Il 2 febbraio 2026 l’Università Sapienza di Roma è stata oggetto di un data breach.
Cosa è successo
Il data breach sarebbe stato effettuato usando il ransomware BabLock (anche noto come Rorschach). Gli hacker avrebbero richiesto fino a 1 milione di dollari in Bitcoin per le chiavi di decrittazione e sarebbero un gruppo poco noto, probabilmente con legami filo-russi, chiamato “Femware2”.
In un primo momento la violazione è stata affrontata attraverso la disconnessione di tutti i servizi e sistemi al fine di isolare e tutelare l’ecosistema informatico anche se questo ha provocato malumori e malcontento da parte di studenti e docenti. Il data breach è stato di natura dolosa, provocato da un collettivo criminale filo-russo.Non è la prima volta che l’Università Sapienza è oggetto di data breach. Un articolo di Sky TG24 si menziona l’attacco subito del 2011:
Non si tratta del primo episodio di questo tipo per La Sapienza. Nel 2011 l’ateneo era già stato bersaglio di un attacco informatico che portò all’esfiltrazione di dati personali di studenti e docenti, tra cui codici fiscali, indirizzi email e numeri di telefono, poi diffusi online tramite reti Torrent insieme a materiale sottratto ad altre università italiane.
Ma pochi ricordano che l’Università era stata oggetto di un data breach anche prima e volendo provare a ricapitolare gli accadimenti si può provare a mettere in tabella quanto segue.
| Anno | Soggetto | Note |
|---|---|---|
| 2011 | LulzStorm | |
| 2018 | LulzSec_ITA | Colpiti più dipartimenti tra cui il Dipartimento Ingegneria Informatica Università di Roma |
| 2026 | Femware2 |
Cronologia eventi essenziali
02/02/2026 - Sistemi isolati a causa del rilevamento di un data breach.
03/02/2026 - Sistemi isolati. Sito inaccessibile.
04/02/2026 - Sistemi isolati. Sito inaccessibile.
05/02/2026 - Sistemi isolati, dichiarato termine della bonifica e avvio attività di ripristino. Sito inaccessibile.
06/02/2026 - Parziale ripristino del sistema. Sito inaccessibile.
07/02/2026 - Sito inaccessibile.
08/02/2026 - Sito inaccessibile.
09/02/2026 - Sito ripristino alle 15:10 circa.
Disconnessione e isolamento
Come è stato scritto in precedenza, l’Università ha risposto all’attacco attraverso l’isolamento totale dei sistemi informativi. La piattaforma InfoStud, di supporto agli studenti è stata disconnessa, il portale web è stato disconnesso, in poche parole l’Università Sapienza è diventata completamente irraggiungibile. In molti hanno criticato questa decisione e quindi è opportuno spiegare quando, come e perché è necessario procedere alla disconnessione totale di un’infrastruttura. L’isolamento è una misura estrema, prevista dalle procedure di sicurezza più note, attuabile quando non vi è la possibilità di governare in sicurezza la situazione attraverso meccanismi di isolamento e segmentazione. Immaginando un’infezione di cui non si conosce estensione, intensità e pervicacia, il direttore dei sistemi informativi può optare per questa procedura al fine di interrompere qualsiasi attività malevola. La Sapienza ha dichiarato che l’isolamento è stato adottato in:
via precauzionale, e al fine di garantire l’integrità e la sicurezza dei dati, è stato disposto l’immediato blocco dei sistemi di rete – si legge nelle Stories dell’account Instagram dell’ateneo -. Attualmente, una task force tecnica è al lavoro per analizzare e avviare le procedure di bonifica e ripristino graduale dell’infrastruttura, anche facendo affidamento sui sistemi di backup che non sono stati interessati dall’incidente
Gli avvocati italiani ricorderanno la disconnessione che un importante azienda provocò alle loro PEC a seguito della compromissione del sistema informativo. Tuttavia, come si è scritto, è una misura emergenziale e, come tale, dovrebbe avere una durata molto limitata nel tempo. L’incidente è stato reso noto il 2 febbraio, oggi è il 4 febbraio ed il portale di Uniroma1, alle 09:40 ancora non funziona. Inoltre, rispetto al 2011, è bene considerare che vi dovrebbe essere stato un aumento di consapevolezza e tempo per prepararsi, tale da consentire l’approntamento di misure alternative alla disconnessione totale. A parer di chi scrive è stato molto interessante leggere l’intervento dell’Avv. Paolo Galdieri su Facebook.
Questa decisione solleva questioni fondamentali sulla gestione delle infrastrutture critiche nell’era digitale.
Al momento si parla di un generico incidente informatico e non abbiamo ancora la certezza che si tratti di un attacco doloso. Dal punto di vista del GDPR però la scelta di procedere al blocco immediato dei sistemi Infostud risponde al principio di precauzione. Il titolare del trattamento ha il dovere di agire tempestivamente per garantire l’integrità dei dati sensibili di migliaia di studenti e docenti anche solo davanti al sospetto di una compromissione. Spegnere i server è una misura drastica che serve a prevenire danni potenzialmente irreparabili. Il coinvolgimento dell’Agenzia per la Cybersicurezza Nazionale indica quanto sia alta l’attenzione verso l’affidabilità delle pubbliche amministrazioni. Se l’origine del problema fosse tecnica o strutturale e non un’azione esterna il tema si sposterebbe sulla corretta manutenzione e sulla ridondanza dei sistemi. La legge impone che le infrastrutture che erogano servizi pubblici essenziali siano in grado di garantire una operatività costante per non ledere diritti fondamentali come quello allo studio.
In effetti Galdieri solleva una questione importante quando scrive che la “legge impone che le infrastrutture che erogano servizi pubblici essenziali siano in grado di garantire una operatività costante per non ledere diritti fondamentali come quello allo studio“. Allo stesso modo è necessario ricordare che Uniroma1, essendo un soggetto NIS, sarà stato certamente interessato da quelle misure di sicurezza obbligatorie per le quali esistono vincoli normativi fin dal 2017 (la Circolare 2/2017). Sono previste, tra le misure in questione: lo sviluppo di un piano di continuità operativa e resilienza, un piano di disaster recovery, lo sviluppo di livelli di servizio sostenibili (RTO, RPO, MTD), la definizione di un piano di gestione del rischio oltre che una valutazione d’impatto e anche l’attuazione di vulnerability assessment e penetration test svolti con soggetti che abbiano le opportune competenze in materia.
Fatte queste premesse è necessario anche ricordare che la Sapienza sta adottando lo stesso criterio di isolamento che la Regione Lazio mise in atto durante il data breach del 1 agosto 2021. In quell’occasione il portale ufficiale della Regione fu irraggiungibile dal 1 agosto al 6 agosto, data in cui fu predisposta una pagina web provvisoria per informare i cittadini.
Una nota critica
È interessante notare come l’articolo di Wired (in modo molto giusto a parer di chi scrive) abbia un link puntato alla notizia “La Sapienza di Roma trionfa ancora nella competizione sulla cybersicurezza” e nel quale si legge:
Per il secondo anno di fila l’università Sapienza di Roma si aggiudica Cyberchallange.it, il programma italiano dedicato a nuovi talenti della sicurezza informatica.
Questo è particolarmente rilevante, soprattutto alla luce di quanto scritto sino ad ora, ossia la necessità di avere un comparto informatico preparato e idoneo ad affrontare i rischi con consapevolezza e capacità operativa. Spesso si trovano notizie come quella riportata sopra, nelle quali inevitabilmente finisce per stridere l’immagine presentata al pubblico, con l’effettiva sostanza messa in campo quando l’incidente si verifica. Tra l’altro, nel caso della Sapienza, vi è da considerare l’impatto che questo ha sugli studenti e che Wired ha registrato molto bene.
Nel frattempo, però, gli studenti dell’ateneo capitolino, il più grande in Italia, stanno esprimendo tutta la loro frustrazione e preoccupazione per il blocco dei sistemi in un momento tanto delicato come quello dell’ultimo appello della sessione. “Infostud è (di nuovo) sotto attacco hacker e questa volta sono riusciti a entrare nel database della segreteria – scrive uno studente su X – Se mi ritrovo gli esami cancellati non potrei rispondere delle mie azioni”.
Conclusioni
A parer di chi scrive l’isolamento è una misura accettabile solo nelle prime ore dell’offensiva: mantenere un intero ecosistema isolato per oltre 48 ore significa arrecare danni a soggetti che hanno diritto di fruire del servizio per il quale hanno pagato. Oggi, di fatto, esistono misure di prevenzione tali da garantire tanto la continuità, quanto la ripresa in tempi rapidi e certi: a patto che queste vengano studiate ed implementate nel modo corretto.
L’isolamento prolungato dei sistemi informativi lascia intendere la difficoltà di governo della situazione che, a fini cautelari, viene mantenuta disconnessa. La vicenda riapre l’ormai nota questione sulla prevenzione nei sistemi informativi, unitamente alla tematica della consapevolezza reale dei rischi.
Se nemmeno una realtà di pregio come la Sapienza è in grado di far fronte adeguatamente ad un data breach, cosa ci dovremo aspettare su soggetti più piccoli e con meno strumenti?
Aggiornamenti
09/02/2026 – Ripristino del portale
Alle 15:10 circa il portale di Uniroma 1 viene ripristinato.
06/02/2026 – Pubblicati avvisi e ripristino parziale sistema
Pubblicati avvisi (con data errata, non è il 07 febbraio ma il 6 febbraio) in cui si parla di ripristino parziale.
05/02/2026 – Pubblicati avvisi su Facebook
Un avviso pubblicato il giorno 5 febbraio 2026, riporta alcune notizie circa gli sviluppi che le azioni che si stanno intraprendendo. A quanto si apprende la fase di bonifica è stata completata con successo e si sta procedendo al ripristino.
04/02/2026 – Pubblicati avvisi su Facebook
Un avviso è stato pubblicato dalla Sapienza, il giorno 4 febbraio, per supportare gli studenti nella richiesta di informazioni limitatamente alla gestione degli esami in corso“.
03/02/2026 – Pubblicati avvisi su Facebook
Su Facebook dell’Università sono stati pubblicati alcuni avvisi di supporto agli studenti.
