Per aumentare la cibersicurezza dell’infrastruttura informatica e ridurre i ciber-rischi in modo efficace ed economico, nell’Amministrazione federale vengono condotti programmi «bug bounty» sotto la guida dell’Ufficio federale della cibersicurezza (UFCS) e in collaborazione con Bug Bounty Switzerland SA e le unità amministrative dell’Amministrazione federale.
A complemento di altre misure volte a garantire la sicurezza, i programmi «bug bounty» servono a identificare, documentare ed eliminare eventuali vulnerabilità nei sistemi e nelle applicazioni informatiche grazie alla collaborazione con hacker etici che, a differenza di quelli mossi da propositi criminali, si impegnano a rispettare le disposizioni giuridiche e operano con il consenso delle parti interessate.
Dopo il progetto pilota condotto nel 2021 dall’ex NCSC, nell’agosto 2022 la Confederazione ha acquisito la piattaforma per i programmi «bug bounty». Da allora l’UFCS permette agli hacker etici di impegnarsi a favore della sicurezza della Confederazione e di cercare costantemente lacune di sicurezza nell’ambito del programma «bug bounty».
Gli hacker etici interessati a partecipare al programma «bug bounty» della Confederazione e a testare i sistemi dell’Amministrazione federale possono annunciarsi al seguente link:
Cifre attuali: risultati del programma «bug bounty»
L’UFCS informa regolarmente in merito ai risultati del programma «bug bounty» dell’Amministrazione federale. Le esperienze acquisite finora sono pienamente positive. Il numero di segnalazioni e il loro contenuto mostrano chiaramente che con l’aiuto del programma «bug bounty» si trovano e si segnalano vulnerabilità che non sempre vengono identificate durante i controlli nell’ambito di test di sicurezza classici. Questo fatto dimostra che il programma «bug bounty» è sensato ed efficace come misura collaterale per i concetti di sicurezza informatica convenzionali o per i controlli di sicurezza nell’Amministrazione federale.
Indicazioni sui grafici
- Total: statistica dall’inizio del programma «bug bounty» il 30 agosto 2022
- Date: statistica degli ultimi dodici mesi, su base trimestrale
- Hackers: numero di hacker etici che hanno segnalato almeno una vulnerabilità
- Reported Findings: numero di vulnerabilità segnalate. Queste possono già essere state valutate e concluse (accettate, rifiutate) o trovarsi ancora nella fase di verifica.
- Rejected: numero di vulnerabilità che dopo l’analisi e la verifica non sono state accettate e che sono state rifiutate nei confronti dell’hacker etico (p. es. duplicati, non valide ecc.).
- Accepted: Numero di vulnerabilità che sono state accettate come valide dopo l'analisi e la revisione e che successivamente hanno portato a misure per correggere o migliorare la situazione.
- Low/Medium/High/Critical: numero di vulnerabilità secondo il grado di criticità. La base per la classificazione è lo standard CVSS riconosciuto a livello internazionale. Per la valutazione finale della gravità vengono presi in considerazione ulteriori criteri come ad esempio l’impatto della vulnerabilità sull’Amministrazione federale.
- Reward: somma delle ricompense (bounty) versate agli hacker etici. La ricompensa dipende dal grado di criticità della vulnerabilità.
Grafico: vulnerabilità segnalate e la loro classificazione negli ultimi 12 mesi
Indicazione: la statistica riportata rappresenta un quadro momentaneo della situazione. La classificazione delle segnalazioni di vulnerabilità può cambiare in singoli casi.
Tabella: vulnerabilità segnalate e la loro classificazione negli ultimi 12 mesi
| Date | Reported Findings | Rejected | In Review | Accepted | Low | Medium | High | Critical | Reward |
|---|---|---|---|---|---|---|---|---|---|
| 2025 Q4 | 77 (100%) |
28 (36%) |
6 (8%) | 43 (52%) |
9 | 21 | 5 | 8 | 57'050 |
| 2025 Q3 | 169 (100%) |
48 (28%) |
- | 121 (72%) |
23 | 63 | 19 | 16 | 68'750 |
| 2025 Q2 | 268 (100%) |
108 (40%) |
- | 160 (60%) |
30 | 85 | 24 | 21 | 134'050 |
| 2025 Q1 | 11 (100%) |
7 (64%) |
- | 4 (36%) |
2 | 1 | 1 | 0 | 2'000 |
Totale delle segnalazioni dall’avvio del programma nell’agosto 2022
| Hackers | Reported Findings | Rejected | Accepted | In Review | Low | Medium | High | Critical | Reward |
|---|---|---|---|---|---|---|---|---|---|
| 61 | 1'140 | 421 (37%) |
713 (62%) |
6 (1%) |
121 | 351 | 124 | 117 | 656'100 |
Ulteriori informazioni:
Ultima modifica 09.01.2026
