Dal 2 febbraio l’Università degli Studi di Roma “La Sapienza” è alle prese con uno degli incidenti informatici più gravi mai registrati nel settore accademico italiano. Per diversi giorni il sito istituzionale e numerosi servizi digitali fondamentali sono rimasti indisponibili, con un impatto diretto su studenti, docenti e personale amministrativo.
A oggi, molti elementi restano ancora oggetto di indagine.
La gestione della comunicazione è avvenuta in modo frammentato e prudente, mentre gli aspetti tecnici dell’attacco sono emersi progressivamente attraverso fonti giornalistiche e analisi indipendenti.
Un attacco informatico strutturato e deliberato
Le informazioni disponibili consentono di escludere un semplice malfunzionamento o un attacco opportunistico. Tutti gli indicatori puntano verso un’operazione mirata, pianificata e condotta con accesso esteso all’infrastruttura interna dell’ateneo.
Secondo le ipotesi tecniche più accreditate, l’accesso iniziale sarebbe avvenuto tramite la compromissione di un account con privilegi elevati, verosimilmente un amministratore di sistema. Questo tipo di accesso permette di muoversi lateralmente nella rete, individuare sistemi critici e compromettere servizi centrali di autenticazione e gestione dei dati.
Le modalità della compromissione iniziale non sono state confermate ufficialmente, ma rientrano negli scenari tipici osservati in attacchi di questo tipo: phishing mirato, utilizzo di credenziali deboli o riutilizzate, oppure sfruttamento di sistemi non aggiornati e tecnologie legacy ancora presenti nell’infrastruttura.
Un ransomware “custom” non legato a gruppi noti
Dopo l’accesso iniziale, gli attaccanti hanno distribuito un malware di tipo ransomware, causando la cifratura di una parte significativa dei sistemi e rendendo indisponibili numerosi servizi digitali.
È importante chiarire un punto spesso semplificato nei resoconti mediatici: allo stato attuale non esistono conferme solide sull’appartenenza del malware a una specifica ransomware-gang nota. Non sono state diffuse rivendicazioni pubbliche, né sono emerse prove tecniche sufficienti per collegare l’operazione a un attore già noto. Nomi circolati nelle prime fasi non trovano riscontro nei principali database CTI, né risultano associati a infrastrutture pubbliche di estorsione, leak-site o campagne precedenti documentate.
Gli elementi osservati suggeriscono piuttosto l’utilizzo di un payload custom o semi-custom, compatibile con modelli già visti in passato in operazioni non riconducibili a schemi RaaS (Ransomware-as-a-Service). In questi casi, il malware viene impiegato come strumento operativo all’interno di un attacco mirato, senza esposizione pubblica e senza rivendicazioni formali.
Alcuni dettagli tecnici, come l’assenza di una campagna di estorsione pubblica o di pubblicazione immediata dei dati, indicano un approccio discreto, orientato al controllo diretto della vittima piuttosto che alla pressione mediatica. Questo modus operandi è coerente con gruppi o operatori indipendenti che privilegiano trattative riservate e operazioni a basso profilo.
Qualsiasi riferimento a origini geografiche o affiliazioni geopolitiche, in assenza di evidenze verificabili, resta al momento puramente speculativo.
Il ricatto e la gestione dell’incidente
Nei sistemi compromessi sarebbe stato individuato un file contenente istruzioni per il pagamento di un riscatto in criptovaluta. La somma richiesta non è stata resa pubblica. Secondo quanto emerso, l’università avrebbe adottato una strategia prudente, evitando di interagire direttamente con il contenuto del messaggio per non innescare meccanismi automatici legati all’estorsione.
Parallelamente, è stato avviato un processo complesso di analisi forense e bonifica dell’infrastruttura, con il supporto della Polizia Postale e dell’Agenzia per la Cybersicurezza Nazionale. Il ripristino dei servizi è avvenuto in modo graduale, per ridurre il rischio di reinfezioni o di ulteriori compromissioni.
Il tema più critico: i dati
Uno degli aspetti più delicati riguarda la possibile esfiltrazione di dati prima della cifratura. La Sapienza gestisce informazioni personali e amministrative di centinaia di migliaia di persone, oltre a dati accademici e di ricerca.
Al momento non è stato chiarito ufficialmente se e quali dati siano stati sottratti. Tuttavia, in attacchi di questo tipo l’esfiltrazione preventiva rappresenta una pratica comune, utilizzata come leva aggiuntiva di pressione sulla vittima. Anche in assenza di una pubblicazione immediata, il rischio di utilizzi fraudolenti nel medio periodo rimane concreto.
Un caso emblematico per il settore accademico
L’attacco informatico alla Sapienza di Roma non è un episodio isolato, ma si inserisce in una tendenza ormai consolidata che vede università ed enti pubblici tra i bersagli privilegiati di operazioni ransomware mirate. Infrastrutture complesse, ambienti eterogenei e una lunga convivenza tra sistemi moderni e legacy aumentano la superficie di attacco e rendono la difesa particolarmente complessa.
Questo incidente evidenzia l’importanza di una gestione rigorosa degli accessi privilegiati, di una segmentazione efficace delle reti e di piani di risposta agli incidenti testati e realistici.
Mentre le attività di ripristino proseguono e le indagini restano aperte, una cosa appare chiara: il caso Sapienza rappresenta un segnale forte per tutto il settore pubblico e accademico italiano, chiamato a considerare la sicurezza informatica non come un tema accessorio, ma come un elemento strutturale della continuità operativa.
Analisi di Vasily Kononov – Threat Intelligence Lead, CYBEROO
