Olimpiadi 2026: governance senza autorità è il vero rischio sistemico
Featured

Olimpiadi 2026: governance senza autorità è il vero rischio sistemico

Coordinare 25 organizzazioni indipendenti con un solo responsabile e nessun potere gerarchico: il modello che ha funzionato a Parigi è replicabile a Milano Cortina?

Un perimetro che nessun organigramma può contenere

Duecentocinquanta applicazioni. Diecimila workstation. Venticinque organizzazioni da coordinare in tempo reale, ciascuna con la propria maturità tecnologica, la propria cultura della trasparenza, le proprie priorità operative. E un solo responsabile della resilienza dell'intero ecosistema. Questo è stato il perimetro reale della postura di sicurezza informatica costruita per i Giochi Olimpici di Parigi 2024. Non un'infrastruttura aziendale scalata, ma un sistema temporaneo, distribuito, composto da agenzie pubbliche, sponsor, operatori infrastrutturali e fornitori che, nella vita ordinaria, non condividono nemmeno un protocollo di segnalazione. Franz Regul, che ha guidato la sicurezza informatica dell'evento, ha descritto questo modello come una forma di "solidarietà cyber", un coordinamento operativo costruito non su catene di comando, ma su relazioni di fiducia negoziate una alla volta. Il tutto doveva funzionare, e ha funzionato, sotto gli occhi del mondo intero, durante la diretta più osservata del pianeta. Il punto non è celebrare il risultato. Il punto è capire cosa significhi costruire resilienza dove non esiste autorità.

Quando il rischio diventa reputazionale, finanziario e fisico

La superficie d'attacco di un evento olimpico non è riducibile a un inventario di asset digitali. La cerimonia di apertura rappresenta il momento di massima esposizione globale: un'interruzione in quel contesto avrebbe impattato non un singolo sistema, ma la reputazione dell'intero movimento olimpico, dei partner finanziari e del Paese ospitante. Il sistema di ticketing, con la sua volumetria di transazioni e la visibilità pubblica, ha attratto campagne di frode massicce, siti clonati capaci di sottrarre centinaia o migliaia di euro per singolo spettatore. Ma la dimensione meno intuitiva è quella della sicurezza fisica: la compromissione dei sistemi di gestione dei display o degli impianti audio nelle venue avrebbe potuto generare rischi concreti per atleti e pubblico. E qui emerge la dinamica più scomoda per qualsiasi board: il fallimento di un singolo operatore infrastrutturale, i trasporti, ad esempio, diventa il fallimento dell'intero evento, anche quando la responsabilità formale non ricade su chi coordina la sicurezza. Il rischio non rispetta gli organigrammi.

Responsabilità totale, autorità zero

La frizione strutturale è chiara: un responsabile della resilienza di un ecosistema su cui non ha alcun potere gerarchico. Le venticinque e più organizzazioni coinvolte operavano normalmente in modo autonomo sulla sicurezza informatica. Ciascuna con il proprio livello di maturità, i propri fornitori, i propri vincoli di riservatezza. Costruire cooperazione reale, non il mero scambio formale di documenti, tra enti con culture così diverse è stata la sfida più complessa dell'intero programma. A questo si aggiungeva un fattore interno destabilizzante: il comitato organizzatore stesso raddoppiava il personale ogni anno. Ogni ciclo di crescita azzerava la cultura di sicurezza appena seminata, prima ancora che potesse radicarsi. Non è un problema di budget o di tecnologia. È un problema di architettura della responsabilità. Chi risponde della resilienza complessiva quando nessuno dei singoli attori è formalmente obbligato a cooperare? Questa domanda non riguarda solo le Olimpiadi. Riguarda ogni ecosistema distribuito, filiere industriali, consorzi pubblico-privati, grandi eventi, dove la governance reale è più sottile dell'autorità dichiarata.

NIS2, DORA, GDPR: Milano Cortina sotto il regime più esigente della storia

Milano Cortina 2026 si svolgerà in Italia sotto la piena applicazione di tre quadri normativi europei che a Parigi 2024 erano ancora in fase di transizione. La Direttiva NIS2, recepita nell'ordinamento italiano, impone obblighi di gestione del rischio e segnalazione degli incidenti a tutti i soggetti essenziali e importanti che operano in settori come trasporti, energia, sanità e telecomunicazioni, esattamente le infrastrutture critiche coinvolte in un evento olimpico. Il modello di solidarietà operativa sperimentato a Parigi non è un'opzione organizzativa: è ciò che NIS2 richiede come standard di coordinamento tra operatori interdipendenti. Il Regolamento DORA impone ai partner finanziari e agli sponsor bancari dell'evento obblighi specifici di resilienza operativa digitale e gestione del rischio ICT di terze parti, inclusi i fornitori tecnologici del comitato organizzatore. Il GDPR, già pienamente applicabile, copre la protezione dei dati personali di atleti, spettatori e dell'intero sistema di biglietteria. L'Italia ospiterà le Olimpiadi nel regime normativo più stringente mai applicato a un mega-evento sportivo. La domanda non è se le norme esistano, ma se l'architettura di governance sia già stata disegnata per rispettarle in un ecosistema così frammentato.

La domanda che nessuno sta ponendo ad alta voce

A Parigi ci sono voluti quasi cinque anni per costruire un modello di coordinamento operativo tra venticinque organizzazioni indipendenti. Cinque anni di negoziazione, costruzione di fiducia, definizione di protocolli condivisi, gestione di resistenze culturali. Milano Cortina 2026 è tra poco più di un anno. Chi sta coordinando oggi lo stesso lavoro? Con quale mandato? Con quale autorità reale sugli operatori coinvolti, le aziende di trasporto locale, i gestori delle reti energetiche, gli operatori sanitari, i fornitori tecnologici? Il precedente parigino dimostra che il problema non si risolve con un piano di incident response scritto a tavolino. Si risolve con una governance distribuita che funziona sotto pressione, in tempo reale, tra attori che non si sono scelti. Se quel modello non è già in fase avanzata di costruzione, il rischio non è un attacco informatico. Il rischio è che, quando l'attacco arriverà, non esista una struttura capace di rispondere come ecosistema.


Il conto alla rovescia per Milano Cortina 2026 non si misura in mesi. Si misura nella distanza tra l'autorità formale di chi coordina e la disponibilità reale di chi dovrebbe cooperare.