Qualche settimana fa, mentre le Olimpiadi di Milano-Cortina erano appena iniziate, abbiamo pubblicato un articolo sulla situazione cyber in corso. Le informazioni disponibili erano ancora frammentarie — 120 target colpiti, NoName057(16), un centro cyber h24 appena attivato — e il quadro che emergeva dalle prime ore era preoccupante. Non volevamo allarmare nessuno, ma con quei dati era impossibile non prendere la cosa sul serio.
Ora i Giochi si sono chiusi, la polvere si è posata, e abbiamo avuto modo di approfondire con dati più completi. La realtà che emerge è parecchio diversa da quella dipinta dai titoli allarmistici delle ultime tre settimane.
E forse qualcuno vi ha venduto il panico.
I numeri che nessuno vi ha dato
D3Lab, laboratorio italiano di cyber intelligence, ha mappato la settimana inaugurale con precisione chirurgica: 52 target distinti, 711 richieste DDoS dalla botnet DDosia tra il 4 e l'8 febbraio. L'hashtag #OpItaly ha fatto da catalizzatore, attirando gruppi con motivazioni diverse — dal filo-russismo al sostegno palestinese — verso la stessa finestra temporale ad alta visibilità mediatica.
Impressionante? Solo in apparenza. La stragrande maggioranza dei siti è rimasta operativa. I soli disservizi confermati hanno riguardato i portali olimpici di Austria, Finlandia e Germania — nemmeno quelli italiani. Il sito ufficiale di Milano-Cortina? Online. La Fondazione? Online. I sistemi di biglietteria, cronometraggio, sicurezza? Mai toccati.
Iscriviti alla newsletter per ricevere i migliori articoli direttamente nella tua inbox.
Ragusa gestisce otto scuole su dieci in Italia. E nessuno lo sa.
Argo Software ha l'80% del mercato scolastico italiano. Ricca IT presenta Arianna AI a Roma con Lenovo e Nvidia. Oasi Digitale raduna 13 aziende e 350 milioni di fatturato. Hack Your Talent quinta edizione: oltre 400 iscritti, record assoluto. Tutto da una città di 73mila abitanti.
fino a 1.000 tentativi DDoS al giorno
. Le 711 richieste in cinque giorni di NoName057(16) non sono nemmeno un picco statisticamente significativo.
Un DDoS non è un attacco hacker (e dovremmo smetterla di chiamarlo così)
Serve una dose di onestà tecnica, perché la copertura mediatica italiana ha confuso sistematicamente due cose diverse. Un attacco DDoS non ruba dati, non installa malware, non compromette sistemi. È l'equivalente digitale di mandare mille persone a bloccare l'ingresso di un negozio: fastidioso, visibile, perfetto per i titoli dei giornali, ma non distruttivo.
NoName057(16) non ha violato nulla. Ha bussato forte a 52 porte, e quasi tutte hanno retto. Eppure ogni testata italiana titolava "l'Italia sotto attacco hacker", alimentando un panico sproporzionato rispetto alla minaccia reale. La differenza tra un DDoS e un vero attacco informatico è la stessa che passa tra uno sciopero dei trasporti e un attentato alla metropolitana: entrambi creano disagi, ma uno è incomparabilmente più grave dell'altro.
PyeongChang 2018: quando l'attacco fu vero
Per capire quanto i DDoS di Milano-Cortina fossero rumore di fondo, bisogna guardare cosa accadde a PyeongChang nel 2018. Olympic Destroyer — non un DDoS, ma un malware distruttivo sviluppato dalla GRU russa — si infiltrò nell'infrastruttura IT dei Giochi mesi prima della cerimonia d'apertura. Fase di ricognizione da novembre 2017, infezione graduale, poi il colpo finale il 9 febbraio 2018.
Il malware cancellava file di sistema, si propagava autonomamente nella rete interna, aveva 44 account con credenziali hardcodate nel codice — segno di una compromissione profonda e prolungata. Risultato: Wi-Fi dello stadio down durante la cerimonia di apertura, sito ufficiale offline, terminali di stampa biglietti fuori uso, portali RFID di sicurezza bloccati. Ci vollero 12 ore per ripristinare tutto, e la Russia tentò persino di attribuire l'attacco alla Corea del Nord con false flag sofisticate.
QUELLO era un cyberattacco alle Olimpiadi. Milano-Cortina non ha visto nulla di paragonabile. Nemmeno lontanamente.
Il cast completo: teatro, opportunisti e un'ombra inquietante
Dietro gli attacchi a Milano-Cortina non c'era un unico fronte compatto, ma un assembramento caotico di gruppi con motivazioni e capacità molto diverse. Bisogna distinguere tra chi faceva rumore e chi rappresentava un pericolo concreto.
NoName057(16) — i protagonisti mediatici. Hacktivisti filo-russi, propaganda su Telegram con canali multilingua, DDoS con la piattaforma DDosia. La loro specialità non è la sofisticazione tecnica ma la comunicazione: ogni attacco viene rivendicato con screenshot, hashtag e messaggi politici. Rumorosi, ma tecnicamente primitivi.
Server Killers e BD Anonymous — gli opportunisti. Stessi DDoS, motivazione diversa (#FreePalestine per BD Anonymous). Si sono accodati alla visibilità delle Olimpiadi per amplificare le proprie cause, senza aggiungere capacità offensive significative.
Z-Pentest Alliance — la nota più inquietante. Hanno rivendicato l'accesso a sistemi di domotica e piattaforme HVAC il 6 e l'8 febbraio, pubblicando presunte prove su Telegram. La rivendicazione non è stata confermata indipendentemente, ma se fosse vera sarebbe l'unico attacco con rilevanza operativa reale: i sistemi HVAC controllano riscaldamento, ventilazione e climatizzazione delle sedi olimpiche.
Per una volta, la difesa italiana ha funzionato
Ed è qui che emerge il dato più sottovalutato dell'intera vicenda: la risposta italiana è stata efficace. Il centro ACN h24 a Roma, i 6.000 agenti di sicurezza, il protocollo tra Polizia di Stato e Fondazione Milano-Cortina, il coordinamento con Europol e Interpol — tutto ha funzionato come previsto.
Il confronto con Parigi 2024 è illuminante. L'ANSSI francese registrò 141 incidenti cyber durante i Giochi, di cui 22 con accesso riuscito ai sistemi e 119 a impatto minimo o nullo. Servivano 630 esperti di cybersecurity per coprire quasi 500 organizzazioni coinvolte. L'Italia, per quanto i dati ufficiali siano ancora parziali, sembra aver fatto ugualmente bene, se non meglio, sul fronte degli attacchi riusciti — almeno per quanto riguarda l'infrastruttura olimpica diretta.
Quando il ministro Tajani ha dichiarato "abbiamo sventato gli attacchi", per una volta non era solo comunicazione politica. I numeri gli danno ragione. Ma questo merito è stato sepolto sotto i titoli allarmistici — perché "difesa funziona, nessun danno" non fa click.
Il vero problema non sono le Olimpiadi — è il lunedì dopo
Il paradosso è lampante: durante le Olimpiadi l'Italia era più sicura del solito. Centro h24, risorse dedicate, attenzione massima, 6.000 agenti. Un livello di protezione che non esiste per nessun altro bersaglio nel paese, nessun altro giorno dell'anno.
Claudia Schettini dell'ISPI ha centrato il punto con lucidità: non ci sono evidenze di una minaccia specifica russa contro Milano-Cortina oltre l'hacktivismo. E soprattutto, ha ricordato che le minacce cibernetiche "non arrivano sempre e in via esclusiva dalla Russia". Le minacce vere — APT sofisticati, ransomware, compromissione di infrastrutture critiche — esistono 365 giorni l'anno.
Non è teoria. Nel 2024 gli attacchi cyber alla sanità italiana sono raddoppiati: 57 eventi contro i 27 del 2023, e nel 2025 sono saliti di un altro 40%. A maggio 2023 la ASL 1 Abruzzo — Avezzano, Sulmona, L'Aquila — fu paralizzata dal ransomware Monti: 500 GB di dati rubati, cartelle cliniche, valutazioni psicologiche di minori, referti HIV, tutto pubblicato online. L'ospedale San Salvatore ci mise 25 giorni per tornare operativo. A giugno 2024 toccò all'ASST Rhodense: il gruppo Cicada3301 esfiltò 1 TB di dati sensibili. Nessuno di questi attacchi ha fatto i titoli dei giornali quanto un DDoS che non ha buttato giù nemmeno un sito.
Il dato più brutale? Il 46% delle strutture sanitarie italiane non ha un responsabile dedicato alla sicurezza informatica — nel settore pubblico si sale al 52%. Il CERT-AGID registra quasi 100 campagne malevole a settimana, Olimpiadi o meno. Chi protegge queste strutture il 23 febbraio, quando le telecamere si sono spente e i 6.000 agenti sono tornati a casa?
Il verdetto
La verità è scomoda per tutti. Per chi gridava all'apocalisse: Milano-Cortina ha avuto tanto fumo e poco arrosto. I DDoS erano propaganda, non cyberguerra. L'Italia ha risposto bene, la struttura difensiva ha retto, e nessun servizio critico è stato compromesso.
Ma la verità è scomoda anche per chi si è rilassato. Il prossimo attacco vero non arriverà durante un evento con 6.000 agenti e un centro h24. Arriverà un martedì qualunque, come è già successo all'ASL 1 Abruzzo e all'ASST Rhodense — contro un ospedale o un comune dove il 52% delle strutture non ha nemmeno un responsabile IT dedicato alla sicurezza.
Questo dovrebbe preoccuparvi molto più di 711 richieste DDoS.
