Cybersecurity: vertici dello sport e Fondazione ICSA in convegno al CONI
La difesa delle società sportive dagli attacchi informatici e la protezione dei dati dei tesserati sono stati al centro del Convegno dall’elevato standing “Cybersecurity nel mondo dello sport. Prevenzione, contrasto e formazione per la difesa dagli attacchi informatici“, organizzato da Fondazione ICSA e da Sport e Salute, tenutosi il 22 maggio nel Salone d’Onore della sede del CONI.
Cybersecurity nel mondo dello sport: lo scenario
Attacchi informatici, deepfake, fake news e diffamazione mediatica: neanche il mondo sportivo è immune dalle offensive cyber, “che spesso hanno anche risvolti geopolitici – sottolineano da ICSA. – È notizia recente la campagna denigratoria di cui è rimasto ripetutamente vittima il Comitato Olimpico Internazionale (CIO), dapprima con un finto documentario con contenuti diffamatori prodotto utilizzando la voce di Tom Cruise generata dall’intelligenza artificiale, poi con una serie di scherzi telefonici, orchestrati per ottenere dichiarazioni antirusse, che sembra provenire dallo stesso gruppo che ha già attaccato nello stesso modo un certo numero di leader politici globali”.
Secondo un’indagine condotta nel 2020 per il National Cyber Security Centre (NCSC) del Regno Unito, ben il 70% delle organizzazioni sportive ha subito almeno un incidente informatico. Gli attacchi informatici possono consistere nel phishing, nella manipolazione dei risultati delle gare, nell’interruzione della trasmissione di eventi cruciali e nella sottrazione di dati a scopo di riscatto, con compromissione dei dati sensibili degli atleti e la violazione della privacy dei fan. I danni possono essere consistenti, sia a livello economico che di reputazione.
I contenuti del convegno
Ha inaugurato i lavori il presidente del Coni, Giovanni Malagò, sottolineando che “quello della cyber security è un tema importante e interessante anche per il mondo dello sport. Basti pensare che nelle ultime due edizioni dei Giochi Olimpici − quelle ‘sui generis’ di Tokyo e Pechino − sono stati registrati in media 700 attacchi al secondo, 815 al secondo solamente in Giappone, con una risposta di 7miliardi di controazioni difensive per impedire che questo creasse problemi al sistema”.
A seguire, il Presidente della Fondazione Icsa, Leonardo Tricarico, si è soffermato sugli obiettivi che la Fondazione ha perseguito in questi anni allo scopo di accrescere la consapevolezza sui temi della cybersecurity: “I cyberattacchi rappresentano una minaccia che non dà respiro. Al riguardo, come Fondazione Icsa stiamo adottando un approccio di sensibilizzazione degli attori istituzionali ed economici sul piano dell’analisi del rischio cibernetico e della formazione di settore, ma stiamo anche operando per far comprendere al mondo imprenditoriale, sociale e sportivo i rischi penali e sanzionatori a cui vanno incontro in caso di mancato rispetto degli obblighi di legge e regolamentari, dal momento che detengono un patrimonio immenso di dati. Serve penetrare la barriera di questi gestori lavorando sulla sensibilizzazione al tema”.
“Come Sport e Salute siamo orgogliosi di essere protagonisti di questo convegno su un tema di così stretta attualità”, ha evidenziato Marco Mezzaroma, Presidente di Sport e Salute. “Come sistema sportivo gestiamo ormai una mole di dati assai rilevante, che coinvolge oltre il 9% della popolazione italiana. Alcuni di questi dati sono di assoluta sensibilità. Ecco perché ci stiamo attivando come Società su diversi fronti: da una parte siamo in procinto di siglare un protocollo con la Polizia Postale, dall’altra stiamo attivando un’attività di formazione sul tema, rivolta agli organismi sportivi. Serve non pensare solo alla tutela della privacy sul dato, quanto alla tutela del dato e dei sistemi”.
I lavori sono proseguiti con l’intervento di Nunzia Ciardi, Vice Direttore dell’Agenzia per la Cybersicurezza Nazionale (ACN): “Il mondo dello sport in generale, e i grandi eventi in particolare, muovono ingenti risorse. Questo alletta la cyber criminalità che è sempre più agguerrita ed aggressiva”, ha spiegato Ciardi. “Le società sportive detengono una straordinaria mole di dati di grandissimo valore e il frazionamento estremo di questi dati costituisce una debolezza sistemica. Va rivalutato il tema della protezione delle infrastrutture informatiche perché la cyber sicurezza costa. E se le grandi società hanno fondi, e possono ‘scegliere’ se investire o meno, le medie e soprattutto le piccole ne hanno molti di meno pur gestendo dati non meno sensibili. Inoltre, c’è un guadagno diretto, quello che si ottiene attraverso i ransomware, la cifratura di dati che precede la richiesta di riscatti in criptovalute: nel 2023 i riscatti riscossi nel mondo per la prima volta hanno superato il miliardo di dollari, ed è solo la punta dell’iceberg visto che sono tantissime le aziende che pagano e non lo dicono per evitare il danno di immagine. E c’è il danno delle informazioni ‘spiate’: il tempo medio prima di essere scoperti è di cento giorni, periodo in cui gli hacker restano all’interno del sistema e rubano dati sensibili poi dirottati sul darkweb per i motivi più diversi”.
A seguire, Ivano Gabrielli, Direttore del Servizio Polizia Postale e delle Comunicazioni, ha dichiarato che “i grandi eventi sportivi, oltre al carattere geopolitico, hanno una dimensione cibernetica sempre più importante. Ecco perché diventa fondamentale la tutela delle strutture informatiche di appuntamenti come i Giochi di Parigi o i Giochi di Milano-Cortina”. Difatti, ha sottolineato Gabrielli, “gli accrediti, gli ingressi, la comunicazione, tutto viene gestito digitalmente, ed è straordinaria la mole di dati di atleti e spettatori potenziale bersaglio di attacchi ed esfiltrazioni. Soltanto dopo l’invasione russa dell’Ucraina, i cyber attacchi sono cresciuti del 120%. Ecco perché questo è un tema centrale, estremamente delicato, di cui anche il mondo dello sport, che muove capitali e produce Pil e immagine dei singoli Paesi, deve assumere sempre maggiore consapevolezza, investendo in formazione e strutture“.
Sul rapporto tra geopolitica e sport si è soffermato anche Emanuele Gentili, Co-direttore area Cybersecurity della Fondazione ICSA, nonché Fondatore e Direttore TS-Way, azienda di proprietà di Telsy, Gruppo TIM. “Gli eventi sportivi rappresentano un grande palcoscenico ed esiste uno stretto rapporto tra geopolitica e sport. Con l’uso sempre più diffuso degli attacchi informatici da parte di attori malevoli statuali, il rapporto abbraccia ancora di più la cybersicurezza. Come per aziende e PA, anche per le organizzazioni sportive è importante approcciare il problema con opportuni strumenti di prevenzione, monitoraggio e risposta ai cyber attacchi. La cybersecurity è uno sport di squadra e come tale necessita di allenamento e collaborazione continua di tutti gli attori per alzare l’asticella ed essere preparati”.
Le proposte di Fondazione Icsa e Sport e Salute sul fronte della cybersecurity nel mondo dello sport
Di fronte alla necessità di accrescere la consapevolezza sul rischio di cyberattacchi in ambito sportivo, è indispensabile lavorare sulla formazione delle risorse umane che operano in questo settore. A questo scopo, la Scuola dello Sport di Sport e Salute e la Fondazione Icsa sono in procinto di organizzare un’iniziativa formativa dal titolo “Cybersecurity nel mondo dello Sport”, lanciata, nel corso del Convegno, da Rossana Ciuffetti, Direttore Area Sport Impact di Sport e Salute: si tratta, ha spiegato Ciuffetti, di “un corso di formazione per sensibilizzare ed informare il mondo dello Sport sui temi della cyber security a tutela delle strutture, delle attività degli organismi sportivi e delle responsabilità che ne derivano”.
Il Corso progettato da Fondazione Icsa e da Sport e Salute è stato ulteriormente illustrato da Gianluca Cipriani, Progettista del Corso e Manager Area Governance di Hermes Bay: “Il Corso è rivolto ai manager sportivi con l’obiettivo di trasmettere le nozioni in ambito di Business Continuity, Social engineering, OSINT, SOCMINT e analisi del rischio”. Cipriani ha poi continuato sottolineando che “il mondo dello sport, come tanti altri settori, è ormai pervaso dalla tecnologia e per questo è importante comprendere quali sono i rischi che derivano dal suo utilizzo. Un esempio riguarda i dispositivi wearable, i quali consentono il monitoraggio delle prestazioni e del benessere degli atleti; questi costituiscono una potenziale vulnerabilità sfruttabile dagli attaccanti. Analogamente la cybersecurity deve essere seriamente presa in considerazione al fine di evitare interruzioni di un grande evento o possibili alterazioni dei risultati sportivi”.
Il CTO di Sport e Salute e AD di CONINET, Stefano d’Albora, ha sottolineato gli sforzi che Sport e Salute, per il tramite del suo partner tecnologico ConiNet, stanno portando avanti per gestire i sistemi informativi interni nonché quelli del CONI e della quasi totalità degli Organismi Sportivi, con un totale di circa 8 milioni di tesserati e 75.000 società. “Sport e Salute è consapevole che l’utilizzo pervasivo delle tecnologie dell’informazione e della comunicazione implica l’esposizione a rischi cibernetici che devono essere opportunamente gestiti, attraverso l’adozione di misure tecniche ed organizzative di cybersecurity volte a conseguire un livello elevato di sicurezza e di resilienza dei sistemi ICT gestiti e dei dati in essi contenuti”, ha affermato d’Albora. “In quest’ottica, si sta effettuando un’importante trasformazione digitale dell’IT del mondo sportivo in termini di infrastrutture − tramite l’adozione del cloud di Google tra i più evoluti e sicuri nella PA − e di servizi, grazie allo sviluppo di applicativi nel rispetto alle normative standard GDPR. A tal fine è stata definita una strategia di data protection che prevede un framework di cybersecurity organizzato in domini di indirizzo, e sono state messe in campo una serie di azioni concrete a tutela preventiva dei dati, tra cui il SOC 7/7 H24, una control room che si occupa del monitoraggio di tutte le componenti tecnologiche e diverse soluzioni di analisi predittiva del rischio applicativo. A tali interventi si accompagna una strategia di trasformazione digitale data centric per lo sport italiano in cui la protezione dei dati assume un ruolo chiave ed è basata su 4 pilar fondamentali: conformità normativa, sicurezza dei dati, gestione dei diritti degli interessati, formazione e sensibilizzazione. Grazie a queste misure, nell’ultimo anno sono stati intercettati e bloccati circa 350 milioni di tentativi di attacco”.
Marco Befera, Data Protection Officer di Sport e Salute e ConiNet ha sottolineato “l’importanza del tema trattato dal convegno come primo passo di un percorso di consapevolezza degli attori del sistema sportivo riguardo i rischi cybersecurity che insistono sul patrimonio informativo sportivo a fronte di un approccio storico focalizzato sulla privacy. Inoltre ha evidenziato la necessità di agire con una logica di sistema per affrontare tali rischi in ottica cost effettive”.
In conclusione, dei lavori, Angelo Tuzza, Consigliere Icsa e Docente di Diritto Pubblico dell’Economia in Unitelma – La Sapienza, ha affrontato gli aspetti giuridici del problema della Cybersicurezza in ambito sportivo: “La direttiva NIS2 e le imminenti norme di recepimento interno prevedono ipotesi specifiche di responsabilità diretta in capo agli organi di gestione degli enti per le violazioni cibernetiche, estendendone l’ambito agli eventi di data breach causati dalle loro supply chain. Sarà dunque indispensabile per soggetti quali CONI adeguare l’expertise dei propri organi di vertice, prevedendone formazione proporzionata alle minacce ed attivando poi le modalità negoziali più efficaci al fine di meglio disciplinare gli standard di sicurezza dei suoi stakeholder, prevedendo adeguate capacità di controllo lungo l’intera catena”.
