Le Olimpiadi invernali Milano-Cortina 2026 oltre a proporre le sfide sportive tra gli atleti rappresentano un moltiplicatore di complessità, anche tecnologica: infrastrutture temporanee e permanenti, sistemi informativi eterogenei, fornitori locali e globali, piattaforme di ticketing, trasporti, telecomunicazioni, servizi energetici e una platea mondiale che supera i tre miliardi di spettatori sono solo alcuni elementi di questa complessità. Anche la dimensione cyber è parte integrante dell’evento stesso. È proprio su questo presupposto che si innesta il tema che inquadra i grandi eventi come un richiamo non solo per il pubblico e i media, ma anche per il cybercrime organizzato, per gruppi hacktivisti e per attori statuali interessati a sfruttare l’eccezionalità del contesto. La convergenza tra visibilità globale, urgenza operativa e interdipendenza dei sistemi crea infatti quello che gli analisti definiscono un “target-rich environment”, un ambiente ricco di bersagli. Le Olimpiadi sono un ecosistema digitale esteso che include organizzatori, sponsor, partner tecnologici, fornitori di servizi essenziali, PA e imprese locali.
Ogni nodo di questa rete rappresenta un potenziale punto di ingresso per campagne di phishing, frodi, ransomware o attività di spionaggio e, in caso di violazioni, amplifica l’impatto potenziale di qualsiasi incidente. Non solo, un disservizio, una violazione o un’interruzione assumono immediatamente una dimensione internazionale, con conseguenze reputazionali, economiche e, in alcuni casi, anche fisiche.
Lo scenario e la superficie esposta
Il report Cyber Threats to Milan-Cortina 2026, realizzato dal team Unit 42 di Palo Alto Networks, analizza in modo sistematico i rischi digitali associati ai giochi invernali italiani. Il documento non si limita a elencare possibili attacchi, ma costruisce un quadro articolato delle possibili minacce, delle motivazioni degli attori coinvolti e delle tattiche più probabili, basandosi sull’osservazione diretta di incidenti reali, su dati di risposta agli incidenti e sull’analisi comparativa di quanto accaduto nelle precedenti edizioni olimpiche. La metodologia adottata parte dall’esame delle campagne osservate durante eventi come PyeongChang 2018, Tokyo 2024 e Parigi 2024, dove sono stati registrati rispettivamente attacchi alle infrastrutture WiFi, tentativi di sabotaggio da parte di gruppi legati alla Russia e un picco significativo di attacchi DDoS, phishing a tema olimpico e traffico fraudolento.
Non si tratta quindi di ipotesi astratte, ma di proiezioni basate su pattern già osservati, adattati al contesto specifico di Milano-Cortina 2026. Questo approccio consente di evidenziare non solo le minacce più probabili, ma anche le dinamiche di propagazione degli attacchi all’interno di ecosistemi complessi.
Secondo lo studio, la superficie di attacco non si limita alle sedi di gara o ai sistemi direttamente riconducibili all’organizzazione olimpica, ma si estende a tutta la catena del valore. Trasporti pubblici, sistemi energetici, servizi idrici, hospitality, pagamenti digitali, media e telecomunicazioni sono elementi essenziali per il successo dell’evento e, proprio per questo, bersagli appetibili. Gli analisti sottolineano che la complessità dell’integrazione tra sistemi legacy e nuove piattaforme cloud-native, spesso implementate in tempi rapidi, aumenta il rischio di configurazioni errate, vulnerabilità non patchate e lacune nei controlli di accesso. Questi fattori vengono sfruttati dagli attaccanti, che possono muoversi lateralmente all’interno delle reti con maggiore facilità.
Milano-Cortina 2026, gli attori delle minacce
Dal punto di vista degli attori, il report distingue tre grandi categorie. La prima è rappresentata dai gruppi di cybercriminali motivati finanziariamente, in particolare le gang ransomware. Questi gruppi puntano a creare interruzioni critiche, come il blocco dei sistemi di biglietteria o dei siti ufficiali, per esercitare pressione sulle vittime e massimizzare le possibilità di riscatto. Un esempio citato nel report è Dark Scorpius, un gruppo in grado di ottenere l’accesso iniziale e di esfiltrare dati sensibili in un arco temporale estremamente ridotto, talvolta inferiore alle 14 ore. Accanto al ransomware, vengono evidenziate campagne di scam e phishing rivolte direttamente agli spettatori, che sfruttano siti web falsi, QR code fraudolenti e applicazioni contraffatte per sottrarre denaro e dati personali.
La seconda categoria comprende gli attori statuali, impegnati principalmente in attività di spionaggio. Questi gruppi operano con un orizzonte temporale molto più ampio e con risorse significative, mirando a compromettere figure di alto profilo come politici, dirigenti aziendali e rappresentanti istituzionali presenti ai Giochi. Il report analizza le modalità operative di gruppi come Fighting Ursa, noto anche come Apt28, legato alla Russia, che utilizza campagne di spear phishing sofisticate e infrastrutture di comando e controllo proprietarie per mantenere la persistenza e ridurre la probabilità di rilevamento. Vengono inoltre citati gruppi di matrice cinese, come Insidious Taurus e Salt Typhoon, impegnati rispettivamente nel posizionamento strategico all’interno delle infrastrutture critiche e nella raccolta di informazioni attraverso la compromissione di operatori di telecomunicazioni.
La terza categoria è quella degli hacktivisti, gruppi ideologicamente motivati che vedono nei giochi olimpici una cassa di risonanza globale per le proprie cause. In un contesto geopolitico caratterizzato da forti tensioni, questi attori puntano a massimizzare la visibilità delle proprie azioni attraverso attacchi DDoS, defacement di siti Web, diffusione di informazioni riservate e campagne di disinformazione. Il report sottolinea come, per questi gruppi, la dimensione simbolica dell’obiettivo sia spesso più importante del ritorno economico.
Le tecniche di attacco
L’analisi di Palo Alto Networks dedicata ampio spazio alle tattiche di attacco, con un’attenzione particolare al social engineering, che emerge come uno dei vettori più efficaci. Secondo i dati raccolti da Unit 42, il phishing rimane il principale metodo di accesso iniziale e, nel 76% dei casi analizzati, evolve in compromissioni di tipo business email compromise. L’adozione crescente di strumenti di intelligenza artificiale da parte degli attaccanti consente di creare contenuti credibili, dalle email ai deepfake vocali, riducendo le barriere tecniche e aumentando il tasso di successo delle campagne. In un ecosistema complesso come quello olimpico la fiducia reciproca diventa un punto debole strutturale.
Su questo aspetto si sofferma anche Umberto Pirovano, senior manager Technical Solutions di Palo Alto Networks, che osserva come “le Olimpiadi invernali rappresentino un ecosistema digitale immenso e ricco di bersagli, che va ben oltre i soli siti di gara”. Pirovano evidenzia come trasporti, energia, hospitality e sistemi di pagamento siano tutti “esposti a rischi elevati e individua tre macro-minacce principali: ransomware orientato al profitto, spionaggio da parte di attori statuali e hacktivismo volto a generare instabilità”. Per questo, il vero elemento di discontinuità per il 2026 “sarà l’uso sistematico dell’intelligenza artificiale da parte degli attaccanti, che abiliterà forme di social engineering 2.0 capaci di aggirare anche i controlli più maturi, rendendo obsoleti approcci difensivi manuali e reattivi”. La correlazione tra tipologia di minaccia e servizio colpito evidenzierà come le frodi e i furti finanziari siano particolarmente rilevanti per i sistemi di pagamento e sponsorship, mentre lo spionaggio si concentra su media, telecomunicazioni e infrastrutture di comunicazione, dove la riservatezza dei dati è un asset strategico.
Il quadro è quello di un evento che richiederà una preparazione cyber paragonabile a quella fisica e logistica. La sicurezza digitale diventa un fattore abilitante per il successo dei giochi, non un elemento accessorio. La capacità di vedere, comprendere e reagire rapidamente alle minacce, di coordinare le difese tra attori pubblici e privati e di ridurre la superficie di attacco attraverso modelli come lo zero trust rappresenta una condizione necessaria per affrontare un contesto in cui, come sottolinea il report, anche i cyber criminali “vanno a caccia dell’oro”.
© RIPRODUZIONE RISERVATA
