Cyber Shield: la resilienza dell’Italia nella protezione dei mega-eventi

La gestione della sicurezza informatica per i grandi appuntamenti internazionali ha assunto una dimensione che travalica il semplice perimetro tecnologico, diventando un pilastro della resilienza nazionale.

Durante lo scorso confronto tecnico tenutosi al Security Summit Milano 2026, organizzato da Clusit, Vincenza Moroni, responsabile cyber security per la Fondazione Milano-Cortina, e Nicla Diomede, a capo del dipartimento di Roma Capitale, hanno delineato i contorni di quello che può essere definito un “Cyber Shield” italiano.

Attraverso il resoconto delle attività svolte per le Olimpiadi invernali e per l’anno giubilare, emerge come la protezione dei mega-eventi richieda una visione d’insieme capace di integrare istituzioni pubbliche, fornitori privati e una rigorosa pianificazione procedurale.

La pianificazione triennale come pilastro della difesa

Il successo nella protezione dei mega-eventi non si misura nei giorni di svolgimento delle manifestazioni, ma nei mille giorni precedenti. Per Milano-Cortina, il lavoro di preparazione è durato almeno tre anni, con un’accelerazione decisa nell’ultima fase operativa.

Vincenza Moroni ha sottolineato come la stabilità del sistema si sia basata sulla definizione meticolosa dei ruoli: «Chiunque si occupi di cyber security sa che le procedure sono la cosa più noiosa del mondo. Ma dopo questo evento posso dire che veramente, senza una paranoica attenzione verso le procedure e verso la definizione delle responsabilità, non sarebbe stato possibile arrivare dove siamo».

Questo approccio ha permesso di gestire non solo la fase preparatoria e i test, ma anche la reattività durante l’evento stesso. La chiarezza dei compiti è stata fondamentale per rispondere con immediatezza a ogni criticità, evitando che piccoli disservizi si trasformassero in crisi reputazionali o operative.

Allo stesso modo, per il Giubileo di Roma, la macchina della sicurezza si è messa in moto tre anni e mezzo prima dell’inizio, evidenziando come la continuità temporale sia un requisito essenziale per la gestione di flussi che, nel caso romano, hanno riguardato 33 milioni di persone distribuite su 35 eventi principali.

Roma Capitale e lo stress test dei grandi flussi giubilari

La complessità del Giubileo è derivata dalla sua durata, un intero anno, e dalla natura stessa della città di Roma, una metropoli che Nicla Diomede descrive come una “Smart City” in continua trasformazione.

La gestione quotidiana dell’ente comprende 30.000 caselle di posta, 16.000 postazioni di lavoro e una rete di 1.000 server distribuiti su 744 sedi. Un sistema così vasto è stato sottoposto a uno stress test senza precedenti non solo dagli attacchi informatici costanti, ma anche da imprevisti storici di enorme portata.

Durante l’anno giubilare, l’organizzazione ha dovuto affrontare eventi non programmati come la morte di Papa Francesco e la successiva intronizzazione di Papa Leone.

Diomede ha ricordato come questi momenti abbiano richiesto uno sforzo straordinario: «Abbiamo avuto l’imprevisto della morte di Papa Francesco e l’intronizzazione: due eventi non previsti che hanno stressato molto tutta l’organizzazione per l’arrivo di tutti i capi di Stato».

La capacità di tenuta del sistema è stata garantita da una struttura dedicata appositamente alla cyber security, considerata un’eccezione positiva nel panorama delle pubbliche amministrazioni italiane.

L’evoluzione delle minacce: tra attacchi DDoS e ingegneria sociale assistita dall’IA

Nel panorama dei mega-eventi, la minaccia si manifesta con modalità differenti, spaziando da attacchi volumetrici a intrusioni mirate.

Durante le Olimpiadi di Milano-Cortina, il rischio principale è stato identificato negli attacchi DDoS (Distributed Denial of Service), volti a rendere inaccessibili i siti istituzionali e i servizi collegati. Questi attacchi si sono concentrati con particolare intensità nel giorno precedente la cerimonia di apertura e durante la cerimonia stessa.

Tuttavia, la protezione non si è limitata ai grandi portali. È emersa la necessità di difendere l’intero ecosistema, inclusi gli attori locali come i singoli alberghi di Cortina d’Ampezzo.

Vincenza Moroni ha spiegato che «un disservizio locale in un evento così concentrato può avere un impatto immediato» e che, pertanto, la protezione della connettività per una struttura ricettiva è stata considerata fondamentale quanto quella del sito del Comitato Olimpico Internazionale.

Un ulteriore livello di sfida è stato rappresentato dall’uso dell’Intelligenza Artificiale per attacchi di Social Engineering estremamente sofisticati. Figure apicali dell’organizzazione olimpica sono state targettate con esche specifiche e personalizzate.

Moroni ha confermato che «abbiamo avuto alcuni attacchi specifici fatti sicuramente con l’IA perché erano molto sofisticati dal punto di vista del Social Engineering».

La difesa, in questo caso, non è stata solo tecnologica, ma basata sulla consapevolezza del personale, che si è sentito libero di segnalare tentativi di intrusione anche sulle proprie caselle di posta private.

La convergenza tra sicurezza fisica e digitale nelle smart city

Uno degli aspetti più innovativi emersi nella gestione di questi mega-eventi è la totale sovrapposizione tra sicurezza fisica e sicurezza logica. Nelle moderne Smart City, telecamere e sensori sono asset digitali che garantiscono la sicurezza dei cittadini nello spazio fisico.

Nicla Diomede ha evidenziato come, per l’evento di Tor Vergata che ha ospitato un milione di giovani, sia stato necessario estendere fibre ottiche e installare sistemi di videosorveglianza in tempi record.

«Se la parte cyber non funziona, si diventa “ciechi” anche per garantire la sicurezza fisica, come monitorare la calca dei pellegrini tramite le telecamere». Questa interdipendenza richiede un coordinamento stretto con le forze dell’ordine e la Protezione Civile.

Un esempio concreto della validità di questa integrazione è la gestione dei “falsi positivi”: nelle zone alpine, è accaduto spesso che un gatto delle nevi tranciasse una fibra durante la manutenzione delle piste.

Senza una comunicazione diretta tra i tecnici sul campo e il team di cyber security, l’interruzione della connettività sarebbe stata interpretata come un attacco informatico, attivando inutilmente i protocolli di emergenza.

Un’eredità di competenze: formazione e nuove generazioni

Il valore di questi mega-eventi non si esaurisce con lo spegnimento dei riflettori, ma risiede nel “lascito” che rimane al Paese.

Per Roma, questo si è tradotto nell’inaugurazione del nuovo Security Operations Center (SOC), una sala operativa fisica dove competenze diverse lavorano insieme per monitorare e rispondere alle minacce in tempo reale. Per Milano-Cortina, l’eredità è rappresentata da una nuova generazione di professionisti.

L’età media all’interno della Fondazione Milano-Cortina è stata di circa 30 anni, con un ampio coinvolgimento di profili junior che hanno potuto misurarsi con una sfida di caratura internazionale.

Anche il Comune di Roma ha investito massicciamente nella formazione specialistica “training on the job”, con l’obiettivo di creare una cultura diffusa della responsabilità.

In questo contesto, i giovani sono stati protagonisti anche nell’attività di awareness, riscrivendo le comunicazioni sulla sicurezza per renderle più accessibili e accattivanti.

Vincenza Moroni ha citato come esempio l’utilizzo di notizie di attualità, come l’attacco al Louvre, per catturare l’attenzione dei volontari e trasmettere buone pratiche di difesa.

Infine, l’esperienza italiana ha consolidato un modello di collaborazione internazionale.

La cooperazione con i team delle Olimpiadi di Parigi e il futuro passaggio di consegne con i colleghi di Los Angeles dimostrano che la cyber security per i mega-eventi è ormai un linguaggio globale.

Nonostante i tentativi di disinformazione da parte di gruppi hacker come NoName057(16), che hanno cercato di screditare l’impegno italiano, il supporto governativo è stato tangibile, con decine di esperti della Polizia Postale e dell’Agenzia per la Cybersicurezza Nazionale (ACN) integrati fisicamente nei team operativi.

Come ha ricordato Nicla Diomede, la prudenza resta d’obbligo perché il rischio zero non esiste, ma la capacità di lavorare come un’orchestra ha permesso di trasformare una potenziale vulnerabilità in un punto di forza del sistema Italia.