NIS2 e CER non includono nel loro perimetro espressamente lo sport. GDPR e AI Act, invece, lo raggiungono in funzione dei dati trattati e dei sistemi impiegati. Attraverso le dipendenze infrastrutturali e la catena di fornitura, il Mondiale incrocia i rischi e le ricadute operative dei settori regolati. Una mappa degli standard già applicabili.
Indice degli argomenti
Mondiale 2026, dalla vulnerabilità elementare alla cyberarma di Stato
A metà giugno 2026, quando il torneo era già in corso da diversi giorni, per accedere al cuore dell’infrastruttura televisiva dei Mondiali non sono serviti né un attore statale né un malware particolarmente sofisticato. È bastato registrarsi come agente di calciatori sulla piattaforma ufficiale della FIFA e sfruttare l’assenza di un controllo di autorizzazione in un’API di back-end. Secondo quanto ricostruito da TechCrunch, una ricercatrice è riuscita così a raggiungere diversi sistemi interni, compreso quello utilizzato dai broadcaster per stabilire quali contenuti mostrare sugli schermi di tutto il mondo. La vulnerabilità è stata corretta nel giro di poche ore, ma la segnalazione non ha ricevuto alcun riconoscimento né una particolare eco mediatica.
Che lo stesso bersaglio possa essere colpito con una potenza di fuoco ben diversa non è uno scenario da romanzo di fantascienza. Il 9 febbraio 2018, durante la cerimonia di apertura delle Olimpiadi invernali di PyeongChang, il malware “Olympic Destroyer” mandò in tilt il Wi-Fi degli impianti, la biglietteria online e parte della regia televisiva. Il codice era disseminato di tracce false, costruite ad arte per orientare gli analisti verso Corea del Nord e Cina, e solo nel 2020 il Dipartimento di Giustizia statunitense ha incriminato sei ufficiali dell’intelligence militare russa per quell’operazione.
Da un lato una vulnerabilità elementare, dall’altro una cyberarma di Stato. Due estremi della stessa minaccia, che convergono sul medesimo obiettivo: l’evento e l’infrastruttura digitale che ne rende possibile lo svolgimento.
La superficie d’attacco più ampia di sempre
Alcuni analisti hanno già definito questa edizione la “più grande superficie d’attacco mai vista per un evento d’intrattenimento”: quarantotto squadre, centoquattro partite, sedici città in tre Paesi, ciascuno con un diverso quadro normativo. Il Center for Strategic and International Studies ha articolato il perimetro in tre strati: le infrastrutture direttamente connesse al torneo (stadi, sistemi di biglietteria, regia e distribuzione del segnale), quelle di supporto come le telecomunicazioni, i trasporti e i servizi cloud e, infine, i milioni di dispositivi personali utilizzati da calciatori, ufficiali di gara, giornalisti e tifosi.
La principale discontinuità rispetto al passato risiede però nella titolarità e nella gestione di questi sistemi. Gran parte dell’ecosistema digitale non appartiene infatti alla FIFA, ma è affidata a fornitori terzi, interconnessi attraverso scambi di dati in tempo reale. Ne deriva una conseguenza tutt’altro che intuitiva per i non addetti ai lavori: per compromettere il regolare svolgimento della competizione non è necessario colpire direttamente l’organizzatore. Un attacco ransomware contro una catena alberghiera o la violazione di un partner della biglietteria possono essere sufficienti a innescare disservizi a cascata. Non sorprende, quindi, che già nell’agosto 2025 il Canadian Centre for Cyber Security avesse individuato oltre 4.300 domini sospetti legati all’evento.
Infrastruttura critica «di fatto»: il rientro indiretto
Sul piano giuridico, va formulata con chiarezza la premessa che gli operatori dello sport professionistico non rientrano, in quanto tali, tra i soggetti essenziali o importanti individuati dalla direttiva europea NIS2 (recepita in Italia con il d.lgs. 138/2024) né tra i soggetti critici disciplinati dalla direttiva europea CER (attuata con il d.lgs. 134/2024). Ciò non significa, tuttavia, che il calcio resti del tutto estraneo al loro perimetro. Vi rientra indirettamente, attraverso almeno tre direttrici.
La prima riguarda le dipendenze infrastrutturali a monte, quali energia, trasporti, reti di telecomunicazioni e servizi digitali che rientrano tra i settori essenziali o critici: la compromissione di uno di questi sistemi può quindi propagarsi all’evento sportivo che ne dipende.
La seconda passa dalla catena di fornitura. I fornitori ICT e i fornitori di servizi cloud coinvolti nell’organizzazione del torneo sono spesso soggetti agli obblighi della NIS2; le misure di sicurezza imposte loro, comprese quelle relative alla supply chain, finiscono così per riflettersi contrattualmente sull’intero ecosistema sportivo.
La terza direttrice è di natura funzionale. Per scala, visibilità internazionale, impatto economico e rilevanza sociale, un grande torneo calcistico presenta tutte le caratteristiche operative di un’infrastruttura critica, anche quando non ne possiede formalmente la qualificazione normativa. Può dunque mancare un obbligo diretto de jure, ma non viene meno lo standard di diligenza esigibile da chi gestisce un sistema dal quale dipendono la sicurezza, la continuità e la credibilità di un evento di portata globale.
I dati dei calciatori come asset critico del Mondiale 2026
Lo stesso potenziale anello debole, quello costituito dai fornitori terzi e dalle piattaforme cloud, è anche il canale attraverso cui transitano i dati più delicati del torneo: quelli degli atleti.
Per comprendere la posta in gioco occorre partire da una distinzione solo apparentemente tecnica. Lo smartphone, per quanto invasivo, rimane un oggetto separato dal corpo: può essere appoggiato, dimenticato in una borsa o semplicemente spento. Un sensore cucito nella maglia, una fascia cardio o un dispositivo GPS collocato tra le scapole appartengono invece a un’altra categoria. Sono tecnologie indossabili che aderiscono al corpo, ne accompagnano i movimenti e trasformano il monitoraggio in una condizione permanente. Proprio per questo il controllo diventa meno percepibile e chi vi è sottoposto finisce rapidamente per considerarlo parte della normalità.
Federica De Stefani e Alessandra Ortenzi, in uno dei pochi volumi italiani dedicati al tema (Sport e GDPR online e offline, Hoepli, 2020), descrivono questa condizione come una stretta connessione tra i dati generati e l’atleta: il dato prodotto da un wearable non è mai davvero separabile dal corpo che lo ha generato, e la protezione dell’uno coincide con la tutela dell’altro.
Wearable, dati sanitari e regime rafforzato del GDPR
Frequenza cardiaca, temperatura corporea, accelerazioni, carichi di lavoro e qualità del sonno: i sistemi EPTS di tracciamento e le piattaforme di match analysis raccolgono costantemente parametri fisiologici. Quando queste informazioni rivelano lo stato di salute dell’atleta, rientrano tra i dati relativi alla salute e possono inoltre assumere natura biometrica quando sono sottoposte a specifici trattamenti tecnici finalizzati all’identificazione univoca della persona. In presenza dei presupposti previsti dall’articolo 9 del GDPR, si applica quindi il regime rafforzato riservato alle categorie particolari di dati. La finalità sportiva o commerciale del trattamento non ne attenua la delicatezza.
A ciò si aggiunge un elemento spesso trascurato: il calciatore professionista è anche un lavoratore. Quando gli strumenti tecnologici consentono anche il controllo a distanza dell’attività lavorativa, entra in gioco l’articolo 4 dello Statuto dei lavoratori, con le condizioni e le tutele previste dalla legge. Le conseguenze operative sono tutt’altro che teoriche. Di fronte a volumi così elevati di dati, raccolti senza interruzione e spesso distribuiti tra più fornitori, una violazione non può essere trattata come un’eventualità remota. Devono essere previste delle misure di sicurezza preventive adeguate a tale livello di rischio, unitamente a piani di risposta agli incidenti in cui occorre stabilire come individuare rapidamente le informazioni compromesse, contenere l’attacco, valutare i rischi per gli interessati, effettuare le eventuali comunicazioni all’autorità e agli atleti e documentare le misure di sicurezza adottate.
Resta infine la questione dei diritti dell’atleta: conoscere i trattamenti effettuati, contestarne l’inesattezza, limitarne l’uso e, quando ne ricorrono i presupposti, ottenere la cancellazione dei dati o la disattivazione del dispositivo. Diritti formalmente riconosciuti, ma che per un calciatore vincolato da un contratto e inserito in un sistema di valutazione continua possono risultare molto più semplici da enunciare che da esercitare.
Il Mondiale come laboratorio dell’AI Act
Il calcio rappresenta anche un banco di prova anticipato per il regolamento europeo sull’intelligenza artificiale, l’AI Act (Reg. UE 2024/1689). Quando sono utilizzati per assumere decisioni sulle condizioni del rapporto di lavoro, assegnare compiti oppure monitorare e valutare le prestazioni dei calciatori, i sistemi di IA possono rientrare nell’ambito della gestione dei lavoratori, individuato dall’Allegato III tra gli impieghi ad alto rischio. Ne derivano, a regime, obblighi stringenti in materia di gestione del rischio, qualità dei dati, documentazione, trasparenza, sorveglianza umana e cybersicurezza. L’applicazione delle regole per i sistemi ad alto rischio indipendenti (tra cui quelli dell’Allegato III) è stata rinviata al 2 dicembre 2027. Sono invece già vietati, salvo limitate eccezioni per finalità mediche o di sicurezza, il riconoscimento delle emozioni sul luogo di lavoro e la categorizzazione biometrica diretta a dedurre caratteristiche sensibili delle persone.
Il nodo più delicato riguarda però le decisioni. Quando una scelta capace di incidere sulla carriera di un giocatore, dal rinnovo contrattuale alla valutazione dell’idoneità fisica, fino alla convocazione, viene adottata, o anche soltanto preparata, sulla base di un risultato algoritmico, emerge il problema che la dottrina riconduce da tempo al cosiddetto diritto alla spiegazione. Chi decide deve poter ricostruire e motivare il percorso seguito mentre il calciatore, a sua volta, deve conoscere il ruolo svolto dal sistema, comprendere gli elementi determinanti della valutazione e poterla contestare.
Il GDPR aveva già introdotto, all’articolo 22, specifiche garanzie contro le decisioni interamente automatizzate che producono effetti giuridici o incidono in modo analogo e significativo sull’interessato. L’AI Act completa questo quadro con l’articolo 86, che riconosce, in determinate condizioni, il diritto a ottenere spiegazioni chiare e significative sulle decisioni fondate sull’output di un sistema ad alto rischio, mentre le disposizioni sulla documentazione e sulla sorveglianza umana impongono a fornitori e utilizzatori di rendere il processo controllabile e verificabile. Non basta, dunque, che l’algoritmo produca una previsione statisticamente accurata: occorre che la decisione finale resti comprensibile, motivabile e attribuibile a un soggetto responsabile.
Dal VAR alla match analysis, la responsabilità nella catena algoritmica
Sul terreno strettamente sportivo, tecnologie come il fuorigioco semi-automatico, il pallone connesso e il VAR non rientrano automaticamente tra i sistemi ad alto rischio dell’Allegato III, ma pongono in prospettiva la stessa domanda: chi risponde quando una decisione arbitrale è influenzata da un’elaborazione automatizzata, da un dato inesatto o da un sistema compromesso? La responsabilità non può dissolversi nella catena che collega sensori, software, fornitori e ufficiali di gara.
Le piattaforme di machine learning impiegate nella match analysis, infine, non costituiscono soltanto trattamenti da governare sul piano giuridico. Sono esse stesse una superficie d’attacco: i dati di addestramento possono essere alterati attraverso tecniche di data poisoning, mentre input appositamente manipolati possono indurre il modello a formulare valutazioni errate. In un settore in cui una previsione algoritmica può orientare una formazione, un acquisto o un rinnovo contrattuale, compromettere il sistema significa poter interferire non soltanto con i dati, ma con le decisioni che quei dati contribuiscono a produrre.
La mappa degli standard per sicurezza e resilienza
In un ecosistema di queste dimensioni e complessità, gli incidenti non rappresentano un’eccezione teorica ma sono eventi da mettere in conto. Ciò che separa un disservizio circoscritto da una crisi sistemica non è l’illusione di poter evitare ogni attacco, ma la capacità di rilevarlo rapidamente, contenerne la propagazione, ripristinare i servizi essenziali e comunicare in modo trasparente, preservando la fiducia di atleti, spettatori, partner e pubblico.
Anche in assenza di un obbligo normativo specificamente rivolto allo sport professionistico, il quadro di riferimento è già disponibile. La direttiva NIS2 e il d.lgs. 138/2024 offrono il modello per la governance del rischio cyber e della catena di fornitura; la direttiva CER e il d.lgs. 134/2024 definiscono quello della resilienza fisica e operativa; il GDPR disciplina la protezione dei dati personali, mentre l’AI Act e la norma ISO/IEC 42001 forniscono i criteri per governare i sistemi di intelligenza artificiale che li elaborano e supportano i processi decisionali.
Anche sul piano operativo gli strumenti sono consolidati. La famiglia ISO/IEC 27000, a partire dalla ISO/IEC 27001, costituisce il riferimento per la gestione della sicurezza delle informazioni, la ISO 22301 disciplina la continuità operativa, la serie IEC 62443 offre un modello per proteggere i sistemi di automazione e controllo industriale, compresi quelli che governano gli impianti degli stadi. A questi standard si aggiungono le metodologie e le linee guida dell’ENISA, utili per tradurre i principi normativi in misure organizzative e tecniche verificabili.
Chi governa il calcio può scegliere di non aspettare. Trattare fin da ora il proprio ecosistema digitale come un’infrastruttura critica di fatto, adottando gli standard di sicurezza e resilienza che la sua rilevanza economica e sociale già impone.















Partecipa alla community