missioni?
KM: Condividiamo la convinzione che la cybersecurity si evolva a cicli, dagli esperti all’automazione e di nuovo agli esperti. Con l’avanzare dell’IA, rischiamo di ripetere vecchi errori: codice più veloce e meno costoso, ma anche più vulnerabile. Collaborazione e competenza restano essenziali per evitare crisi future.
AL: Cosa diresti a una giovane donna, o a chi proviene da contesti storicamente emarginati, che vorrebbe entrare nel mondo della cybersecurity ma pensa di non avere spazio?
KM: Non lasciarti intimidire: nelle nuove tecnologie nessuno è ancora esperto. La diversità di prospettive rende il settore più forte. E sii leale con te stessa, non con un’azienda. Valorizza la tua crescita e cambia strada quando le opportunità non riflettono più il tuo valore. Il settore evolve in fretta, resta curiosa e fedele a te stessa.
AL: Se potessi proporre un “bug bounty” al mondo, quale vulnerabilità vorresti correggere per prima?
KM: Premierei chi riuscisse a rendere realtà il reddito di base universale. Con l’IA che sta trasformando il mondo del lavoro, avremo bisogno di sistemi che redistribuiscano la ricchezza generata dalla conoscenza collettiva. Un modello economico più equo garantirebbe che nessuno resti indietro.
I prossimi appuntamenti di «BergamoScienza»
L’evento di Katie Moussouris si chiuderà con un messaggio potente: la sicurezza non nasce dalla paura, ma dalla collaborazione. Gli hacker (quelli etici, curiosi, consapevoli) non sono più figure da temere, ma menti capaci di costruire un futuro digitale più giusto e protetto.
Il weekend conclusivo di «BergamoScienza» sarà un’occasione per tutti, grandi e piccoli, di esplorare, sperimentare e lasciarsi stupire. Ci saranno laboratori interattivi e attività nelle scuole, come quelli organizzati nei vari istituti scolastici e nelle Sale Conferenze di Bergamo, ma anche spettacoli e performance che uniscono scienza e arte: storie sull’Universo, la melodia del silenzio del pianista Fred Hersch e la musica armena del Gurdjieff Ensemble. Infine, gli ultimi appuntamenti riguarderanno anche le conferenze con ricercatori, divulgatori e protagonisti dell’innovazione: da Katie Moussouris a Chiara Montanari, la prima italiana a guidare una spedizione in Antartide, passando per l’esperto del microbiota Nicola Segata e Anna Grassellino, fisica e direttrice del Superconducting Quantum Materials and Systems Center (SQMS) di Chicago. Un invito aperto a chiunque voglia scoprire quanto la scienza possa essere viva, vicina e soprattutto condivisa.