Milano–Cortina 2026 non è “solo” un evento sportivo. È una macchina temporanea che si accende, gira a regime altissimo per poche settimane e poi si spegne. In mezzo, però, succedono tante cose: persone che arrivano, badge che si attivano, account che si creano, fornitori che entrano, pagamenti che scorrono, servizi che devono funzionare sempre.

E quando il mondo guarda, non guardano soltanto gli appassionati.

Non è un messaggio allarmistico, né una profezia nera: è un ragionamento probabilistico.

Più visibilità + più complessità + più urgenza = più opportunità per chi vive di frodi, estorsioni, sabotaggi dimostrativi o attività di intelligence.

In altre parole: se i Giochi sono una vetrina globale, è normale che qualcuno provi a salirci sopra—anche solo per pochi minuti—per far rumore.

Perché i grandi eventi “moltiplicano” il rischio

Ci sono tre ingredienti che, insieme, rendono qualsiasi mega-evento un magnete:

1) Il rumore di fondo è altissimo

In periodi normali, un’email strana o una richiesta “fuori procedura” risalta. Durante un evento globale, invece, arrivano davvero mille eccezioni: nuovi contatti, nuove urgenze, nuovi flussi, nuovi strumenti. Lo scenario perfetto per chi punta sulla confusione.

2) L’ecosistema è enorme (e non uniforme)

Non esiste “un unico perimetro”: ci sono organizzatori, venue, sponsor, media, hospitality, logistica, trasporti, service desk, IT di terze parti, consulenti, stagionali, volontari… la sicurezza non è mai identica per tutti. E gli attaccanti, storicamente, preferiscono gli anelli più deboli.

3) L’impatto reputazionale amplifica tutto

Anche un incidente relativamente “contenuto” può diventare enorme se si traduce in disservizi pubblici, code ai tornelli, biglietti bloccati, comunicazioni confuse, pagamenti non disponibili. Nei grandi eventi spesso la pressione non è tecnica: è mediatica.

La “pista lunga” degli attacchi: non succede tutto durante i Giochi

Uno dei fraintendimenti più comuni è immaginare l’attacco “il giorno della cerimonia”. In realtà, la finestra interessante è più ampia:

• Prima: vendita biglietti, prenotazioni, accrediti, assunzioni temporanee, onboarding fornitori, nuovi siti e landing page “a tema”, campagne social;
• Durante: picchi di traffico, assistenza al pubblico, continuità operativa, turnover, escalation rapide, più pressione sugli operatori;
• Dopo: rimborsi, contestazioni, fatture, report, dismissione di ambienti temporanei (che spesso resta incompleta).

È qui che si annidano i problemi più banali e più frequenti: account dimenticati, DNS lasciati appesi, portali temporanei rimasti online, credenziali riutilizzate, procedure bypassate “solo per oggi”.

Chi potrebbe provarci. Tre profili, un’unica regola: opportunismo

Semplificando, intorno ai grandi eventi tendono a muoversi tre “famiglie” di minacce. Le tecniche si sovrappongono, le motivazioni no.

Criminalità orientata al profitto

È la parte più “pratica” e spesso la più rumorosa: vuole monetizzare.

• truffe sui biglietti e sull’hospitality
• phishing e furto credenziali (anche per rivendere accessi)
• frodi su pagamenti e fatture
• estorsioni e ransomware (spesso con minaccia di pubblicazione dati)

Qui la parola chiave è scalabilità: basta che “ci caschi” una piccola percentuale, e l’operazione funziona.

Attori orientati all’intelligence

Più pazienti, più selettivi: cercano accesso, informazioni, posizionamento. I grandi eventi sono interessanti perché concentrano persone di rilievo, comunicazioni sensibili e infrastrutture condivise in un contesto ad alta densità.

Non serve immaginare scenari hollywoodiani: spesso l’obiettivo è più semplice (e più realistico): acquisire visibilità su email, documenti, chat, reti o dispositivi di figure chiave e dei loro staff.

Gruppi dimostrativi e sabotaggio

Qui il valore è l’eco: far parlare di sé, sostenere una causa, creare pressione. Gli strumenti sono spesso “semplici” (defacement, DDoS, takeover di canali social, leak mirati), ma l’effetto mediatico può essere grande.

Le tecniche che funzionano perché… funzionano sugli esseri umani

Se c’è una lezione costante nella sicurezza, è questa: durante i picchi operativi, la componente umana diventa il vero punto di contatto.

Impersonificazione e BEC: la frode che si traveste da lavoro

Non è “l’email con l’italiano sgangherato”. Oggi l’attacco credibile è quello che assomiglia al lavoro vero:

• “Serve approvare questa variazione IBAN entro oggi”
• “Il fornitore ha cambiato dominio, usa questa nuova mail”
• “Sono in riunione, fai tu e poi mi aggiorni”
• “Blocco urgente: conferma l’accesso o perdi la prenotazione”

La differenza la fanno due cose: contesto e urgenza.

QR code, app finte e siti clone: la truffa “da turista”

Non è “l’email con l’italiano sgangherato”. Oggi l’attacco credibile è quello che assomiglia al lavoro vero:

Quando arrivano persone da tutto il mondo, aumentano anche le truffe a bersaglio largo:

• QR code “pratici” che portano a pagine malevole
• app non ufficiali
• annunci sponsorizzati che imitano portali di ticketing o prenotazione
• finti supporti clienti via chat/social

È la versione digitale del bagarino: cambia il mezzo, non la logica.

Deepfake vocali e “high touch”: quando l’attacco passa dal telefono

Sempre più spesso l’attaccante non si limita a scrivere: chiama. Prende di mira help desk e service desk perché sono la scorciatoia perfetta: reset password, bypass MFA, nuove registrazioni di device, “eccezioni” autorizzate al volo.

E con audio sintetico e voce “simile”, la pressione psicologica aumenta: sembra tutto più reale, più urgente, più inevitabile.

“Fai da solo e risolvi”: l’ingegneria sociale mascherata da assistenza

Sempre più spesso l’attaccante non si limita a scrivere: chiama. Un’altra dinamica moderna: convincere l’utente a “risolvere” un problema eseguendo azioni che in realtà aprono la porta (installare, abilitare macro, lanciare comandi, concedere permessi, autenticarsi su pagine fasulle). Non è tecnologia avanzata: è manualistica invertita.

Le aree dove un disservizio fa più male

In un evento globale, il tema non è solo “furto dati”. Spesso è la continuità: Alcuni esempi (senza fare terrorismo, solo pragmatismo):

• accessi e ticketing: code, validazioni bloccate, customer care in tilt
• pagamenti: POS, ricariche, servizi cashless, frodi e chargeback
• hospitality e trasporti: prenotazioni, check-in, cambi orari, logistica
• comunicazione e canali ufficiali: social, siti, app, messaggistica al pubblico
• fornitori e operations: turni, badge, sistemi interni, strumenti di assistenza

Sono tutte aree dove anche un problema “piccolo” diventa enorme perché impatta direttamente l’esperienza.

Prepararsi bene, senza vivere male: cosa fare davvero, in ordine di resa

Qui il punto non è comprare “un prodotto in più”. È fare bene le basi, con un criterio: stare pronti batte diventare pronti.

1) Inventario e dipendenze: sapere chi tocca cosa

• quali sistemi sono “core”
• quali sono temporanei
• quali sono gestiti da terze parti
• quali integrazioni/API esistono davvero (non solo su carta)

Se non si vede, non si difende. E soprattutto: non si ripristina in fretta.

2) Accesso: ridurre privilegi, alzare attrito, eliminare eccezioni

• MFA ovunque (davvero ovunque, soprattutto su email e VPN)
• principi di minimo privilegio
• controllo di accesso “just in time” dove possibile
• revisione periodica degli account (in particolare contractor e stagionali)

Durante un evento, l’attaccante spesso non “buca”: entra da una porta rimasta socchiusa.

3) Supply chain: contratti e controlli operativi

Non basta chiedere “siete ISO?”. Serve chiarezza su:

• chi può accedere e come
• logging e tracciabilità
• tempi di notifica incidenti
• escalation e contatti 24/7
• test e audit minimi sugli ambienti esposti

Gli attaccanti amano i passaggi laterali: non serve colpire il bersaglio più protetto se c’è un partner più accessibile.

4) Monitoraggio e risposta: ridurre tempi, non solo prevenire

• playbook pronti (phishing/BEC, account takeover, DDoS, leak)
• esercitazioni tabletop “realistiche” (con pressione, telefonate, social, media)
• canali di comunicazione interni alternativi (quando la mail è “sospetta”)
• metriche pratiche: quanto tempo per rilevare? quanto per contenere?

Nel mondo reale, la differenza la fa la velocità: capire presto e limitare danni.

5) Dismissione: chiudere bene ciò che si apre per l’evento

La parte più trascurata. E una delle più pericolose.

• spegnere ambienti temporanei
• revocare accessi
• eliminare DNS “appesi”
• archiviare in modo sicuro dati e log
• verificare che non restino portali o pannelli admin esposti

Il “dopo” è spesso quando ci si rilassa. E chi attacca lo sa.

L’obiettivo non è avere paura, è avere margine

Milano–Cortina 2026 sarà un acceleratore: di turismo, di business, di infrastrutture, di attenzione globale. Ed è ragionevole aspettarsi che anche l’attività dei threat actor aumenti, perché aumentano incentivi e opportunità.

La buona notizia è che non serve vivere l’evento in modalità “allarme rosso”.

Serve viverlo in modalità preparazione: basi solide, processi chiari, supply chain governata, risposta allenata. Perché, quando tutti corrono, vince chi ha già fatto il riscaldamento.

L’oro vero è il tempo: perché MDR e Threat Intelligence contano

Negli eventi ad alta esposizione non vince chi evita ogni rischio, ma chi lo intercetta prima e reagisce meglio.

MDR serve a questo: trasformare segnali sparsi in azioni rapide — riducendo rumore, accelerando triage e contenimento.

Threat Intelligence aggiunge il contesto: quali minacce sono attive oggi, quali tecniche stanno cambiando, cosa vale davvero la pena monitorare.

Insieme fanno la differenza: più velocità, più precisione, più margine operativo.