A polícia da Holanda prendeu um homem de 35 anos suspeito de invadir ilegalmente os sistemas do Ajax, um dos clubes de futebol mais tradicionais e populares da Europa. A prisão ocorreu na cidade de Buren, na região central do país, onde agentes também realizaram buscas na residência do suspeito e apreenderam diversos dispositivos de armazenamento digital.

Segundo comunicado divulgado pela Polícia Nacional Holandesa, o homem é acusado de acessar repetidamente e sem autorização os sistemas internos do clube. As autoridades ainda não divulgaram sua identidade nem informações sobre possíveis motivações para o ataque.

A prisão está relacionada a um incidente de segurança revelado pelo Ajax em março deste ano. Na ocasião, o clube informou que um invasor explorou uma vulnerabilidade não corrigida para obter acesso aos sistemas da organização.

Inicialmente, o Ajax afirmou que o vazamento teria exposto endereços de e-mail de algumas centenas de pessoas e informações pessoais limitadas relacionadas a indivíduos proibidos de frequentar o estádio. O clube também admitiu que a falha poderia permitir transferência indevida de ingressos e alterações em registros de banimento de torcedores.

No entanto, investigações posteriores indicaram que o impacto do incidente pode ter sido muito maior. Segundo informações divulgadas pela emissora holandesa RTL, o vazamento potencialmente expôs dados pessoais de mais de 300 mil torcedores registrados do Ajax e poderia ter afetado mais de 42 mil ingressos de temporada.

Após a descoberta da invasão, o Ajax informou ter corrigido a vulnerabilidade explorada e iniciado uma investigação interna para identificar o alcance completo do comprometimento.

O caso reforça uma tendência crescente de ataques cibernéticos contra organizações esportivas. Clubes de futebol, federações e plataformas de venda de ingressos passaram a se tornar alvos frequentes de grupos criminosos devido ao grande volume de dados financeiros, informações pessoais de torcedores, contratos, dados médicos e sistemas digitais de acesso utilizados nessas operações.

Nos últimos anos, diversos clubes europeus enfrentaram incidentes semelhantes. Em 2024, o Bologna FC 1909, da Itália, sofreu um ataque de ransomware que resultou no roubo de documentos financeiros, informações médicas de jogadores e dados confidenciais de funcionários.

O Paris Saint-Germain também reportou um ataque cibernético em 2024 direcionado ao seu sistema online de venda de ingressos, enquanto o Manchester United foi alvo de um incidente de ransomware em 2020.

As federações nacionais de futebol também passaram a integrar a lista de vítimas. A Federação Holandesa de Futebol sofreu um ataque ransomware em 2023, enquanto a Federação Francesa de Futebol revelou um incidente cibernético em 2025.

Especialistas apontam que organizações esportivas frequentemente possuem estruturas digitais complexas, envolvendo sistemas de bilheteria, plataformas de sócios, aplicativos móveis, programas de fidelidade, bancos de dados de torcedores e integrações financeiras, tornando o setor cada vez mais atrativo para criminosos digitais.

Além do potencial de monetização por meio de extorsão ou venda de dados, ataques contra clubes esportivos também podem gerar impacto operacional significativo, incluindo problemas no acesso a estádios, interrupção de vendas de ingressos e exposição pública de informações sensíveis.

O caso do Ajax também chama atenção para riscos associados à exploração de vulnerabilidades não corrigidas. Em muitos incidentes recentes, invasores têm utilizado falhas conhecidas e sem patch para obter acesso inicial a ambientes corporativos antes de realizar movimentação lateral, exfiltração de dados ou alterações operacionais nos sistemas comprometidos.