Non tutti gli hacker sono cattivi: oltre alla categoria nota come “white hat” hacker (professionisti certificati al servizio della comunità o delle società private) esiste una vasta comunità di hacker che si dedica all’individuazione di “bug” (termine tecnico informatico per indicare errori o falle nel codice sorgente) all’interno di software o reti.

Generalmente questi hacker etici sono autodidatti che partecipano a programmi noti come “Bug Bounty” con cui le aziende offrono una ricompensa per la scoperta di vulnerabilità all’interno dei loro sistemi o prodotti.

HackerOne, la più nota tra le piattaforme che si occupano di fare da tramite tra le aziende e la comunità di hacker, ha da poco pubblicato un report in merito ai suoi utenti.

Dall’indagine è possibile capire in primis le motivazioni di queste persone: l’interesse per le aziende prese di mira (aiutandole a renderle più sicure), il senso di sfida e la possibilità di apprendere nuove tecniche e linguaggi di programmazione sembrano prevalere rispetto al guadagno.

Tuttavia, i dati più interessanti per capire il fenomeno sono proprio quelli economici:

questi hacker guadagnano mediamente quasi 3 volte lo stipendio di un ingegnere informatico. Infatti, le ricompense si attestano mediamente tra i 1000 e i 5000 dollari e anno dopo anno aumentano costantemente. Le grandi compagnie della Silicon Valley spendono anche milioni di dollari in un anno, dove la singola segnalazione può superare anche i 100.000 dollari.

La pratica del Bog Bounty è molto diffusa e incentivata negli Stati Uniti a partire da aziende private, ma anche alcune organizzazioni governative si stanno muovendo in questo senso.

In Italia, Team per la Trasformazione Digitale sta definendo delle procedure precise da attuare in caso di segnalazione di falle nei sistemi della pubblica amministrazione. Azione che è perfettamente in linea con la strategia sulla cybersicurezza della Commissione europea.

Per chi volesse, l’articolo di Carola Frediani su La Stampa permette di approfondire più nel dettaglio i dati riportati da HackerOne.