Bug Bounty su programmi italiani — esperienza?

HackerOne e Bugcrowd hanno pochi programmi italiani. Ho guardato Telecom Italia, alcune banche, e qualche e-commerce. La maggior parte non ha programmi pubblici — solo responsible disclosure senza ricompensa. Qualcuno ha partecipato a programmi italiani di bug bounty? Qual è stata l'esperienza con la risposta dei team di sicurezza italiani?