Hacker filorussi all'attacco alla vigilia delle Olimpiadi: colpite ambasciate e Cortina, firma Noname057(16)

Nella notte, mentre a Cortina d’Ampezzo le strutture alberghiere iniziavano ad accogliere le prime squadre per gli allenamenti pre-olimpici, alcuni sistemi informatici hanno smesso di rispondere. Nello stesso arco di tempo, a Washington, i tecnici dell’Ambasciata d’Italia hanno registrato un’anomalia nota a chi lavora nella sicurezza digitale: un’impennata improvvisa di traffico proveniente da più Paesi, composta da richieste identiche, prive di contenuto reale e indirizzate tutte allo stesso obiettivo, saturare i server e rendere inaccessibili i servizi online.

Poche ore dopo, sui canali di propaganda legati all’area filorussa è comparsa una rivendicazione esplicita. «La politica pro-Ucraina dell’Italia è punibile con i nostri missili DDoS», si leggeva nel messaggio firmato Noname057(16), un gruppo attivo dal 2022 noto per campagne di Distributed Denial of Service (attacchi di negazione distribuita del servizio) contro istituzioni e infrastrutture dei Paesi che sostengono Kyiv.

Secondo quanto dichiarato dal vicepremier e ministro degli Esteri Antonio Tajani, i tentativi di attacco sono stati intercettati e neutralizzati grazie ai sistemi di prevenzione attivati dalla Farnesina e dalle autorità di sicurezza. Gli effetti concreti, dove si sono verificati, si sono tradotti in rallentamenti temporanei e brevi interruzioni di servizio. Nessuna sottrazione di dati, nessuna compromissione profonda delle reti. È una dinamica coerente con la natura dei DDoS, che non mirano a entrare nei sistemi ma a sommergerli di richieste fino a renderli inutilizzabili. Il messaggio, però, è arrivato forte e chiaro, a ridosso dell’apertura ufficiale dei Giochi olimpici invernali Milano-Cortina 2026: il fronte digitale è parte integrante del confronto politico internazionale.

La rivendicazione attribuita a Noname057(16) indica come bersagli l’Ambasciata d’Italia a Washington, i Consolati italiani a Sydney, Toronto e Parigi e alcune strutture alberghiere di Cortina, considerate snodi sensibili dell’organizzazione olimpica. È una scelta che segue uno schema già visto: obiettivi simbolici, alta visibilità pubblica e sincronizzazione con eventi politici o sportivi capaci di amplificare l’eco mediatica. La crew ha costruito la propria notorietà proprio su questo meccanismo, alternando attacchi relativamente semplici dal punto di vista tecnico a una comunicazione aggressiva, pensata per trasformare disservizi limitati in segnali di forza.

Nel messaggio diffuso il 4 febbraio 2026, il gruppo ha collegato la linea del governo italiano a un presunto sostegno al “terrorismo ucraino”, annunciando nuove “punizioni” sotto forma di attacchi digitali. Una retorica bellica che mal si adatta alla realtà tecnica dei DDoS, ma che funziona sul piano narrativo. L’elenco dei bersagli e il riferimento diretto a Cortina sono stati rilanciati su più canali, rafforzando l’idea di un’Italia esposta e sotto pressione.

La tempistica non è casuale. La vigilia dei Giochi rappresenta una vetrina globale e colpire, anche solo marginalmente, l’ecosistema informativo e logistico dell’evento significa intercettare l’attenzione internazionale. In questo contesto, l’Italia viene dipinta come un Paese “colpevole” di sostenere l’Ucraina e quindi legittimo obiettivo di ritorsioni digitali. Le autorità italiane hanno risposto parlando di attacchi sventati, di servizi ripristinati rapidamente e di un innalzamento dello stato di allerta sulle sedi diplomatiche e sui sistemi legati all’organizzazione olimpica. Da Washington, Tajani ha indicato la matrice russa dell’operazione e ha confermato il rafforzamento delle misure di protezione.

Nelle stesse ore, a Milano, il piano sicurezza ha previsto l’attivazione continua di un centro di comando operativo, con un presidio specifico dedicato alla dimensione cibernetica. I log delle reti Wi-Fi, dei sistemi di biglietteria e delle piattaforme di pagamento dei fornitori accreditati sono stati condivisi in tempo reale all’interno di una control room dedicata. È un approccio che riflette l’evoluzione della minaccia: non solo tentativi di intrusione, ma azioni di disturbo mirate a delegittimare e a generare sfiducia.

Per quanto riguarda le sedi diplomatiche, le informazioni disponibili indicano che gli attacchi hanno preso di mira principalmente i siti istituzionali e alcuni servizi di front-office. La distribuzione geografica dei bersagli, che copre più fusi orari, è tipica delle campagne DDoS multi-regionali, che sfruttano reti di dispositivi compromessi, le cosiddette botnet, per moltiplicare la pressione sui server. Il ripristino è avvenuto in tempi brevi grazie a filtri anti-DDoS, al blocco temporaneo del traffico proveniente da aree considerate ad alto rischio e alla ridistribuzione del carico su infrastrutture di Content Delivery Network (rete di distribuzione dei contenuti). Nessun danno strutturale è stato segnalato.

Il valore di queste operazioni non sta nella loro complessità tecnica, dato che i DDoS sono una delle forme più datate di attacco informatico, ma nella loro efficacia comunicativa. Un sito istituzionale che non risponde, anche per pochi minuti, può alimentare l’idea di un’intera amministrazione in difficoltà. È un effetto ricercato consapevolmente dai gruppi di influenza vicini alla galassia russa.

Un precedente rilevante è l’operazione Eastwood, coordinata nel 2025 da Europol, che ha colpito l’infrastruttura di Noname057(16) e dei suoi sostenitori con server disattivati, perquisizioni e arresti in diversi Paesi europei. L’intervento ha ridotto la capacità operativa del network, ma non lo ha eliminato. Come spesso accade in questo ambito, le reti si ricompongono, cambiano assetto e sfruttano nuovi servizi offerti dal sottobosco del cybercrime. In alcuni casi, il nome del gruppo viene utilizzato anche da attori diversi per rivendicare azioni non direttamente riconducibili alla struttura originaria, una pratica nota come appropriazione del marchio.

La sicurezza di Milano-Cortina 2026 non riguarda solo l’ordine pubblico tradizionale. Riguarda la resilienza tecnologica e la tenuta dell’informazione. Oltre al monitoraggio costante degli asset più esposti, come aeroporti, sistemi di ticketing, reti alberghiere e connettività nelle aree dei venue, il Comitato Olimpico Internazionale (International Olympic Committee) ha esteso agli atleti strumenti di protezione contro abusi e campagne coordinate online, già sperimentati durante Parigi 2024. È operativa anche una Joint Integrity Unit (unità congiunta per l’integrità) per prevenire manipolazioni sportive e scommesse irregolari, in coordinamento con le forze dell’ordine italiane nel periodo compreso tra il 30 gennaio e il 24 febbraio 2026.

Il quadro è ulteriormente rafforzato dalla presenza di alte personalità internazionali, tra cui la delegazione statunitense guidata dal vicepresidente JD Vance e dal segretario di Stato Marco Rubio, che ha comportato un irrigidimento dei perimetri di sicurezza attorno agli hotel milanesi e ai centri di comando.

Per i cittadini, un attacco Distributed Denial of Service si manifesta in modo semplice: siti irraggiungibili o estremamente lenti, servizi online che restituiscono errori temporanei e, una volta risolto il problema, nessuna richiesta di cambio password o segnalazione di furti di dati. È un elemento importante per distinguere questi episodi da attacchi più gravi, come quelli che comportano l’esfiltrazione di informazioni o il blocco dei sistemi tramite ransomware.

L’Italia resta un bersaglio narrativo per gruppi filorussi per ragioni politiche evidenti. Il sostegno all’Ucraina, il ruolo nella NATO (Organizzazione del Trattato dell’Atlantico del Nord) e nell’Unione Europea, e l’adesione ai pacchetti di sanzioni sono elementi che nei canali di propaganda vengono semplificati e stravolti per giustificare ritorsioni digitali. Dinamiche simili si sono già viste nel 2025, quando attacchi con impatti tecnici limitati hanno ottenuto un’ampia risonanza mediatica colpendo banche, trasporti e pubbliche amministrazioni locali.

Al momento, ciò che è confermato dalle fonti è chiaro. La rivendicazione di Noname057(16) cita le sedi diplomatiche italiane e alcune strutture legate a Cortina. Gli attacchi sono stati di tipo DDoS e hanno avuto effetti contenuti o transitori. Le autorità parlano di tentativi sventati e indicano una matrice russa coerente con il profilo storico del gruppo. Non sono stati resi pubblici dettagli tecnici sull’ampiezza del traffico malevolo né eventuali tentativi paralleli di intrusione. In assenza di elementi verificati, il quadro resta quello di una campagna a forte valenza simbolica e politica.

Il linguaggio scelto dalla crew, con il richiamo ai “missili DDoS”, chiarisce l’obiettivo: più che colpire in profondità, inviare un segnale e ottenere visibilità. L’Italia risponde puntando su cooperazione internazionale, rafforzamento dei centri operativi di sicurezza, accordi con operatori privati e comunicazione istituzionale. La partita resta aperta. Nel cyberspazio non esiste l’azzeramento del rischio, ma la preparazione può trasformare attacchi rumorosi in disagi marginali e ridurre l’effetto della propaganda a semplice rumore di fondo.

Se questa linea verrà confermata nelle prossime settimane, una delle sfide più rilevanti di Milano-Cortina 2026 si giocherà lontano dalle piste e dagli stadi: nella capacità di difendere servizi, informazioni e fiducia pubblica da chi tenta di metterli in discussione con un clic.