L’esteso attacco informatico contro la Sapienza di Roma

Dal 2 febbraio il sito dell’Università degli Studi di Roma “La Sapienza”, la più grande in Italia, non è raggiungibile a causa di un attacco informatico. Da cinque giorni non funzionano i sistemi per prenotare gli esami, avere informazioni sul pagamento delle tasse universitarie o per trovare i contatti dei docenti. L’Università comunica per lo più attraverso i propri profili sui social network, dove ha spiegato genericamente la causa dei disservizi e non ha fornito per ora molte informazioni su quando sia previsto un completo ritorno alla normalità.

L’origine dell’attacco non è ancora chiara, ma secondo diversi esperti di sicurezza informatica potrebbe avere avuto origine dalla violazione di un account con molti privilegi, come quello di un amministratore di sistema, ottenendo in questo modo l’accesso a buona parte della rete interna e dei dati della Sapienza. L’account potrebbe essere stato compromesso perché aveva una password debole, oppure sfruttando alcune falle di sicurezza dei sistemi informatici in rete, che a volte comprendono versioni aggiornate e altre obsolete più facili da violare.

Ottenuto l’accesso, gli autori dell’attacco hanno attivato un “ransomware”, un software dannoso (“malware”) che viene impiegato per rendere non disponibili dati di un computer o di una rete. Una volta attivo, il ransomware blocca i file importanti trasformando i dati in un formato che può essere letto solo con una giusta chiave per decifrarli. Questa operazione è in genere seguita dalla generazione di un file che avvisa i gestori del computer o della rete del blocco, con la richiesta del pagamento di un riscatto per ottenere la chiave e ripristinare i dati. La richiesta è di solito in criptovalute come i Bitcoin e, a seconda della portata del sequestro dei dati, può arrivare a centinaia di migliaia o milioni di euro.

Stando alle informazioni raccolte da Repubblica, sembra che nel caso della Sapienza il ransomware sia “BabLock”, emerso durante il 2025 e considerato uno dei malware più pericolosi e per questo spesso usato da vari gruppi per sequestrare dati. Le ipotesi sono legate a come si presentava il file che richiedeva il riscatto e ai sospetti, che circolano ormai da mesi, su una probabile provenienza del ramsomware da ambienti russi o filorussi.

Al momento non ci sono state però conferme ufficiali e sulla vicenda sta indagando la Polizia Postale insieme all’Agenzia per la cybersicurezza nazionale, entrambe coinvolte dalla Sapienza per risalire agli autori dell’attacco. Mentre le indagini proseguono, i tecnici dell’Università hanno lavorato per verificare quali parti della rete interna sono state compromesse, prima di procedere con il ripristino da alcuni precedenti salvataggi dei dati (backup). È un lavoro complesso perché il ripristino di dati su una rete non sicura potrebbe portare a ulteriori problemi, con malfunzionamenti o il rischio della perdita di dati. Non è inoltre chiaro se i backup disponibili comprendano tutti i dati o se ci sia qualcosa che rimane irraggiungibile, perché cifrato dal ransomware.

Il sito della Sapienza è la parte più evidente al pubblico e agli studenti, ma ci sono molti altri servizi che vengono gestiti online dall’Università come quello per la gestione del personale, degli indirizzi email e dei vari sistemi per organizzare l’attività didattica. Giovedì è stato annunciato un parziale ripristino dei servizi legati al sistema per autenticarsi nel portale, mentre ci sono ancora problemi sulla gestione della rete interna e sulla possibilità di collegarsi in remoto dai computer per il lavoro agile.