La cybersicurezza è diventata una voce di costo per i club di calcio | OneFootball

Per anni la difesa di un club si è misurata solo in campo. Oggi se ne gioca una seconda, sui server che custodiscono contratti, dati medici dei giocatori, anagrafiche dei tifosi e accordi con gli sponsor. È una partita che pesa sul bilancio, e che diversi club italiani ed europei hanno già perso. Quando il gruppo ransomware RansomHub ha colpito il Bologna a fine 2024, ha sottratto circa 200 GB di materiale: documenti finanziari sull’intera storia della società, dati personali di giocatori, tifosi e dipendenti, strategie di mercato e contratti di sponsorizzazione. La società ha rifiutato di pagare il riscatto e i dati sono finiti online.

Casi come questo non sono incidenti tecnici isolati, ma eventi con un conto economico preciso. La testata indipendente di sicurezza informatica https://cybernews.com/it/ documenta con regolarità come gli attaccanti prendano di mira proprio le organizzazioni che gestiscono grandi volumi di dati e di denaro, una definizione che calza a pennello a un club professionistico. Il punto non è più se un club verrà preso di mira, ma quanto è pronto ad assorbire il colpo quando accadrà.

Quanto costa davvero una violazione

Il National Cyber Security Centre britannico, nel suo rapporto sulle minacce informatiche alle organizzazioni sportive, ha rilevato che circa il 70 per cento di esse aveva subito almeno un incidente nei dodici mesi precedenti, contro il 32 per cento delle altre imprese. I costi per singolo episodio andavano da una media di 10 mila sterline fino a una perdita massima superiore ai 4 milioni. La tabella raccoglie le voci che compongono quel conto.

Il costo medio globale di una violazione di dati stimato da IBM per il 2024 si aggira intorno ai 4,9 milioni di dollari, e in Italia resta sull’ordine dei 3,6 milioni di euro. Per un club di media classifica sono cifre che incidono come un cattivo mercato estivo.

Il dato dei tifosi è un asset, e una passività

La digitalizzazione che ha fatto crescere i ricavi commerciali ha anche moltiplicato la superficie esposta. App, biglietteria elettronica, programmi di fidelizzazione e e-commerce raccolgono nomi, email, numeri di carta e abitudini di acquisto di milioni di persone. Lo stesso patrimonio che alimenta sponsorizzazioni e marketing diventa, in caso di fuga, una passività legale sotto il GDPR, che impone la notifica della violazione entro 72 ore.

La trattativa di mercato è uno dei momenti più sensibili. Il rapporto NCSC cita il caso di un dirigente di un club di Premier League la cui casella email fu compromessa durante un trasferimento da circa un milione di sterline, con un tentativo di dirottare il bonifico sventato dalla banca all’ultimo istante. È la dinamica della frode BEC, e in un settore dove le operazioni viaggiano per email e si chiudono in fretta, è tra le più redditizie per chi attacca. Per inquadrare quanto la componente commerciale e digitale pesi ormai sui conti, vale la pena rileggere l’analisi di Calcio e Finanza su come si stanno evolvendo i ricavi dei club tra stadi, sponsor e diritti tv.

Dove i club restano scoperti

Il fattore umano resta l’anello debole. Le password riutilizzate sono un esempio lampante: una ricerca di Cybernews su oltre 19 miliardi di credenziali trapelate ha rilevato che il 94 per cento erano riutilizzate o duplicate, e solo il 6 per cento risultava unico. Per un’organizzazione significa che la credenziale rubata a un dipendente in un contesto qualsiasi può aprire la porta ai sistemi del club. La stessa logica vale verso il pubblico: analizzando la sicurezza dei siti di scommesse attorno al Super Bowl, i ricercatori di Cybernews hanno osservato come gli attacchi di credential stuffing funzionino proprio perché gli utenti ripetono le stesse password ovunque, mentre l’intelligenza artificiale rende i messaggi-esca sempre più credibili.

Le contromisure non sono esotiche. Autenticazione a più fattori sugli account aziendali, formazione del personale sul phishing e sulle frodi BEC, backup isolati e verificati, procedure chiare per la notifica GDPR. Sono investimenti modesti rispetto alla cifra di una violazione, e il quadro completo delle minacce al settore è descritto nel rapporto del National Cyber Security Centre sulle organizzazioni sportive.

Una voce di bilancio, non un costo accessorio

Trattare la sicurezza informatica come una spesa IT da comprimere è un errore di valutazione finanziaria. Per un club moderno è una voce strutturale, allo stesso titolo del costo del personale o della manutenzione dello stadio, perché protegge tre asset che generano ricavi: i dati dei tifosi, la riservatezza delle operazioni di mercato e la fiducia degli sponsor. Il Bologna ha imparato a sue spese che il conto arriva comunque. La differenza la fa chi decide di pagarlo in anticipo, in prevenzione, anziché dopo, in danni.

Image credit: Depositphotos

Ti piace Calcio e Finanza? Aggiungici alle tue fonti preferite su Google. Clicca qui!