Grandi eventi internazionali non sono solo celebrazioni sportive. Sono vetrine globali, infrastrutture complesse e, sempre più spesso, obiettivi strategici per operazioni cyber ostili. In vista delle Olimpiadi Invernali Milano-Cortina 2026, l’Italia è entrata in una fase di esposizione digitale senza precedenti, dove il rischio ransomware non riguarda solo aziende private, ma istituzioni, supply chain, strutture ricettive e servizi essenziali.
Nei primi giorni di febbraio 2026, le autorità italiane hanno confermato una serie di tentativi di cyberattacco coordinati, attribuiti a gruppi di matrice filorussa, contro ambasciate, hotel e sistemi collegati all’evento olimpico. Attacchi sventati, ma tutt’altro che casuali.
Il contesto dell’attacco: perché Milano-Cortina è un target ideale
Secondo quanto riportato da ANSA e dal Ministero degli Esteri, i tentativi di intrusione rilevati tra il 2 e il 6 febbraio 2026 hanno coinvolto infrastrutture diplomatiche, strutture alberghiere e sistemi informativi indirettamente legati all’organizzazione dei Giochi. L’obiettivo non era solo il sabotaggio tecnico, ma l’instabilità reputazionale e operativa.
Fonti investigative indicano il coinvolgimento del collettivo NoName057(16), già noto per campagne DDoS e attività di disturbo contro Paesi europei. In questi casi, il ransomware rappresenta l’evoluzione naturale: non più solo bloccare, ma monetizzare e ricattare.
Come sottolineato anche da L’Espresso, l’elemento critico è la superficie d’attacco estesa:
- fornitori IT,
- hospitality,
- trasporti,
- ticketing,
- logistica
- comunicazione digitale.
Ogni anello debole può diventare il punto di ingresso.
Dalla minaccia cyber al rischio ransomware
Molti degli attacchi preliminari legati ai grandi eventi non si manifestano subito come ransomware. Iniziano con: scansioni di rete, phishing mirato a personale operativo, compromissione di credenziali di fornitori terzi.
Questa fase silenziosa è la più pericolosa. Secondo CISA, gli attaccanti possono rimanere all’interno di una rete oltre 90 giorni prima di attivare la cifratura finale.
Nel caso di Milano-Cortina, l’obiettivo non sarebbe stato il blocco immediato dei sistemi olimpici centrali, ma colpire infrastrutture collaterali: hotel, trasporti, servizi digitali locali. Un’interruzione diffusa, anche se frammentata, avrebbe avuto un impatto enorme sulla percezione di sicurezza dell’evento.
La risposta istituzionale: contenimento e prevenzione
La reazione delle autorità italiane è stata rapida. L’Agenzia per la Cybersicurezza Nazionale ha rafforzato il monitoraggio e dispiegato team dedicati a Milano e Cortina, in coordinamento con CERT nazionali e partner internazionali.
Il Ministro degli Esteri Antonio Tajani ha confermato che gli attacchi sono stati intercettati prima di causare danni operativi, segno di una crescente maturità nella difesa, ma anche di una minaccia concreta e persistente.
Tuttavia, come spesso accade, la protezione istituzionale non copre automaticamente il settore privato. Molte PMI coinvolte nella filiera olimpica non dispongono di piani strutturati per affrontare una crisi ransomware, né di backup verificati e realmente isolati. In uno scenario ad alta esposizione mediatica, anche un singolo incidente può generare un effetto domino difficile da contenere.
Qui emerge il vero rischio sistemico.
Il ruolo delle aziende: preparazione o esposizione
Le aziende che operano intorno a grandi eventi tendono a concentrarsi su continuità operativa e delivery. La cybersecurity viene spesso percepita come un costo accessorio, fino a quando non diventa un’emergenza.
Secondo NIST, le organizzazioni senza un piano di risposta agli incidenti testato impiegano fino al 60% di tempo in più per ripristinare i sistemi dopo un attacco ransomware.
Come sottolinea Andrea Baggio, CEO di HelpRansomware:
“I grandi eventi amplificano errori già presenti. Il ransomware non colpisce chi è sotto i riflettori, ma chi non è preparato a difendersi quando il riflettore si accende.”
Case analysis: cosa sarebbe successo senza contenimento
Analizzando scenari simili (Olimpiadi Tokyo, Mondiali FIFA, Expo), emerge uno schema ricorrente:
- accesso iniziale tramite phishing o fornitore compromesso;
- movimento laterale verso sistemi critici;
- esfiltrazione dati;
- cifratura selettiva;
- richiesta di riscatto con minaccia di leak pubblico.
Nel contesto di Milano-Cortina, Anche un singolo attacco riuscito a una catena alberghiera o a un service IT locale avrebbe potuto causare cancellazioni, blackout informativi e innescare una vera e propria crisi reputazionale ransomware, amplificata dall’attenzione mediatica internazionale e dalla pressione geopolitica.
Secondo Juan Ricardo Palacio, CoFounder & CEO America di HelpRansomware:
“Il ransomware oggi è uno strumento di pressione geopolitica. Non serve colpire il cuore del sistema: basta destabilizzare i margini.”
Lezioni apprese e raccomandazioni operative
Questo caso dimostra che la difesa non può essere solo reattiva. Serve un approccio strutturato che includa:
- piani di risposta ransomware dedicati;
- backup offline testati;
- formazione continua del personale;
- controllo dei fornitori;
- simulazioni di attacco.
Le aziende che collaborano con eventi ad alta esposizione dovrebbero considerare la cybersecurity parte integrante del rischio operativo, al pari della sicurezza fisica. Questo significa investire in politiche concrete di protezione dati, segmentazione delle reti e procedure di risposta testate periodicamente.
Per approfondire strategie di prevenzione e risposta, è possibile consultare le risorse interne di HelpRansomware su ransomware, protezione e recupero, dedicate proprio a scenari ad alta criticità.
Milano-Cortina come banco di prova
Gli attacchi sventati di febbraio 2026 non sono un episodio isolato, ma un segnale chiaro. Il ransomware è entrato stabilmente nello scenario dei grandi eventi come strumento di pressione, sabotaggio e profitto.
Milano-Cortina rappresenta un banco di prova per l’Italia, ma anche un’opportunità: dimostrare che preparazione, coordinamento e resilienza digitale possono fare la differenza tra una crisi annunciata e un incidente evitato.
In HelpRansomware lavoriamo ogni giorno su questi scenari, supportando aziende e istituzioni nella prevenzione, nella risposta e nel recupero. Perché quando il bersaglio è grande, la preparazione non è un’opzione: è una responsabilità.
