I Giochi olimpici invernali di Milano-Cortina 2026 saranno il primo mega-evento sportivo davvero “full stack”: tutto è connesso, tutto è telemetria, tutto è superficie di attacco, dai droni per le riprese agli “athlete moments” in cloud, fino ai sistemi di ticketing centralizzati e ai backbone 5G che cuciranno insieme valli, piste e villaggi olimpici. È proprio questa convergenza di IT, OT, IoT e media in tempo reale che rende la prossima Olimpiade un laboratorio perfetto per sperimentare nuove TTP, sia per gli attaccanti sia per chi prova a difendere l’ecosistema digitale.
Il report di Palo Alto Networks analizza Milano-Cortina come un “target-rich environment” in cui la complessità organizzativa diventa un moltiplicatore di rischio: venue temporanee, reti pop-up, fornitori locali, app ufficiali, sistemi di pagamento, piattaforme di hospitality e infrastrutture telco vengono assemblati in pochi mesi e collegati tramite trust temporanei, federazioni d’identità e VPN nate solo per vivere quanto basta a reggere due settimane di evento globale. L’esperienza degli ultimi cicli olimpici è una timeline piuttosto chiara: interruzioni di WiFi e servizi digitali a PyeongChang 2018, operazioni di sabotaggio attribuite ad attori russi nel pre-Games di Tokyo, ondate di DDoS e phishing a tema olimpico su Paris 2024, con centinaia di milioni di tentativi di attacco registrati lungo tutto il periodo dell’evento. La differenza è che Milano-Cortina eredita tutto questo background di tradecraft offensivo e lo sovrappone a un’architettura ancora più digital-first, con 6.500 ore di copertura broadcast, AI in produzione video e ticketing/hospitality completamente centralizzati.
Se si guardano gli incentivi economici, la narrativa resta brutalmente lineare: il ransomware è ancora il modello di business dominante contro i sistemi core dell’evento, dai portali di ticketing alle piattaforme di scheduling fino ai backend che orchestrano accessi, trasporti e servizi di pagamento. Il report cita gruppi che, dal 2022, hanno accumulato oltre 500 vittime sfruttando campagne di social engineering con email bombing e richieste di accesso remoto: in diversi casi l’intero ciclo, dall’iniziale compromissione alla exfiltration massiva, si è consumato in meno di 14 ore, un tempo perfetto per colpire alla vigilia di una gara chiave quando ogni minuto di downtime ha un costo reputazionale e contrattuale enorme. All’edge dell’evento il denaro si sposta sui fan e sui vendor: fake ticket shop con domini typosquatted o DNS “dangling”, QR code malevoli stampati su volantini, pannelli e pseudo-materiale ufficiale, app fasulle che imitano companion app olimpiche ma integrano SDK malevoli per esfiltrare credenziali, dati di pagamento o sessioni social. In un contesto di emergenza logistica, con utenti costretti ad acquistare in fretta biglietti, pass e servizi, l’asticella di diffidenza si abbassa e il margine per le truffe a scala industriale si allarga.
Sul versante politico-strategico, gli attori di cyber-spionaggio giocano una partita diversa: non cercano il blackout spettacolare, ma la persistenza discreta dentro l’ecosistema che supporta delegazioni, governi, comitati e grandi sponsor. Le analisi citano esplicitamente gruppi collegati a Cina e Russia, già attivi su telco, ministeri, fornitori di infrastrutture critiche e player del settore media; la traiettoria è nota: phishing mirato verso staff diplomatico e di governance, infrastrutture di comando e controllo custom, tunneling e living-off-the-land tramite PowerShell e WMI per ridurre la firma rilevabile in log e EDR. In scenari di questo tipo la leva non è solo l’accesso alle comunicazioni sensibili durante i Giochi, ma la possibilità di riutilizzare le stesse catene di fiducia, account di servizio e integrazioni API anche mesi o anni dopo la cerimonia di chiusura, quando i log vengono archiviati e molte contromisure emergenziali vengono dismesse.
Più in basso nella catena, ma spesso più rumorosi, i gruppi hacktivisti proiettano sulle Olimpiadi conflitti geopolitici e cause identitarie, dalla guerra in Ucraina alle tensioni in Medio Oriente fino alle proteste sui diritti umani. Qui il playbook è ibrido: discovery aggressivo di asset esposti, defacement di siti istituzionali o di partner, DDoS contro portali di streaming, scommesse e biglietteria, fino al dump di dati e campagne di doxing orchestrate a colpi di canali Telegram e bot social. In molti casi gli incidenti tecnici sono solo il detonatore di narrative: leak selettivi, manipolazione del contesto, documenti pubblicati “a orologeria” durante momenti di massima visibilità, con l’obiettivo di colpire l’immagine del Paese ospitante o dei suoi alleati più che la resilienza tecnica delle infrastrutture.
La colla che tiene insieme tutte queste campagne, dal ransomware all’APT fino all’hacktivismo, è la social engineering a densità crescente, spinta dall’uso intensivo dell’AI generativa sul fronte offensivo. Nel campione analizzato da Palo Alto Networks, il 76% degli incidenti di phishing che hanno portato a compromissioni significative passa da business email compromise, spesso travestito da comunicazioni di executive, fornitori o partner che chiedono modifiche urgenti a coordinate di pagamento, whitelist di IP, policy MFA o privilegi di account. L’evoluzione qualitativa è ancora più inquietante dei numeri: deepfake audio e testuali permettono di replicare stile, lessico e timbro vocale della leadership con pochi minuti di materiale, costruendo telefonate di “supporto IT” o richieste dell’ultimo minuto perfettamente credibili per personale logistico o amministrativo sotto stress. Uno degli scenari documentati riguarda l’abuso sistematico degli help desk: gli attaccanti studiano flussi interni e script di verifica, poi chiamano fingendo di essere un dirigente in trasferta verso un venue, chiedono reset di password o nuova enrollment MFA e, nel caso descritto, riescono a scalare fino a privilegi di domain admin in circa 40 minuti di interazione.
Se si scende nel dettaglio dei servizi, Milano-Cortina mostra un pattern di dipendenze incrociate che rende quasi accademica la distinzione fra “IT” e “operazioni”. I sistemi di event management orchestrano accessi fisici, ingressi scaglionati, flussi di pubblico e credenziali per staff, spesso appoggiandosi a identity provider cloud con SSO verso decine di applicazioni diverse; le piattaforme di hospitality e pagamento sono integrate con CRM, loyalty, app mobile e sistemi fiscali, mentre i network di trasporto e le utility (energia, acqua, gestione ambientale) espongono interfacce digitali verso partner, fornitori e servizi di monitoraggio centralizzati. Un fault su uno di questi tasselli non resta confinato: un attacco a un fornitore di pagamenti può bloccare acquisti e accrediti, generare code e assembramenti, stressare i sistemi di accesso fisico e, per cascata, impattare sulla copertura media e sulle timeline delle competizioni. Dal punto di vista degli attaccanti, questa interdipendenza è un moltiplicatore di leva: colpendo un nodo periferico ma connesso, si ottiene un effetto domino che eccede di molto il valore “intrinseco” del singolo target.
L’altro layer critico è la connettività: TIM fornirà fibra ad alta capacità e 5G per supportare l’intera infrastruttura di comunicazione dei Giochi, dal backhaul delle venue all’upload delle riprese dai droni, fino ai servizi di collaborazione e ai collegamenti di ridondanza fra i vari siti. Sul piano tecnico questo significa reti segmentate ma densamente collegate, slicing 5G per servizi privilegiati, orchestrazione centralizzata via software-defined networking e un mosaico di apparati on-prem e cloud managed che espongono API e pannelli di controllo a squadre operative distribuite. Ogni layer – dalla gestione delle SIM M2M nei dispositivi IoT fino ai controller SDN che instradano traffico broadcast – è potenziale entry point per una catena di attacco che mira a degradare la QoS, intercettare flussi o dirottare porzioni di banda verso attività malevole.
In parallelo, la strategia “digital-first” del CIO porta sulle spalle una quantità inedita di dati e automazione: AI per replay e produzione delle immagini, 24 droni e 32 camere cinematiche per copertura immersiva, workflow di produzione in cloud attraverso piattaforme come Alibaba Cloud, stazioni “Athlete Moment” per connettere in tempo reale atleti e famiglie. Ogni componente introduce una combinazione di asset: feed video ad alta banda, metadata in tempo reale, pipeline di inferenza AI, storage transitorio e permanente in cloud, endpoint fisici distribuiti, interfacce a bassa latenza con operatori umani sul campo. Dal punto di vista della threat modeling, ognuno di questi elementi può diventare vettore: compromissione di un nodo di produzione cloud per manipolare overlay grafici o dati in sovraimpressione, attacchi alle API di orchestrazione dei droni, abuso delle stazioni “Athlete Moment” come pivot dentro VLAN poco segmentate o per la distribuzione di malware via endpoint condivisi.
Il problema di fondo, sul lato difensivo, è la scala del segnale: durante gli ultimi Giochi estivi si sono contate centinaia di milioni di tentativi di attacco, con picchi di DDoS nell’ordine di centinaia di Gbps e oltre, e trend globali che mostrano una crescita a tre cifre nella frequenza di questi attacchi dal 2022 al 2024. In uno scenario dove ogni log, allarme e flusso di telemetria compete per l’attenzione di un SOC già saturato, la differenza tra un incidente rumoroso ma gestibile e una compromissione silente che si muove sotto il rumore di fondo sta nella capacità di normalizzare, correlare e prioritizzare i segnali. È il motivo per cui le raccomandazioni più recenti parlano di consolidare telemetrie di rete, endpoint e cloud in un hub universale, applicare AI e machine learning per filtrare il rumore, misurare sistematicamente MTTD e MTTR, automatizzare la triage dei casi a bassa complessità per liberare analisti sulla caccia proattiva alle minacce.
Milano-Cortina diventa così un banco di prova anche per gli approcci “AI-first” alla difesa: sistemi di detection comportamentale che modellano l’uso normale di identità, API e asset e cercano deviazioni minime, playbook di risposta automatizzata che isolano host, resettano credenziali o chiudono accessi privilegiati in minuti anziché ore, continuous security validation che “red-teama” gli agenti e i workflow in produzione prima che lo facciano gli attaccanti. La stessa logica viene applicata al cloud: scansioni continue nel ciclo CI/CD per intercettare misconfigurazioni e vulnerabilità prima del deploy, gestione centralizzata delle autorizzazioni e dei privilegi in eccesso, threat detection in tempo reale su app, API e workload distribuiti fra data center, cloud pubblico e edge. In questo senso, la narrativa dei Giochi non è solo la storia di un Paese che ospita un evento globale, ma un’anteprima della normalità che l’industria dovrà gestire nei prossimi anni: ecosistemi iperconnessi, eventi ad alta visibilità, flussi di dati guidati dall’AI e una superficie di attacco che non si spegne con la cerimonia di chiusura.