Febbraio 2026. Milano e Cortina hanno ospitato i Giochi Olimpici invernali, un evento da 3 miliardi di euro di investimento pubblico, 3.000 atleti, e una copertura mediatica globale. Per un gruppo hacktivista filorusso come NoName057(16), è un bersaglio ideale: alta visibilità garantita, motivazione geopolitica solida (l’Italia che esclude gli atleti russi), e infrastrutture digitali da testare nelle settimane precedenti per trovare i punti deboli.

L’ACN ha schierato una task force dedicata alle Olimpiadi con mesi di anticipo. Il direttore generale Bruno Frattasi ha confermato pubblicamente che l’Agenzia ha fronteggiato con successo oltre 100 attacchi nel periodo olimpico. Ma il “con successo” va letto nel contesto corretto: nessun impatto operativo significativo sui sistemi delle gare o delle infrastrutture critiche, ma rivendicazioni continuano contro ambasciate italiane (Washington, Sydney, Toronto, Parigi) e strutture ricettive di Cortina. NoName057(16) aveva pubblicato una campaign list con almeno 52 obiettivi italiani e 711 richieste di attacco per il periodo olimpico.

Come funziona un’operazione hacktivista su un grande evento

Le operazioni DDoS di NoName057(16) seguono un modello consolidato: la piattaforma DDosia permette a volontari simpatizzanti di contribuire potenza computazionale degli propri dispositivi agli attacchi, trasformando la campagna in una sorta di crowdsourced DDoS con migliaia di partecipanti distribuiti geograficamente. La piattaforma è gestita tramite Telegram, con un sistema di punti e reward per chi contribuisce più traffico. Non è hacking sophisticato: è coordinamento di massa.

L’efficacia di questi attacchi contro grandi eventi è storicamente limitata quando le organizzazioni bersaglio si preparano in anticipo. Quello che invece produce risultati è l’impatto mediatico: un sito dell’ambasciata offline per 20 minuti diventa un titolo di agenzia, che diventa un tweet che circola nei canali filorussi come dimostrazione di efficacia operativa, che rinforza la narrativa del gruppo. Il danno reale è secondario rispetto al danno percepito.

Il problema che nessuno vuole affrontare: la crittografia che scade

Mentre il settore della sicurezza era concentrato sulle minacce immediate — ransomware, DDoS, zero-day —, nel World Quantum Day del 14 aprile 2026 Google e Cloudflare hanno allineato le loro stime pubbliche su una data che suona come un conto alla rovescia: il 2029 come anno limite entro cui completare la migrazione dalla crittografia asimmetrica tradizionale alla crittografia post-quantistica (PQC). Gartner aveva già formulato una previsione simile: “By 2029, advances in quantum computing will make conventional asymmetric cryptography unsafe to use”, con violabilità completa entro il 2034.

Quello che rende il problema quantistico diverso da altre minacce è la sua caratteristica di retroattività. Gli attaccanti con accesso a computer quantistici sufficientemente potenti — e con risorse sufficienti per costruirli o accedervi — possono decifrare comunicazioni cifrate con RSA o ECC anche se quelle comunicazioni sono state registrate anni fa. Questa strategia, nota come “harvest now, decrypt later”, significa che comunicazioni classificate o sensibili scambiate oggi possono diventare leggibili in futuro, non appena la tecnologia quantistica raggiunge la soglia critica. Agenzie di intelligence di diversi paesi sono note per raccogliere sistematicamente traffico cifrato intercettato per questo scopo.

Cosa significa concretamente la migrazione PQC

Il NIST (National Institute of Standards and Technology) americano ha finalizzato nel 2024 i primi standard di crittografia post-quantistica: ML-KEM (basato su CRYSTALS-Kyber) per l’incapsulamento delle chiavi, ML-DSA (basato su CRYSTALS-Dilithium) per le firme digitali. TLS 1.3 supporta già ML-KEM in modalità ibrida (classica + post-quantistica). Cloudflare e Google hanno abilitato il supporto PQC ibrido nelle loro CDN a partire dal 2024.

Per un’organizzazione media, la migrazione PQC non è un aggiornamento software: è un inventario crittografico. Significa mappare ogni sistema che usa crittografia asimmetrica (VPN, certificati TLS, firma dei codici, autenticazione a chiave pubblica SSH, HSM, token di sicurezza hardware), valutare la sensibilità e la longevità dei dati che protegge, e pianificare la migrazione in ordine di priorità. È un lavoro da mesi, non da giorni. Chi inizia nel 2028 non finirà nel 2029.

Due urgenze, una risposta comune

Gli attacchi DDoS agli eventi olimpici e la scadenza della crittografia quantistica sembrano problemi radicalmente diversi per scala temporale, complessità e impatto immediato. Ma condividono una caratteristica comune: entrambi richiedono preparazione anticipata per essere gestiti efficacemente. Un attacco DDoS gestito male durante le Olimpiadi genera danni reputazionali che durano anni. Una migrazione crittografica avviata tardi, sotto pressione, con sistemi legacy che non supportano i nuovi algoritmi, genera costi e rischi che durano decenni.

L’Italia del 2026 ha dimostrato che quando c’è la volontà politica e le risorse, le minacce immediate si possono gestire: il lavoro dell’ACN sulle Olimpiadi ne è la prova. La sfida è costruire la stessa capacità di risposta proattiva per le minacce strutturali a lungo termine, che per definizione non generano urgenza percepita fino a quando non è troppo tardi per agire in modo ordinato. La crittografia post-quantistica è il caso da manuale. Il 2029 è vicino. Il 2026 è adesso.