La legge UE sulla resilienza informatica, detta anche Cyber Resilience Act (CRA), renderà obbligatori i programmi di segnalazione delle vulnerabilità a partire dall’11 settembre 2026. Con oltre 48.000 falle segnalate solo nel 2025[1] e gli hacker che sfruttano le vulnerabilità più rapidamente che mai, le organizzazioni prive di un canale di segnalazione strutturato si trovano a operare alla cieca.
Un elemento centrale di questo nuovo approccio è il Vulnerability Disclosure Program (VDP), ovvero un canale strutturato che consente a ricercatori e hacker etici di segnalare vulnerabilità in modo sicuro e responsabile, permettendo di intervenire prima che queste vengano sfruttate in attacchi reali.
“La normativa CRA agisce su più fronti: dalla sicurezza della supply chain alla gestione delle vulnerabilità. In questo contesto, il VDP diventa uno strumento fondamentale per intercettare e risolvere le criticità in modo tempestivo, trasformando un processo attualmente destrutturato in un metodo governato e formale.” afferma Luca Manara, Founder & Executive Chairman di UNGUESS.
Perché integrare un VDP? I vantaggi operativi
Oltre alla conformità normativa, l’adozione di una Vulnerability Disclosure Policy offre vantaggi immediati per le aziende:
- Risoluzione del problema comunicativo: uniforma e automatizza le segnalazioni che arrivano dall’esterno, garantendo che le informazioni sensibili arrivino con tempismo e dettaglio ai responsabili della sicurezza già verificate da un processo di triaging fatto da esperti;
- Accesso alla comunità di ricercatori: apre l’azienda al contributo dei ricercatori esterni, permettendo di identificare bug che potrebbero sfuggire ai test interni;
- Efficienza e sicurezza nella trasmissione: consente di trasmettere materiale utile e verificato senza necessità di registrazioni complesse, rendendo l’operazione immediata e sicura;
- Dialogo efficace: crea uno strumento di dialogo semplice tra il mondo aziendale e quello dell’hacking etico, trasformando una potenziale minaccia in una risorsa collaborativa.
“Con l’entrata in vigore del Cyber Resilience Act, le aziende si trovano davanti a una sfida tecnica e di governance. La soluzione di UNGUESS nasce proprio per fornire l’infrastruttura tecnologica e operativa necessaria a implementare una Coordinated Vulnerability Disclosure (CVD) efficace. Come funziona in breve? Grazie a un canale di comunicazione ufficiale e sicuro tra ricercatori e aziende, eliminiamo il caos delle segnalazioni informali che spesso arrivano via email o social, garantendo un punto di ingresso governato per ogni vulnerabilità” – afferma Luca Manara – “Attraverso il nostro Safe Harbor legale, proteggiamo gli hacker etici, incentivando una collaborazione etica e trasparente. Infine, il nostro team di esperti si occupa direttamente del triage delle segnalazioni, permettendo ai team di sicurezza aziendali di concentrarsi esclusivamente sulla risoluzione delle falle realmente critiche”.
[1] Indusface State of Application Security Report 2026
