Per aumentare la cibersicurezza dell’infrastruttura informatica e ridurre i ciber-rischi in modo efficace ed economico, nell’Amministrazione federale vengono condotti programmi «bug bounty» sotto la guida dell’Ufficio federale della cibersicurezza (UFCS) e in collaborazione con Bug Bounty Switzerland SA e le unità amministrative dell’Amministrazione federale.
A complemento di altre misure volte a garantire la sicurezza, i programmi «bug bounty» servono a identificare, documentare ed eliminare eventuali vulnerabilità nei sistemi e nelle applicazioni informatiche grazie alla collaborazione con hacker etici che, a differenza di quelli mossi da propositi criminali, si impegnano a rispettare le disposizioni giuridiche e operano con il consenso delle parti interessate.
Dopo il progetto pilota condotto nel 2021 dall’ex NCSC, nell’agosto 2022 la Confederazione ha acquisito la piattaforma per i programmi «bug bounty». Da allora l’UFCS permette agli hacker etici di impegnarsi a favore della sicurezza della Confederazione e di cercare costantemente lacune di sicurezza nell’ambito del programma «bug bounty».
Gli hacker etici interessati a partecipare al programma «bug bounty» della Confederazione e a testare i sistemi dell’Amministrazione federale possono annunciarsi al seguente link:
Cifre attuali: risultati del programma «bug bounty»
L’UFCS informa regolarmente in merito ai risultati del programma «bug bounty» dell’Amministrazione federale. Le esperienze acquisite finora sono pienamente positive. Il numero di segnalazioni e il loro contenuto mostrano chiaramente che con l’aiuto del programma «bug bounty» si trovano e si segnalano vulnerabilità che non sempre vengono identificate durante i controlli nell’ambito di test di sicurezza classici. Questo fatto dimostra che il programma «bug bounty» è sensato ed efficace come misura collaterale per i concetti di sicurezza informatica convenzionali o per i controlli di sicurezza nell’Amministrazione federale.
Indicazioni sui grafici
- Total: statistica dall’inizio del programma «bug bounty» il 30 agosto 2022
- Date: statistica degli ultimi dodici mesi, su base trimestrale
- Hackers: numero di hacker etici che hanno segnalato almeno una vulnerabilità
- Reported Findings: numero di vulnerabilità segnalate. Queste possono già essere state valutate e concluse (accettate, rifiutate) o trovarsi ancora nella fase di verifica.
- Rejected: numero di vulnerabilità che dopo l’analisi e la verifica non sono state accettate e che sono state rifiutate nei confronti dell’hacker etico (p. es. duplicati, non valide ecc.).
- Accepted: Numero di vulnerabilità che sono state accettate come valide dopo l'analisi e la revisione e che successivamente hanno portato a misure per correggere o migliorare la situazione.
- Low/Medium/High/Critical: numero di vulnerabilità secondo il grado di criticità. La base per la classificazione è lo standard CVSS riconosciuto a livello internazionale. Per la valutazione finale della gravità vengono presi in considerazione ulteriori criteri come ad esempio l’impatto della vulnerabilità sull’Amministrazione federale.
- Reward: somma delle ricompense (bounty) versate agli hacker etici. La ricompensa dipende dal grado di criticità della vulnerabilità.
Grafico: vulnerabilità segnalate e la loro classificazione negli ultimi 12 mesi
Indicazione: la statistica riportata rappresenta un quadro momentaneo della situazione. La classificazione delle segnalazioni di vulnerabilità può cambiare in singoli casi.
Tabella: vulnerabilità segnalate e la loro classificazione negli ultimi 12 mesi
| Date | Reported Findings | Rejected | In Review | Accepted | Low | Medium | High | Critical | Reward |
|---|---|---|---|---|---|---|---|---|---|
| 2025 Q3 | 169 (100%) |
43 (25%) |
20 (12%) |
106 (63%) |
22 | 52 | 17 | 15 | 58'250 |
| 2025 Q2 | 268 (100%) |
108 (40%) |
1 (1%) |
159 (59%) |
30 | 85 | 23 | 21 | 133'050 |
| 2025 Q1 | 11 (100%) |
7 (64%) |
4 (36%) |
2 | 1 | 1 | 0 | 2'000 | |
| 2024 Q4 | 0 (100%) |
0 (0%) |
0 (0%) |
0 | 0 | 0 | 0 | 0 |
Totale delle segnalazioni dall’avvio del programma nell’agosto 2022
| Hackers | Reported Findings | Rejected | Accepted | Low | Medium | High | Critical | Reward |
|---|---|---|---|---|---|---|---|---|
| 56 | 1'072 | 390 (36%) |
656 (61%) |
112 | 320 | 116 | 108 | 588'300 |
Ulteriori informazioni:
Ultima modifica 15.10.2025
