Bozza:Crowdfense

Crowdfense
Stato	Emirati Arabi Uniti
Forma societaria	Società a responsabilità limitata
Fondazione	2017 a Dubai (Emirati Arabi Uniti)
Fondata da	Andrea Zapparoli Manzoni
Sede principale	Abu Dhabi
Persone chiave	Paolo Stagno (direzione tecnica)
Settore	Sicurezza informatica
Prodotti	Exploit, zero-day, vulnerabilità software
Dipendenti	~30 (2019)
Slogan	«Vulnerability Research Hub»
Sito web	www.crowdfense.com/
	Elemento Wikidata assente · Manuale

Crowdfense è un'azienda di sicurezza informatica con sede negli Emirati Arabi Uniti, attiva nel mercato delle vulnerabilità informatiche, opera come broker di exploit zero-day e gestisce una piattaforma di intermediazione per la ricerca e compravendita di tali vulnerabilità. Fondata nel 2017 dall’esperto di cybersecurity italiano Andrea Zapparoli Manzoni (ex dirigente di KPMG e membro del direttivo Clusit), la società ha guadagnato notorietà internazionale nel 2018 con il lancio di un programma pubblico di acquisizione di vulnerabilità (bug bounty) dal budget di 10 milioni di dollari, offrendo fino a 3 milioni per singoli exploit su sistemi iOS e Android, destinando gli exploit a clienti governativi selezionati per attività di cyber-intelligence.^[1]^[2] Crowdfense acquista vulnerabilità software scoperte da ricercatori indipendenti e le rivende, dopo ulteriori sviluppi e verifiche, a clienti governativi (forze di polizia, agenzie d’intelligence e di sicurezza nazionale), fornendo strumenti di attacco mirato e intrusione informatica di nuova generazione per operazioni di cyber-spionaggio.

Storia

Andrea Zapparoli Manzoni concepì Crowdfense nel 2017, proponendo inizialmente di fondare la società in Italia senza però ottenere supporto dalle istituzioni nazionali.^[3] In seguito decise di lanciare l'iniziativa negli Emirati Arabi Uniti, stabilendo la sede a Dubai. L’idea alla base del progetto era sviluppare nuovi standard e processi per il mercato dei “mercenari informatici” (vulnerability trading), introducendo maggiore trasparenza in un settore tradizionalmente avvolto dalla segretezza. Dopo oltre un anno di sviluppo iniziale, nell’aprile 2018 la startup Crowdfense lancia la piattaforma “Vulnerability Research Hub” assieme al suo primo programma pubblico di “bug bounty” (acquisizione di exploit): un fondo da 10 milioni di dollari destinato a remunerare i ricercatori per l’acquisto di exploit zero‑day, con premi record fino a 3 milioni per catene complete di vulnerabilità su dispositivi mobili.^[4]^[5] Nel marzo 2019, a fronte del successo iniziale, viene lanciato un Global Acquisition Program da 15 milioni di dollari, estendendo il perimetro a nuove categorie (router, applicazioni enterprise, piattaforme di messaggistica) oltre ai principali sistemi operativi desktop e mobile (Windows, macOS, iOS, Android).^[6]^[7]^[8] Nel 2023 Andrea Zapparoli Manzoni lascia la gestione operativa di Crowdfense, dopo aver guidato la società nelle fasi di lancio e crescita iniziale. Secondo il rapporto Mythical Beasts dell’Atlantic Council, l’originaria Crowdfense Limited risulta liquidata e sostituita da una nuova entità con sede ad Abu Dhabi, Crowdfense Technological Project Management – Sole Proprietorship LLC.^[9] Contestualmente, Paolo Stagno (noto anche con lo pseudonimo “VoidSec”) assume il ruolo di direttore della ricerca in Crowdfense nella struttura rinnovata dell’azienda.^[10] Nel 2024 la società annuncia l’espansione del programma di acquisizione fino a 30 milioni di dollari complessivi e l’aggiornamento delle taglie per exploit di alto profilo (fino a 5–7 milioni per catene zero‑click su iOS, fino a 5 milioni su Android, fino a 3–3,5 milioni per i browser Chrome e Safari e fino a 3–5 milioni per vulnerabilità in applicazioni di messaggistica come WhatsApp e iMessage).^[11]^[12]^[13] Nel dicembre 2024 il magazine Analisi Difesa riferisce dell’interesse del gruppo emiratino EDGE Group ad acquisire Crowdfense; quattro giorni dopo la stessa testata pubblica una smentita ufficiale di Crowdfense sull’esistenza di trattative.^[14]^[15] Nel 2025 il sito ufficiale aggiorna il programma Exploit Acquisition Program, confermando il budget complessivo di 30 milioni di dollari e un perimetro che include software enterprise, componenti per sistemi operativi desktop e mobile e tecnologie di messaggistica.^[16]

Attività e Servizi

Crowdfense opera come broker di exploit e vulnerabilità zero‑day (vulnerabilità sconosciute al produttore del software al momento della scoperta), fungendo da intermediario tra la comunità internazionale di ricercatori indipendenti e una clientela governativa. Attraverso la sua piattaforma proprietaria (Vulnerability Research Hub) la società raccoglie le segnalazioni di bug e exploit inediti, li sottopone a un processo di verifica e testing interno, quindi negozia l’acquisto dei diritti esclusivi dal ricercatore per rivendere il vettore risultante ad agenzie di intelligence o forze dell’ordine interessate.^[17] A differenza dei tradizionali programmi di bug bounty orientati alla divulgazione responsabile, in cui le falle scoperte vengono rese note ai produttori per poi essere corrette, Crowdfense e altri broker simili (come l’americana Zerodium) mantengono le vulnerabilità segrete. Le falle acquisite da Crowdfense vengono tipicamente sfruttate per installare software di sorveglianza su bersagli di alto profilo in operazioni di cyber-intelligence. I payout promessi ai ricercatori sono sensibilmente superiori a quelli dei bounty standard, arrivando a milioni di dollari per singole catene complete per dispositivi mobili.^[18]^[19] Oltre agli zero‑day, l’azienda offre ai propri clienti anche un feed di exploit per vulnerabilità già note (N-day), mantenendo un catalogo costantemente aggiornato con analisi tecniche e exploit.^[20]

Posizionamento nel mercato

Crowdfense si colloca nel ristretto mercato internazionale dei fornitori di exploit e cyber-capability per governi, un settore popolato da aziende specializzate come Zerodium (USA), NSO Group (Israele), Hacking Team e Memento Labs (Italia) e poche altre.

Politiche

Fin dal lancio, i vertici di Crowdfense hanno sempre dichiarato una politica aziendale improntata alla responsabilità nell’uso degli exploit e all’autolimitazione etica. Andrea Zapparoli Manzoni, ideatore della società, ha più volte sottolineato che Crowdfense si rivolge a governi democratici o paesi alleati NATO e di escludere stati sottoposti a sanzioni internazionali o embarghi, adottando strette forme di autoregolamentazione e due diligence sui clienti (principio «do no evil», non fare del male).^[21] Crowdfense sostiene inoltre di non sviluppare strumenti di sorveglianza di massa, concentrandosi solo su exploit utilizzabili in operazioni puntuali di law enforcement o intelligence^[22]. Queste misure, sebbene volontarie, mirano a distinguere Crowdfense da precedenti controversi nel settore (come l’italiana Hacking Team, criticata per aver fornito spyware a governi repressivi) e a legalizzare un mercato fino ad allora sotterraneo.^[23]^[24]

Controversie e critiche

Il modello operativo di Crowdfense, comune a quello di altri broker di cyber-armi, solleva varie questioni etiche e di sicurezza. Una prima critica riguarda il rischio di proliferazione: vendere exploit zero-day a enti governativi implica che le vulnerabilità rimangano sconosciute ai produttori dei software colpiti e non vengano risolte, esponendo potenzialmente milioni di utenti ignari ad attacchi. Organizzazioni per i diritti digitali e esperti di security sottolineano che questi arsenali software, se finissero in mani sbagliate o fossero riutilizzati senza controllo, potrebbero compromettere infrastrutture critiche o violare la privacy e i diritti umani di cittadini, giornalisti e dissidenti politici. Episodi documentati, come il caso dello spyware Graphite (software)^[25] di Paragon usato per sorvegliare giornalisti, o gli attacchi contro dissidenti negli EAU, dimostrano come gli strumenti di hacking governativo possano essere facilmente rivolti contro civili innocenti. Tali scandali hanno alimentato le richieste di una regolamentazione più stringente sul commercio di vulnerabilità e spyware a livello internazionale. In assenza di normative internazionali chiare sul commercio di exploit (al di là di generici accordi sul controllo delle armi come l'Accordo di Wassenaar del 1995), l’intero settore opera in una zona grigia legale: le aziende adottano volontariamente regole proprie, ma di fatto non esiste modo di verificare in modo indipendente a quali governi vengano cedute le vulnerabilità né come queste vengano impiegate.

Collaborazioni

Pur operando in un settore caratterizzato dalla segretezza, Crowdfense mantiene un rapporto attivo con la comunità internazionale di ricerca sulla sicurezza. L’azienda mantiene un blog tecnico, partecipa a interviste e podcast^[26] e sponsorizza regolarmente conferenze, competizioni di hacking (CTF) e percorsi di formazione gratuita in occasione di eventi di settore, con l’obiettivo di farsi conoscere dai ricercatori e promuovere la partecipazione ai propri programmi di bug bounty. Dal 2018 in poi il team di Crowdfense è stato presente come sponsor o speaker in numerosi convegni di rilievo, tra cui ad esempio la conferenza Hack In The Box di Dubai, OffensiveCon a Berlino, Zer0Con a Seul, oltre a eventi locali come RomHack in Italia.^[27] Sul versante istituzionale, i principali partner di Crowdfense sono rappresentati dai suoi clienti governativi. Sebbene i contratti specifici siano coperti da riservatezza. In alcune operazioni Crowdfense ha supportato attività congiunte di contrasto al crimine informatico, ad esempio facilitando sting operation sotto copertura condotte da forze dell’ordine (fornendo exploit per infiltrarsi nei sistemi di criminali). Non sono note partnership formali con altre aziende del settore, ma Crowdfense è spesso messa in relazione con organizzazioni affini (ad esempio è citata come realtà complementare a gruppi di ricerca sulle vulnerabilità come Trend Micro’s Zero Day Initiative, con cui condivide l’obiettivo di individuare falle software, differenziandosi però per il diverso modello di divulgazione di tali vulnerabilità).

Note

^ (EN) Patrick Howell O’Neill, The zero-day industry tries 'transparency' in Dubai, in CyberScoop, 4 giugno 2018.
^ (EN) Lorenzo Franceschi‑Bicchierai, Startup Offers $3 Million to Anyone Who Can Hack the iPhone, in Vice (Motherboard), 25 aprile 2018.
^ Jaime D’Alessandro, Vita da cacciatore di bachi informatici. «Vi racconto il grande mercato dello spionaggio digitale», in la Repubblica, 5 agosto 2019.
^ (EN) Crowdfense Launches $10 Million Bug Bounty Program, in PR Newswire, 24 aprile 2018.
^ (EN) Patrick Howell O’Neill, The zero-day industry tries 'transparency' in Dubai, in CyberScoop, 4 giugno 2018.
^ (EN) Crowdfense launches $15M 0-day 2019 Global Acquisition Program, in Help Net Security, 11 marzo 2019.
^ (EN) Crowdfense Launches $15M “0day” 2019 Global Acquisition Program, in PR Newswire, 7 marzo 2019.
^ (EN) As Phones Get Harder to Hack, Zero Day Vendors Hunt for Router Exploits, in Vice (Motherboard), 7 marzo 2019.
^ (EN) Mythical Beasts and Where to Find Them: Mapping the global spyware market and its threats to national security and human rights, in Atlantic Council, 4 settembre 2024.
^ (EN) Mollitiam gets new CEO, Paolo Stagno joins Crowdfense, Whooster, in Intelligence Online, 11 gennaio 2024.
^ (EN) Crowdfense expands exploit acquisition program, in SC Media, 9 aprile 2024.
^ (EN) Pierluigi Paganini, Crowdfense is offering a larger $30M exploit acquisition program, in Security Affairs, 8 aprile 2024.
^ (EN) Lorenzo Franceschi‑Bicchierai, Price of zero-day exploits rises as companies harden products against hackers, in TechCrunch, 6 aprile 2024.
^ EDGE Group punta ad acquisire Crowdfense per rafforzarsi nella cybersicurezza, in Analisi Difesa, 12 dicembre 2024.
^ Crowdfense smentisce l’esistenza di trattative per l’acquisizione da parte di EDGE, in Analisi Difesa, 16 dicembre 2024.
^ (EN) Exploit Acquisition Program, in Crowdfense, 17 luglio 2025.
^ (EN) Patrick Howell O’Neill, The zero-day industry tries 'transparency' in Dubai, in CyberScoop, 4 giugno 2018.
^ (EN) Lorenzo Franceschi‑Bicchierai, Startup Offers $3 Million to Anyone Who Can Hack the iPhone, in Vice (Motherboard), 25 aprile 2018.
^ (EN) Pierluigi Paganini, Crowdfense is offering a larger $30M exploit acquisition program, in Security Affairs, 8 aprile 2024.
^ (EN) N‑day Feed Updates, in Crowdfense, 17 luglio 2025.
^ (EN) Patrick Howell O’Neill, The zero-day industry tries 'transparency' in Dubai, in CyberScoop, 4 giugno 2018.
«“This sector has no proper regulation […] All you can do is try to self‑regulate and do no evil.”»
^ (EN) Patrick Howell O'Neill, The zero-day industry tries 'transparency' in Dubai, in CyberScoop, 4 giugno 2018.
«Crowdfense... doesn’t build “mass surveillance tools,” instead focusing on exploits that can be used in highly focused operations against less than a dozen targets.»
^ (EN) Mythical Beasts and Where to Find Them: Mapping the global spyware market and its threats to national security and human rights, in Atlantic Council, 4 settembre 2024.
^ (EN) Mythical Beasts: Diving into the depths of the global spyware market, in Atlantic Council, 10 settembre 2025.
^ Italy: Second Italian journalist targeted with spyware in Paragon case, in International Federation of Journalists, 13 giugno 2025.
^ Vendita Vulnerabilità Zero-Day, in rev3rse security podcast, 22 ottobre 2024.
^ (EN) Andrea Zapparoli Manzoni, Shaping the Future of the 0‑Day Market (PDF), in HITB Amsterdam 2021, 2021.

Collegamenti esterni

Crowdfense Vulnerability Research Hub, su vrh.crowdfense.com.
Exploit Acquisition Program (EAP), su crowdfense.com.

Portale Biografie: accedi alle voci di Wikipedia che trattano di biografie

[1] (EN) Patrick Howell O’Neill, The zero-day industry tries 'transparency' in Dubai, in CyberScoop, 4 giugno 2018.

[2] (EN) Lorenzo Franceschi‑Bicchierai, Startup Offers $3 Million to Anyone Who Can Hack the iPhone, in Vice (Motherboard), 25 aprile 2018.

[3] Jaime D’Alessandro, Vita da cacciatore di bachi informatici. «Vi racconto il grande mercato dello spionaggio digitale», in la Repubblica, 5 agosto 2019.

[4] (EN) Crowdfense Launches $10 Million Bug Bounty Program, in PR Newswire, 24 aprile 2018.

[5] (EN) Patrick Howell O’Neill, The zero-day industry tries 'transparency' in Dubai, in CyberScoop, 4 giugno 2018.

[6] (EN) Crowdfense launches $15M 0-day 2019 Global Acquisition Program, in Help Net Security, 11 marzo 2019.

[7] (EN) Crowdfense Launches $15M “0day” 2019 Global Acquisition Program, in PR Newswire, 7 marzo 2019.

[8] (EN) As Phones Get Harder to Hack, Zero Day Vendors Hunt for Router Exploits, in Vice (Motherboard), 7 marzo 2019.

[9] (EN) Mythical Beasts and Where to Find Them: Mapping the global spyware market and its threats to national security and human rights, in Atlantic Council, 4 settembre 2024.

[10] (EN) Mollitiam gets new CEO, Paolo Stagno joins Crowdfense, Whooster, in Intelligence Online, 11 gennaio 2024.

[11] (EN) Crowdfense expands exploit acquisition program, in SC Media, 9 aprile 2024.

[12] (EN) Pierluigi Paganini, Crowdfense is offering a larger $30M exploit acquisition program, in Security Affairs, 8 aprile 2024.

[13] (EN) Lorenzo Franceschi‑Bicchierai, Price of zero-day exploits rises as companies harden products against hackers, in TechCrunch, 6 aprile 2024.

[14] EDGE Group punta ad acquisire Crowdfense per rafforzarsi nella cybersicurezza, in Analisi Difesa, 12 dicembre 2024.

[15] Crowdfense smentisce l’esistenza di trattative per l’acquisizione da parte di EDGE, in Analisi Difesa, 16 dicembre 2024.

[16] (EN) Exploit Acquisition Program, in Crowdfense, 17 luglio 2025.

[17] (EN) Patrick Howell O’Neill, The zero-day industry tries 'transparency' in Dubai, in CyberScoop, 4 giugno 2018.

[18] (EN) Lorenzo Franceschi‑Bicchierai, Startup Offers $3 Million to Anyone Who Can Hack the iPhone, in Vice (Motherboard), 25 aprile 2018.

[19] (EN) Pierluigi Paganini, Crowdfense is offering a larger $30M exploit acquisition program, in Security Affairs, 8 aprile 2024.

[20] (EN) N‑day Feed Updates, in Crowdfense, 17 luglio 2025.

[21] (EN) Patrick Howell O’Neill, The zero-day industry tries 'transparency' in Dubai, in CyberScoop, 4 giugno 2018.
«“This sector has no proper regulation […] All you can do is try to self‑regulate and do no evil.”»

[22] (EN) Patrick Howell O'Neill, The zero-day industry tries 'transparency' in Dubai, in CyberScoop, 4 giugno 2018.
«Crowdfense... doesn’t build “mass surveillance tools,” instead focusing on exploits that can be used in highly focused operations against less than a dozen targets.»

[23] (EN) Mythical Beasts and Where to Find Them: Mapping the global spyware market and its threats to national security and human rights, in Atlantic Council, 4 settembre 2024.

[24] (EN) Mythical Beasts: Diving into the depths of the global spyware market, in Atlantic Council, 10 settembre 2025.

[25] Italy: Second Italian journalist targeted with spyware in Paragon case, in International Federation of Journalists, 13 giugno 2025.

[26] Vendita Vulnerabilità Zero-Day, in rev3rse security podcast, 22 ottobre 2024.

[27] (EN) Andrea Zapparoli Manzoni, Shaping the Future of the 0‑Day Market (PDF), in HITB Amsterdam 2021, 2021.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]