Il 6 febbraio 2026 si sono ufficialmente aperte le Olimpiadi Invernali di Milano-Cortina.

Già dal 4 febbraio, tuttavia, diversi gruppi hacktivisti avevano iniziato a rivendicare attacchi contro siti istituzionali, infrastrutture pubbliche e organizzazioni italiane, utilizzando l’evento olimpico come leva mediatica.

In pochi giorni si è osservata una convergenza di attori con motivazioni geopolitiche differenti, accomunati da un hashtag ricorrente: #OpItaly.

Di seguito un riepilogo delle principali attività rilevate e monitorate.

Olimpiadi e cyber threat: perché gli eventi globali attirano attacchi

I grandi eventi internazionali rappresentano da sempre un catalizzatore per le attività cyber ostili. Quando l’attenzione mediatica globale è concentrata su un singolo Paese, ogni disservizio, ogni rivendicazione e ogni contenuto propagandistico hanno un’eco amplificata. Colpire durante un evento di questa portata significa massimizzare la visibilità dell’azione, indipendentemente dall’impatto tecnico reale.

Le Olimpiadi, in particolare, hanno un forte valore simbolico: rappresentano cooperazione internazionale, stabilità e capacità organizzativa del Paese ospitante. Per gruppi hacktivisti con motivazioni ideologiche o geopolitiche, inserirsi in questa narrazione consente di trasformare un attacco informatico in un messaggio politico.
Anche un’interruzione temporanea o un semplice screenshot di errore può diventare uno strumento di propaganda se diffuso nel momento giusto.

La prima settimana di Milano-Cortina 2026 ha mostrato chiaramente questo meccanismo: non un singolo attacco coordinato, ma una molteplicità di attori che hanno sfruttato la stessa finestra mediatica per amplificare il proprio messaggio.

La campagna DDoS #OpItaly

Tra il 4 e l’8 febbraio sono stati registrati numerosi tentativi di attacco DDoS contro domini italiani ed europei, rivendicati pubblicamente su canali Telegram e forum underground.

È importante sottolineare che essere inseriti tra i target dichiarati non equivale automaticamente ad aver subito un’interruzione critica dei servizi.

Molti gruppi rivendicano esclusivamente i casi in cui un sito risulta temporaneamente non raggiungibile, ma dalle attività di monitoraggio emergono anche tentativi non andati a buon fine.

Un attacco DDoS (Distributed Denial of Service) consiste nel sovraccaricare un sito web o un servizio online con un volume elevato di richieste provenienti da più sistemi compromessi o controllati dall’attaccante. L’obiettivo non è accedere ai dati o compromettere i sistemi, ma rendere il servizio temporaneamente non disponibile agli utenti legittimi. Si tratta quindi di un attacco alla disponibilità, spesso utilizzato a fini dimostrativi o propagandistici.

NoName057(16): DDoS e propaganda filo-russa

Il gruppo NoName057(16) è stato l’attore più attivo nella prima fase.

Collettivo hacktivista filo-russo attivo dal 2022, noto per campagne DDoS contro Paesi considerati ostili alla Federazione Russa, opera attraverso la piattaforma DDoSia e utilizza canali Telegram multilingua per coordinare e rivendicare le azioni.

Timeline sintetica

• 4 febbraio: primi target tra Pubblica Amministrazione, regioni, comuni, ministeri e strutture turistiche.
• 5 febbraio: focus su trasporti, comprensori sciistici, infrastrutture portuali.
• 6 febbraio (giorno di apertura): escalation verso comitati olimpici europei, media internazionali e domini collegati a Milano-Cortina.
• 7–8 febbraio: reiterazione su target istituzionali e turistici.

Oltre ai DDoS, il gruppo ha pubblicato screenshot che mostravano il temporaneo disservizio delle pagine web come prova delle proprie azioni, utilizzato hashtag ricorrenti (#OpItaly, #OpEU) e deriso pubblicamente figure istituzionali, tra cui il Direttore Generale dell’ACN.

Server Killers: attacchi contro la PA centrale

Il 6 febbraio anche il gruppo Server Killers ha rivendicato attacchi DDoS verso diversi domini governativi italiani.

La narrativa dichiarata era esplicitamente legata al supporto italiano all’Ucraina.

I target rivendicati includevano portali istituzionali centrali, con l’obiettivo dichiarato di colpire “l’infrastruttura italiana”.

BD Anonymous: narrativa pro-Palestina

Parallelamente, il gruppo BD Anonymous ha rivendicato attacchi DDoS tra il 6 e l’8 febbraio contro infrastrutture portuali, domini istituzionali ed enti regionali.

La comunicazione era accompagnata da hashtag e messaggi legati alla causa palestinese (#FreePalestine), senza un riferimento diretto alle Olimpiadi ma utilizzando l’hashtag #OpItaly.

Si osserva quindi un fenomeno interessante: target sovrapposti tra gruppi con ideologie differenti, attratti dalla stessa finestra temporale ad alta visibilità.

Oltre il DDoS: i claim su sistemi OT e building automation

Un elemento particolarmente rilevante riguarda le rivendicazioni del gruppo Z-Pentest Alliance.

Il 6 e l’8 febbraio il gruppo ha dichiarato di aver ottenuto accesso non autorizzato a un sistema di domotica (via HMI) e a una piattaforma HVAC di controllo climatico.

Al momento non risultano conferme indipendenti delle compromissioni dichiarate. Tuttavia, questi claim evidenziano un aspetto critico: la superficie di attacco non riguarda solo i siti web, ma anche sistemi IoT, building automation e interfacce HMI eventualmente esposte su Internet.

Considerazioni dopo la prima settimana olimpica

Tra il 4 e l’8 febbraio 2026 si è osservato il coinvolgimento di più attori con motivazioni geopolitiche differenti, l’uso sistematico dell’hashtag #OpItaly, la sovrapposizione tra DDoS e narrative propagandistiche e tentativi di ampliare la percezione del rischio verso sistemi OT e IoT.

Non si è trattato di un singolo attacco coordinato, ma di un ecosistema di minacce che ha sfruttato l’evento olimpico come moltiplicatore di visibilità.

Il ruolo della Cyber Threat Intelligence

In contesti come questo, la Cyber Threat Intelligence assume un ruolo centrale.

Non si tratta solo di analizzare traffico o log tecnici, ma di monitorare canali Telegram multilingua, analizzare rivendicazioni pubbliche, osservare forum underground, correlare attività tra gruppi differenti e distinguere tra propaganda e compromissione effettiva.

La capacità di leggere il contesto, identificare pattern e anticipare possibili escalation è fondamentale per trasformare un’ondata mediatica in un rischio gestibile.

Gli eventi globali continueranno ad attirare attenzione anche dal punto di vista cyber.
Comprendere il fenomeno è il primo passo per prevenirlo.