Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

Antonio Sanso ha 30 anni ed è uno sviluppatore informatico per una società di software, Adobe. Da poco ha scoperto una piccola crepa nella sicurezza di Facebook. Ha segnalato il problema alla squadra del social network che tutela le difese digitali e ha contribuito anche a trovare una soluzione. Riceverà una ricompensa di 500 dollari.«Sono un utente di Facebook e approfondisco se vedo qualcosa di strano», spiega Sanso. In precedenza aveva rilevato altre due falle, nel 2008 e nel 2010. Dopo la laurea all’università della Calabria, Sanso è stato in Irlanda come dipendente di Ibm e da freelance in Gran Bretagna e Stati Uniti. Sembra essersi appassionato alla scoperta delle vulnerabilità di sicurezza informatica: da poco ha trovato una crepa in un’altra piattaforma online. È un’attività che le aziende high tech iniziano a remunerare. Anche bene. Facebook ha stabilito una ricompensa minima di 500 dollari, ma afferma di essere disposta a pagare fino a un milione di dollari. Dipende dal valore della segnalazione dell’errore (chiamato bug). E altri, come Google e Mozilla, hanno avviato progetti per raccogliere le indicazioni dai cacciatori di bug (o bug hunters). Quella che prima era soprattutto un’attività volontaria di ricerca ha adesso altre prospettive. È in corso un cambiamento: fiorisce un mercato assicurativo per i "data breach", le perdite di dati causate da attacchi digitali. In Italia le società di telecomunicazioni e i fornitori di servizi internet hanno l’obbligo di comunicare la sottrazione di informazioni, entro 24 ore dalla scoperta, al Garante per la privacy e, nei casi più gravi, anche agli utenti.
Le capacità di Luigi Auriemma nascono dal talento e dalla passione. Ha contribuito alla sicurezza di grandi aziende rivelando crepe nei muri digitali che, in alcuni casi, avrebbero permesso dall’esterno manipolazioni e danni. Ha aiutato anche società che all’estero gestiscono infrastrutture critiche, come la fornitura di energia elettrica, attraverso software specifici per i controlli in ambito industriale, gli scada. La caccia ai bug è una sorta di hobby: tenta per alcune ore di trovare le vulnerabilità di un sistema informatico e, se non vede nulla, cerca altrove. Finché non arriva a un risultato che pubblica online. «Tutto il materiale che ho rilasciato gratuitamente non è servito altro che a far fare soldi a chi si occupa di sicurezza», spiega con rammarico Auriemma durante una conversazione in chat. Le sue scoperte sono state adoperate da imprese che, invece, hanno ottenuto remunerazioni. Ma quello che finora è stato soprattutto un hobby può diventare parte di un’attività professionale, grazie anche alla reputazione conquistata negli anni: ha in progetto di varare una società di sicurezza informatica. E diventare imprenditore. Si tratta di abilità che in un mercato globale come quello del software trovano attenzione. Negli Stati Uniti è quasi una corsa contro il tempo: i raduni di hacker sono sempre più frequentati da aziende e agenzie governative che chiedono una collaborazione ai pirati "etici" (o "white hat", come si definiscono) per imparare a proteggersi da eventuali incursioni digitali. Il Defcon, ad esempio, è tra i principali meeting di hacker al mondo, quasi un ibrido tra una festa e una conferenza. Ha avuto di recente tra i suoi ospiti anche Keith Alexander, direttore dell’agenzia nazionale per la sicurezza Nsa, alla ricerca di talenti dell’informatica.
Quello dei bug hunters è un percorso che spesso inizia da giovani. Alessio Ganci frequenta il terzo anno di liceo classico: lo scorso dicembre ha trovato una falla nelle difese di Google che, poi, è stata risolta. E in seguito ha indicato un bug di Facebook e un altro di Apple: dal social network ha ottenuto mille dollari di ricompensa. Spiega Ganci con tono professionale: «È un’attività che ha portato riconoscimenti e gratificazioni, ma finora ho sempre segnalato vulnerabilità minime». Nel tempo libero dagli impegni scolastici assiste gli utenti che hanno bisogno di supporto sui forum di Google. Eppure nel suo futuro non vede l’informatica come lavoro a tempo pieno. E confida: «Non ho ancora le idee chiare in proposito, ma penso alla facoltà di medicina o di economia e commercio».

LUCA DELLO IACOVO