A soli 13 anni, aiutava Microsoft a trovare falle nei suoi servizi: il suo nome è Dylan

A soli 13 anni, Dylan è entrato a far parte della rete di ricercatori di sicurezza che collaborano attivamente con il Microsoft Security Response Center (MSRC), diventando il più giovane in assoluto ad averlo fatto. La sua storia, al crocevia tra curiosità, talento precoce e resilienza, dimostra come l'età non sia un limite quando si tratta di tecnologia e innovazione. A raccontarla la stessa casa di Redmond, in un articolo intitolato: "Rising star: Meet Dylan, MSRC’s youngest security researcher".

Il primo approccio di Dylan al mondo informatico avviene con Scratch, il linguaggio di programmazione visuale pensato per i più piccoli. Ma per Dylan non si tratta di un semplice gioco: il passo verso HTML e altri linguaggi è breve. Già in quinta elementare inizia ad analizzare il codice sorgente delle piattaforme scolastiche, spingendosi a modificare il funzionamento dei sistemi, come l'accesso ai giochi educativi prima del completamento delle lezioni, attirando inevitabilmente anche qualche richiamo.

Durante la pandemia da COVID-19, la scuola decide di bloccare la possibilità per gli studenti di creare riunioni su Microsoft Teams. Dylan non si limita a subire la decisione: trova un modo per aiutare i compagni sfruttando Outlook, mostrando da subito uno spirito proattivo e orientato alla risoluzione dei problemi.

Il vero salto nel mondo della sicurezza arriva però con la scoperta di una vulnerabilità in Microsoft Teams che consentiva il controllo completo su qualsiasi gruppo. Un lavoro di ricerca durato nove mesi, frutto di studio da autodidatta e sperimentazione. La segnalazione a Microsoft porta non solo alla correzione del problema, ma anche a una modifica nei termini del Bug Bounty Program, che consente ora anche ai tredicenni di partecipare ufficialmente.

Da allora, Dylan è diventato un collaboratore regolare del MSRC, distinguendosi non solo per le competenze tecniche, ma anche le capacità comunicative, cosa che l'ha portato a essere tenuta in seria considerazione dal team. Ad esempio, Dylan ha segnalato una vulnerabilità nel servizio Authenticator Broker che inizialmente era stata considerata fuori dall'ambito del Bug Bounty. Attraverso un dialogo chiaro e costruttivo, ha aiutato MSRC a comprenderne le implicazioni più ampie e farlo rientrare nel programma.

Il percorso di Dylan non è però stato tutto rose e fiori: durante il periodo pandemico ha dovuto affrontare due interventi chirurgici alle corde vocali. Un'esperienza che ha contribuito a rafforzarne la determinazione.

Oggi Dylan è al liceo, dove concilia gli impegni scolastici con attività extracurricolari come le Olimpiadi della Scienza, le gare di matematica, il nuoto, il ciclismo e il violoncello. Solo l'estate scorsa ha presentato 20 report di vulnerabilità, rispetto alle sole sei precedenti.

È stato inserito nella lista dei ricercatori più importanti dell'MSRC nel 2022 e nel 2024, e nell'aprile 2025 ha ottenuto un prestigioso terzo posto al concorso Zero Day Quest organizzato da Microsoft a Redmond. Insomma, un vero genietto di cui - forse - sentiremo ancora parlare. La sua storia è la dimostrazione che nel mondo della cybersecurity contano più la creatività, la curiosità e la perseveranza che la data di nascita.