La legge UE sulla resilienza informatica, detta anche Cyber Resilience Act (CRA), renderà obbligatori i programmi di segnalazione delle vulnerabilità a partire dall’11 settembre 2026. Con oltre 48.000 falle segnalate solo nel 2025[1] e gli hacker che sfruttano le vulnerabilità più rapidamente che mai, le organizzazioni prive di un canale di segnalazione strutturato si trovano a operare alla cieca. Un elemento centrale di questo nuovo approccio è il Vulnerability Disclosure Program (VDP), ovvero un canale strutturato che consente a ricercatori e hacker etici di segnalare vulnerabilità in modo sicuro e responsabile, permettendo di intervenire prima che queste vengano sfruttate in attacchi reali.
“La normativa CRA agisce su più fronti: dalla sicurezza della supply chain alla gestione delle vulnerabilità. In questo contesto, il VDP diventa uno strumento fondamentale per intercettare e risolvere le criticità in modo tempestivo, trasformando un processo attualmente destrutturato in un metodo governato e formale.” afferma Luca Manara, Founder & Executive Chairman di UNGUESS.
Perché integrare un Vulnerability Disclosure Program? I vantaggi operativi
Oltre alla conformità normativa, l’adozione di una Vulnerability Disclosure Policy offre vantaggi immediati per le aziende:
- Risoluzione del problema comunicativo: uniforma e automatizza le segnalazioni che arrivano dall’esterno, garantendo che le informazioni sensibili arrivino con tempismo e dettaglio ai responsabili della sicurezza già verificate da un processo di triaging fatto da esperti;
- Accesso alla comunità di ricercatori: apre l’azienda al contributo dei ricercatori esterni, permettendo di identificare bug che potrebbero sfuggire ai test interni;
- Efficienza e sicurezza nella trasmissione: consente di trasmettere materiale utile e verificato senza necessità di registrazioni complesse, rendendo l’operazione immediata e sicura;
- Dialogo efficace: crea uno strumento di dialogo semplice tra il mondo aziendale e quello dell’hacking etico, trasformando una potenziale minaccia in una risorsa collaborativa.
[1] Indusface State of Application Security Report 2026
