· casi-reali · minacce
Attacco ransomware al Bologna FC: un campanello d’allarme per la sicurezza nello sport
Negli ultimi giorni, il Bologna FC è finito nel mirino del gruppo di cybercriminali noto come RansomHub. Il gruppo ha dichiarato di aver sottratto oltre 200 GB di dati sensibili, minacciando di renderli pubblici se il club non accetterà le loro richieste. L’attacco non solo espone gravi falle nella sicurezza informatica, ma getta anche un’ombra sulle implicazioni legali e regolamentari, tra cui il rispetto delle norme UEFA e FIFA sul Fair Play Finanziario.
Cosa è successo al Bologna FC?
Secondo quanto emerso, RansomHub ha sfruttato vulnerabilità nei sistemi del club per accedere a informazioni estremamente riservate, tra cui:
- Dati medici e personali dei giocatori, come quelli di Marko Arnautović e Riccardo Orsolini;
- Contratti di sponsorizzazione e strategie commerciali;
- Dettagli sui tifosi e sul personale, inclusi quelli dei dirigenti Joey Saputo, Claudio Fenucci e Marco Di Vaio;
- Documenti che potrebbero violare le norme sul Fair Play Finanziario FIFA e UEFA.
I cybercriminali hanno pubblicato un messaggio sul loro sito, accusando il club di “violazioni del GDPR” e sottolineando come la mancata protezione dei dati possa portare a sanzioni fino a 20 milioni di euro o il 4% del fatturato globale. Inoltre, hanno citato precedenti storici, come il caso del Manchester City, la cui fuga di dati ha portato a un temporaneo ban dalla Champions League, o le vicende di Football Leaks, che hanno provocato gravi danni finanziari e reputazionali a club e giocatori di alto profilo.
----------------------------------------------------------------------------------
CONTENUTO DELLA PAGINA SUL SITO .onion DEL GRUPPO RANSOMHUB PER BOLOGNA F.C.
----------------------------------------------------------------------------------
bolognafc.it
UPDATE!!!
The club's management refused to protect the confidential data of players and sponsors. Therefore in 2 days we will publish all medical, personal and confidential data of all players of the club. But we remind them that they will be able to get much more money through lawsuits than for playing in a club that betrayed them.
Bologna FC was hacked due to lack of security on their network. All confidential data has been stolen.
Bologna FC is violating GDPR laws and disclosing all internal club documents.
About:
Via Casteldebole 10, 40132 Bologna, Italy.
+39 051 611 1111.
comunicazione@bolognafc.it
bolognafc.it
Bologna FC does not have any data protection and its network which is why absolutely all their data was stolen.
All sponsorship contracts and documents disclosing the amounts and conditions of all sponsors were stolen
All financial data of the club for the whole period of its existence was stolen.
Stolen all personal and confidential data of the players
All documents revealing transfer strategies including new players and young players from different teams were stolen
Stolen confidential and personal data of fans and employees
Stolen all data on young athletes
Medical data was stolen. All of it
All confidential data related to different structures and stadiums have been stolen
We stole all commercial strategies and business plans
We have also stolen all the documents, the disclosure of which will violate FIFA and UEFA rules including financial fair play
We would like to remind you about the GDPR legislation: For leaking personal data of players, sponsors or fans, fines can reach up to 20 million euros or 4% of global turnover (Articles 83, 84 GDPR).
In case the club does not want to protect all data from leakage and does not contact us all financial data will be made publicly available which will lead to additional sanctions from tax or antitrust authorities.
We recommend the club management to contact us and prevent the leakage of all confidential data and also want to remind about the consequences:
FC Barcelona (2021): Leaked player contracts led to lawsuits and financial losses.
Manchester City FC (2020): Allegations of a financial fair play violation due to leaked data led to temporary disqualification from the Champions League.
Lazio (2021): Leaked medical details of players led to reputational scandals.
Football Leaks (2015-2018):
The Football Leaks platform published numerous confidential documents, including player contracts club financial reports and transfer details.
Consequences: The disclosure led to tax authorities investigating several high-profile footballers and clubs. Some players such as Cristiano Ronaldo have been accused of tax evasion.
Punishments: Ronaldo was fined around €18.8 million and received a suspended prison sentence.
Manchester City (2020):
Description: The club was accused of breaching financial fair play rules based on leaks published by Football Leaks.
Consequences: UEFA imposed a two-year European Cup ban and a €30 million fine on the club.
Penalties: After an appeal to the Court of Arbitration for Sport (CAS) the ban was lifted but the fine was reduced to €10 million.
Paris Saint-Germain (2018):
According to leaks the club violated financial fair play rules by overstating sponsorship revenue.
Consequences: UEFA launched an investigation but later closed the case without imposing sanctions.
Punishments: The club avoided penalties but the incident has drawn attention to financial transparency in soccer.
Rangers (2017):
The club was involved in a tax scandal involving a scheme to pay salaries through offshore trusts.
Consequences: The UK Supreme Court ruled that the payments were illegal leading to the club's financial problems.
Punishment: The club was relegated to the lowest division of Scottish soccer and faced serious financial difficulties.
The club management are now fully aware of the situation with their data and whether or not it will be published freely available is entirely up to them. Persons who currently refuse to protect the personal data of partners, players and sponsors are:
Joey Saputo
Claudio Fenucci
Marco Di Vaio
Giovanni Sartori
Thiago Motta
Christoph Winterling
Alessandro Gabrieli
Carlo Caliceti
We give the last 3 days for adequate people from the club management to contact us and not to allow the publication of all confidential data.
A link to some of the club's data. It will have a download option open in 3 days if the club management does not get in touch with us to prevent this:
http://7vy5mydtkf4hqo3g---REDACTED---uospqtsmutqd.onion/812c924339b18382fbb7f584b2902d748213a968
----------------------------------------------------------------------------------Il lato oscuro del RaaS
Questo attacco non è un caso isolato, ma parte di un fenomeno più ampio: il Ransomware-as-a-Service (RaaS). Attraverso piattaforme come quella di RansomHub, chiunque – anche senza particolari competenze tecniche – può lanciare attacchi sofisticati contro bersagli di alto profilo.
Il modus operandi è chiaro: infiltrarsi in sistemi vulnerabili, sottrarre dati sensibili e poi ricattare l’organizzazione, giocando sulla pressione pubblica e sulle normative severe come il GDPR o le regole FIFA. Il Bologna FC si è trovato così in una posizione critica, con il rischio non solo di gravi danni economici, ma anche di pesanti ripercussioni legali.
Implicazioni legali e reputazionali
La diffusione di dati riservati potrebbe mettere il Bologna FC in seria difficoltà. Tra le informazioni sottratte figurano contratti di trasferimento che potrebbero violare le norme UEFA e FIFA. Un esempio? Secondo quanto riportato da RansomHub, simili fughe di informazioni hanno portato a multe milionarie e sospensioni per altri club, come accaduto con il Manchester City e il Paris Saint-Germain.
Inoltre, l’esposizione dei dati personali dei giocatori e degli sponsor costituisce una violazione diretta del GDPR, che prevede sanzioni fino al 4% del fatturato globale. Oltre ai danni economici, il club rischia di subire una perdita di fiducia da parte dei tifosi, degli sponsor e dei partner.
I nomi al centro della vicenda
RansomHub non si è limitato a colpire il club, ma ha attaccato direttamente i suoi dirigenti, nominando figure chiave come:
- Joey Saputo, presidente del Bologna FC;
- Claudio Fenucci, amministratore delegato;
- Marco Di Vaio, responsabile dell’area tecnica;
- Giovanni Sartori, direttore sportivo;
- Thiago Motta, allenatore della squadra;
- Christoph Winterling, responsabile marketing e commerciale;
- Alessandro Gabrieli e Carlo Caliceti, rispettivamente responsabili IT e comunicazione.
Questi nomi sono stati citati come coloro che “rifiutano di proteggere i dati personali” di giocatori e sponsor, aumentando la pressione sull’intera dirigenza del club.
La lezione: la sicurezza nello sport è una priorità
Il caso del Bologna FC dimostra che anche i club sportivi, spesso percepiti come realtà distanti dalle problematiche digitali, sono in realtà bersagli ad alto rischio. L’interconnessione tra business, sponsor, tifosi e dati digitali rende essenziale un approccio strategico alla sicurezza informatica.
Gli attacchi non colpiscono solo l’oggi, ma compromettono il futuro: dalla possibilità di attrarre sponsor alla gestione dei trasferimenti e alla fiducia dei fan. È una lezione che altre organizzazioni, non solo sportive, devono imparare al più presto.
E ora? Una riflessione su come proteggersi
Se il Bologna FC avesse adottato misure di sicurezza proattive – come monitoraggio continuo, test di penetrazione e piani di risposta agli incidenti – forse questa storia sarebbe stata diversa. Tuttavia, non è mai troppo tardi per iniziare.
In questo contesto, CyberQuake si propone come un partner affidabile per chi desidera prevenire, gestire e rispondere alle minacce informatiche. Dalla protezione delle infrastrutture alla conformità normativa, i nostri servizi aiutano le organizzazioni a trasformare le loro vulnerabilità in una posizione di forza.
Il caso del Bologna FC non è solo un incidente, ma un’opportunità per riflettere e agire. Non lasciare che la tua organizzazione diventi la prossima vittima: scegli oggi di proteggere il tuo domani.