Quando si parla di cybersecurity applicata al patrimonio culturale, si tende a immaginare scenari quasi accademici. Eppure, tra la fine di gennaio e l’inizio di febbraio 2026, le Gallerie degli Uffizi di Firenze si sono trovate al centro di uno degli incidenti più complessi mai registrati nel settore museale italiano. Un caso che ha mostrato con brutalità quanto la linea di confine tra sicurezza digitale e sicurezza fisica sia sempre più sottile.
Quello che per giorni era sembrato un semplice malfunzionamento dei sistemi amministrativi si è rivelato, in realtà, un’operazione di infiltrazione lenta, metodica e altamente qualificata.
Un accesso iniziale che parte da lontano
Gli indicatori raccolti dagli investigatori fanno risalire l’inizio dell’operazione all’agosto 2025. Un arco temporale che chiarisce subito il livello di sofisticazione dell’attacco: nessuna azione impulsiva, ma una campagna di persistenza pianificata.
Il punto di ingresso? Un vecchio software, rimasto ai margini dei processi di aggiornamento e utilizzato per gestire il flusso di immagini a bassa risoluzione dal sito istituzionale. Un componente considerato “non prioritario” nella strategia di modernizzazione, e proprio per questo perfetto come cavallo di Troia. Da quel varco, gli attaccanti hanno guadagnato un accesso iniziale silenzioso ma stabile.
Il movimento laterale: la fase più pericolosa
Una volta dentro, il gruppo ha iniziato la fase più delicata: il movimento laterale all’interno della rete che collega Uffizi, Palazzo Pitti e Giardino di Boboli. Tutto è avvenuto con un approccio low‑and‑slow, evitando qualsiasi anomalia visibile nei log o nei sistemi di monitoraggio.
Nessun picco improvviso, nessun comportamento eclatante: solo un flusso costante di pacchetti copiati e trasferiti con pazienza, per mesi. Quando finalmente l’attacco è esploso paralizzando i server amministrativi, gli attaccanti avevano già portato via molto più di quanto inizialmente immaginato.
Cosa è stato sottratto: molto più di dati
Il data breach non si è limitato a sottrarre documenti digitali. Ha toccato tre aree estremamente sensibili:
- Archivio fotografico digitale: decenni di digitalizzazioni, una delle memorie storiche più preziose del museo. Parte di questo patrimonio rischia di non essere più recuperabile
- Informazioni tecniche sulla sicurezza fisica: planimetrie interne, percorsi di ronda, mappe dei sensori, posizioni delle telecamere, perfino le procedure operative. In pratica, un manuale per muoversi inosservati all’interno del complesso museale
- Credenziali e codici di disattivazione degli allarmi: l’elemento forse più preoccupante, perché trasforma un attacco informatico in una minaccia concreta per le opere.
È questo l’aspetto davvero critico del caso Uffizi: la compromissione digitale ha spalancato la porta a una potenziale compromissione fisica.
La fase di estorsione: un ricatto diretto e personale
La richiesta di riscatto è arrivata in modo inusuale e molto poco “tecnico”: un messaggio sullo smartphone personale del direttore. I criminali hanno minacciato di vendere sul dark web le informazioni sottratte, mettendo di fatto a rischio l’intero sistema di protezione del complesso museale.
Dopo un primo contatto, le comunicazioni si sono interrotte. Una scelta che aumenta ulteriormente l’incertezza sulla reale destinazione dei dati.
Al momento della stesura in data 3 aprile 2026, il nostro team di Cyber Threat Intelligence ha rilevato che non esistono evidenze pubbliche di diffusione dei dati sul dark web, ma il rischio di utilizzo mirato o vendita privata rimane elevato.
Quando il digitale cede, entra in gioco il “patching analogico”
Con i sistemi elettronici compromessi, la direzione è stata costretta a ricorrere a contromisure fisiche drastiche, quasi d’altri tempi, ma necessarie per ristabilire un livello minimo di sicurezza.
Alcune porte sono state letteralmente murate. Intere aree di Palazzo Pitti sono state chiuse al pubblico. I pezzi più preziosi del Tesoro dei Granduchi sono stati spostati d’urgenza nei caveau blindati della Banca d’Italia. Un’operazione complessa, costosa e logorante, ma indispensabile per contenere il rischio.
Il quadro finale: un incidente che cambia le regole del gioco
Oggi l’indagine è in mano alla Procura e alla Polizia Postale, con il supporto dell’Agenzia per la Cybersicurezza Nazionale. Per un’istituzione che genera oltre 60 milioni di euro l’anno, l’impatto reputazionale ed economico è rilevante.
Ma il punto vero è un altro: il caso Uffizi dimostra in modo definitivo che cybersecurity e protezione fisica non sono più due mondi paralleli. Sono un unico ecosistema. Quando cade una delle due componenti, l’altra diventa immediatamente vulnerabile.
Ed è esattamente questo il motivo per cui un attacco informatico, nel 2026, può trasformarsi in una minaccia diretta per il patrimonio culturale di un intero Paese.
