Anche l’informatica ha i suoi cacciatori di taglie. Non si tratta di cowboy, ma di hacker etici, che vanno a caccia di bug e vulnerabilità nei programmi, nelle app e nei siti web delle grandi aziende e dei governi di mezzo mondo in cambio di una ricompensa - una «taglia», in altre parole.

La «mamma» dei programmi «bug bounty» («caccia al bug», in italiano) è Katie Moussouris: ricercatrice, imprenditrice e attivista per la cybersicurezza etica, sarà a Bergamo sabato, il 18 ottobre, ospite del «No Hat 2025», la conferenza sulla sicurezza informatica che ogni anno si tiene nella nostra città.

L’aiuto degli hacker etici

«Il funzionamento dei “bug bounty programs” è semplice: le aziende mettono i loro software e i loro servizi nelle mani degli hacker, che cercano delle vulnerabilità nel codice. Se le trovano, possono segnalarle al committente, che li paga per il loro lavoro», spiega Moussouris, che aggiunge: «Per la verità, non è una formula che ho inventato io. A metà degli anni Novanta, Netscape utilizzava un sistema molto simile, ma i guadagni proposti agli hacker erano troppo bassi. Poi è arrivata Google, che ha raddoppiato le “taglie”. Qualche anno dopo, i miei progetti per Microsoft hanno reso i “bug bounty” famosi in tutto il mondo».

«Talvolta capita che giorni di lavoro non portino a nulla: in quel caso non c’è retribuzione» La «caccia al bug» non è l’unico strumento per garantire la sicurezza di un software: «Ci sono imprese che hanno dei team interni di controllo qualità, mentre altre si rivolgono ai “penetration tester”, che si comportano come degli hacker e cercano di “bucare” il codice», conferma l’esperta. «Tuttavia - specifica - in alcuni casi i “bug bounty” si rivelano particolarmente utili. Per esempio, una compagnia che ha già perseguito le strade tradizionali può mettere una taglia sui bug dei propri software per assicurarsi di non essersi persa per strada qualche falla». Generalmente, gli hacker considerano questi progetti come lavoretti secondari, per arrotondare: «Solo nei Paesi in via di sviluppo, le taglie garantiscono una certa stabilità economica. In Occidente è impossibile camparci», racconta Moussouris: «In Europa e negli Stati Uniti le consideriamo un po’ come il lavoro per Uber: puoi farlo per un po’, magari accanto a un posto di lavoro stabile, ma non è un impiego a vita. I guadagni, poi, dipendono molto da ciò che scopri: i bug minori sono pagati qualche centinaio di dollari, mentre si passa a qualche migliaio per quelli più gravi. Però per trovarli occorre tanto tempo, e talvolta capita che giorni di lavoro non portino a nulla: in quel caso non c’è retribuzione».

L’aiuto dell’Ia