L’Università La Sapienza di Roma ha subito un grave attacco ransomware il 2 febbraio 2026, che ha portato al blocco dei sistemi IT e alla sospensione delle attività didattiche digitali. In poche ore, il sito ufficiale è diventato inaccessibile e l’intera infrastruttura informatica si è fermata, causando disagi a studenti e personale. Per gli utenti, la soluzione immediata consiste nell’attendere comunicazioni ufficiali dall’ateneo e utilizzare canali alternativi come email o social media per aggiornamenti, evitando di cliccare su link sospetti per prevenire ulteriori rischi. Questo evento mette in luce i crescenti pericoli della cybersecurity nelle istituzioni educative, mentre l’università sta collaborando con esperti nazionali per un rapido ripristino.
L’attacco è iniziato nella mattinata di lunedì 2 febbraio, paralizzando subito l’accesso alla rete universitaria. Il sito web principale, essenziale per iscrizioni, avvisi e servizi per gli studenti, è stato irraggiungibile per ore. Anche i sistemi interni, inclusa la piattaforma Infostud per la gestione delle carriere studentesche, sono stati bloccati. L’università ha risposto prontamente, ordinando il blocco immediato dei sistemi di rete per proteggere l’integrità dei dati sensibili conservati nei database.
La comunità universitaria, composta da oltre 100.000 iscritti, ha dimostrato preoccupazione per i possibili ritardi negli esami e nelle immatricolazioni a causa della sospensione delle lezioni online, degli esami digitali e delle segreterie virtuali. L’università ha comunicato tramite i suoi canali social, come Instagram, che una task force tecnica è al lavoro per analizzare l’estensione del danno e avviare le procedure di bonifica.
A supporto dei tecnici interni è intervenuta l’Agenzia per la Cybersicurezza Nazionale, un ente governativo che si occupa della difesa da minacce digitali. Insieme, stanno esaminando i backup non compromessi per avviare un graduale ripristino dei servizi essenziali. L’obiettivo principale è riportare online Infostud e gli altri portali dedicati alla comunità studentesca e universitaria. Per ora non ci sono tempistiche ufficiali, ma si pone un forte accento sulla sicurezza prima del ripristino.
Non è il primo episodio di questo tipo per La Sapienza. Nell’ottobre 2011, l’ateneo fu vittima di un attacco informatico che colpì altre università italiane e straniere, durante il quale vennero sottratti dati sensibili come codici fiscali, email e numeri di telefono. Tale evento portò a indagini prolungate e a rafforzamenti delle misure di sicurezza, evidenziando una vulnerabilità ricorrente negli ambienti accademici, ricchi di dati preziosi.
Le ripercussioni sull’attività didattica sono significative, dato che migliaia di corsi dipendono da piattaforme digitali. Gli studenti potrebbero affrontare ritardi negli esami programmati per febbraio e marzo, con le segreterie che stanno considerando comunicazioni per posticipare scadenze e invitando i docenti a optare per metodi tradizionali. L’università ha assicurato che la massima priorità è minimizzare i disagi, ma la situazione rimane fluida.
In un contesto più ampio, gli attacchi ransomware sono in aumento in Italia, colpendo ospedali, aziende e ora istituzioni educative. Questi malware criptano i file o bloccano i sistemi, richiedendo un riscatto in criptovalute per il ripristino. Pagare non è mai consigliato, poiché non garantisce il recupero dei dati e finanzia il crimine organizzato.
Approfondimento tecnico
Per gli esperti, è utile comprendere i meccanismi sottostanti. Un attacco ransomware è un tipo di malware che si diffonde tramite phishing, vulnerabilità software o accessi remoti non autorizzati. Una volta infiltrato, il software malevolo – comunemente denominato cryptoransomware – utilizza algoritmi di crittografia asimmetrica per rendere i dati illeggibili. La chiave privata per decrittare è trattenuta dagli attaccanti, i quali forniscono una chiave pubblica alla vittima.
Nel caso di La Sapienza, si sospetta un’infiltrazione prolungata, con gli hacker che potrebbero aver esplorato la rete per giorni o settimane prima dell’attivazione del payload. I comuni vettori di ingresso includono email di spear-phishing mirate al personale amministrativo, exploit di vulnerabilità note in software obsoleti o credenziali compromesse.
Tecnologicamente, il ransomware opera in fasi:
- Infezione iniziale: download di un trojan da allegati malevoli o siti compromessi.
- Propagazione laterale: utilizzo di strumenti per estrarre credenziali e muoversi nella rete via SMB o RDP.
- Esecuzione: criptazione di file con estensioni .locked e distribuzione di una ransom note.
- Exfiltrazione dati: molti gruppi moderni rubano dati prima della criptazione per un ricatto combinato.
Per contrastare tali minacce, le best practice includono:
- Implementazione di Zero Trust Architecture.
- Backup 3-2-1: 3 copie, 2 media diversi, 1 offsite e air-gapped.
- Patching automatizzato e segmentazione della rete.
- Utilizzo di strumenti di Endpoint Detection and Response.
- Formazione anti-phishing con simulazioni.
L’Agenzia per la Cybersicurezza Nazionale segue protocolli CERT-PA per incident response. Nel caso La Sapienza, backup intatti faciliteranno il recupero, evitando il pagamento del riscatto stimato in milioni di euro.
È essenziale per le università investire in SIEM systems e threat hunting proattivo. Strumenti open-source possono fornire supporto a istituzioni con budget limitati. Inoltre, aderire a framework di sicurezza rafforza la resilienza.
Questo incidente evidenzia l’urgenza di una cultura digitale sicura. Per studenti e professionisti IT, seguire forum di aggiornamento è determinante. Mentre l’Italia potenzia le proprie difese nazionali, la responsabilità condivisa rimane fondamentale.
In conclusione, mentre La Sapienza lavora al ripristino, questo evento sottolinea l’urgenza di una solida cultura della cybersicurezza.
