Un attacco informatico di proporzioni drammatiche paralizza uno dei più prestigiosi atenei italiani. La Sapienza Università di Roma è stata colpita da un sofisticato ransomware che ha criptato l’intera infrastruttura digitale, bloccando servizi essenziali per migliaia di studenti e docenti. Gli attaccanti hanno imposto un ultimatum di 72 ore per il pagamento del riscatto, con minaccia di cancellazione definitiva dei dati sensibili.

Il meccanismo è quello classico del ricatto digitale: file inaccessibili, link verso il dark web e conto alla rovescia spietato.

Fortunatamente, l’università dispone di backup offline che stanno permettendo il recupero senza cedere al ricatto.

L’attacco ransomware: crittografia totale e ultimatum

Gli hacker hanno infiltrato i sistemi della Sapienza utilizzando tecniche avanzate di ransomware. Tutti i dati – amministrativi, didattici, personali – sono stati criptati e resi permanentemente inaccessibili. Il gruppo criminale ha fornito un link che conduce a una pagina nel dark web, accessibile solo tramite browser Tor. Questa pagina contiene le istruzioni per il pagamento e il timer di 72 ore che scandisce il destino dei file universitari.

L’importo del riscatto non è stato divulgato pubblicamente, ma fonti qualificate parlano di richieste in criptovalute per somme a sei cifre. La scelta della blockchain garantisce l’anonimato agli estorsori e complica enormemente le indagini delle forze dell’ordine. La pressione psicologica è massima: ogni ora che passa riduce le chance di recupero senza pagamento, mentre il countdown alimenta la tensione tra tecnici e amministratori.

Backup offline e task force istituzionale

La vera svolta positiva arriva dai protocolli di sicurezza adottati dall’ateneo. La Sapienza mantiene backup scollegati da internet, copie di sicurezza fisiche che non possono essere raggiunte dal malware. Questi archivi stanno permettendo ai tecnici di lavorare alla bonifica sistematica senza dover negoziare con i criminali informatici. Gianluca Galasso, capo del servizio operazioni cyber dell’Agenzia per la Cybersicurezza Nazionale, ha confermato che “serviranno alcuni giorni di lavoro, poi riprenderanno regolarmente tutti i servizi”.

A supporto dell’università operano due squadre d’élite nazionali: la Polizia Postale e il Csirt dell’Agenzia per la Cybersicurezza. Gli investigatori stanno ricostruendo la catena di intrusione, alla ricerca del vettore iniziale che ha permesso l’accesso. Tra le ipotesi più accreditate figura una phishing spear mirata a un account amministrativo privilegiato o una vulnerabilità zero-day sfruttata attraverso un’email apparentemente innocua. Fonti investigative parlano di “possibili gruppi filo-russi”, sebbene manchino conferme definitive.

Procura di Roma e impatto operativo immediato

La Procura della Repubblica di Roma ha già aperto un fascicolo per accesso abusivo a sistemi informatici, aggravato dalla natura ransomware dell’attacco. Gli hacker rischiano condanne pesantissime se individuati, con pene che possono superare i 10 anni di reclusione. La Polizia Postale sta analizzando i log di rete per identificare l’origine geografica e le firme digitali del malware utilizzato.

L’impatto operativo è devastante. Il sito pubblico dell’università è offline da giorni, mentre l’intera infrastruttura interna rimane bloccata per precauzione. Studenti non possono prenotare esami, scaricare bollettini, consultare libretti universitari o verbalizzare i voti. Le lezioni proseguono in presenza, ma ogni processo digitale è paralizzato. L’ateneo ha attivato infopoint fisici nelle facoltà e prorogato le scadenze amministrative.

Lezioni dalla crisi Sapienza: la resilienza conta più del riscatto

L’attacco alla Sapienza rappresenta un case study perfetto sulla gestione delle crisi ransomware. Il fatto che l’università non stia considerando il pagamento dimostra la maturità raggiunta dalle istituzioni italiane nella cybersecurity. I backup offline hanno neutralizzato l’arma principale degli estorsori: la perdita irreversibile dei dati. Questo approccio dovrebbe diventare standard per ospedali, comuni e piccole imprese ancora vulnerabili.

La possibile origine “filo-russa” dell’attacco aggiunge una dimensione geopolitica preoccupante. Gruppi ransomware come LockBit o Conti hanno storicamente legami con Stati canaglia che li proteggono in cambio di una quota dei profitti. L’Italia si trova oggi nella prima linea della guerra ibrida digitale, dove attacchi apparentemente “solo economici” mirano anche a destabilizzare servizi essenziali.

Per gli studenti della Sapienza, la situazione rimane frustrante ma gestibile. L’università ha garantito che gli esami si svolgeranno regolarmente, con registrazione successiva al ripristino dei sistemi.

Questo pragmatismo operativo contrasta con il caos di altre istituzioni colpite da ransomware che hanno pagato riscatti milionari senza garanzie di non essere attaccate nuovamente.