L’Università La Sapienza di Roma è finita al centro di un grave attacco informatico che ha messo fuori uso i suoi sistemi digitali nel momento più delicato dell’anno accademico, a ridosso della fine della sessione invernale. L’ateneo ha confermato l’incidente il 2 febbraio 2026, spiegando di aver disposto il blocco immediato delle reti per proteggere l’integrità dei dati. Mentre le lezioni e gli esami in presenza continuano regolarmente, tutta la vita digitale dell’università è stata congelata. Il timore principale riguarda l’eventuale furto e diffusione di dati sensibili di studenti, docenti e personale. Al momento, però, il quadro resta incerto.
I primi segnali dell’attacco sono arrivati già dalla sera precedente, quando molti studenti non sono riusciti ad accedere a Infostud, il sistema per prenotare esami e gestire pagamenti e pratiche amministrative. La mattina seguente anche il sito ufficiale dell’università è risultato irraggiungibile. A quel punto La Sapienza ha comunicato ufficialmente l’attacco, spiegando che una task force tecnica interna, insieme all’Agenzia per la Cybersicurezza nazionale, è al lavoro per analizzare l’accaduto e avviare le procedure di bonifica e ripristino, anche grazie a sistemi di backup che non sarebbero stati compromessi.
Secondo le prime ricostruzioni, l’attacco è avvenuto tramite ransomware, un tipo di malware che cifra i dati e li rende inaccessibili, chiedendo un riscatto per ripristinarli. In questo caso sarebbe stato utilizzato BabLock, un ransomware noto agli esperti di sicurezza informatica e già impiegato in attacchi in Europa, Asia e Medio Oriente. A utilizzarlo sarebbe stato il gruppo Femwar02, una gang poco conosciuta ma con caratteristiche precise: non colpisce mai obiettivi in Russia o nei Paesi russofoni e non pubblica rivendicazioni sui classici “data leak site” del dark web. Per questo gli inquirenti parlano di una probabile matrice filo-russa.
Uno degli elementi più anomali, al momento, è proprio l’assenza di tracce nel dark web. Marco Lucchina, esperto di sicurezza informatica di Cynet, ha spiegato che scandagliando i canali usati abitualmente dai cybercriminali non si trova né una rivendicazione né dati riconducibili all’università. Neppure una richiesta di riscatto è comparsa pubblicamente. Le ipotesi sono due: o il riscatto è stato pagato subito, oppure i criminali non sono riusciti a sottrarre tutti i dati. Lucchina tende a escludere la prima opzione, trattandosi di un ente pubblico, e ritiene più probabile un furto parziale o un’operazione non andata a buon fine.
Online circola comunque il testo del cosiddetto “ransomware notice”, il messaggio che compare sui computer infettati dopo la crittografia dei dati. Il messaggio inizia con un diretto “Ciao, se stai leggendo questo messaggio significa che sei stato hackerato” e prosegue affermando che, oltre a bloccare i sistemi e cancellare i backup, gli attaccanti avrebbero scaricato informazioni riservate. Di solito questo avviso rimanda a un file con le istruzioni di pagamento e fa partire un countdown, spesso di 72 ore, con la minaccia di pubblicare i dati. Nel caso della Sapienza, però, fonti vicine al dossier riferiscono che nessuno avrebbe cliccato su quel file, evitando l’avvio del conto alla rovescia.
Nel frattempo, la Procura di Roma ha aperto un’indagine. Le ipotesi di reato vanno dall’accesso abusivo ai sistemi informatici fino all’estorsione, anche se quest’ultima, per ora, non è supportata da prove evidenti. L’episodio ha riacceso l’attenzione sulla vulnerabilità delle infrastrutture digitali degli atenei italiani, già colpiti in passato: nel 2011 La Sapienza e molte altre università furono vittime di un attacco su larga scala che portò al furto di dati sensibili di studenti e docenti.
