L’incidente cyber che ha portato alla paralisi dell’infrastruttura IT dell’università più grande d’Europa per numero di iscritti si inserisce in un contesto di crescente pressione sul mondo accademico, con un impatto particolarmente evidente sul sistema universitario romano. Ecco cosa è successo.

La Sapienza è ancora offline. A distanza di giorni dall’attacco informatico che ha colpito l’ateneo romano, i sistemi risultano infatti solo parzialmente ripristinati e numerosi servizi digitali continuano a essere indisponibili o fortemente limitati.

L’incidente, che ha portato alla paralisi dell’infrastruttura IT dell’università più grande d’Europa per numero di iscritti, si inserisce in un contesto di crescente pressione cyber sul mondo accademico.

La Sapienza vittima del ransomware Badblock

Secondo le prime ricostruzioni, l’attacco sarebbe stato condotto tramite un ransomware di nuova generazione, identificato come “Bablock”, una delle varianti più utilizzate e aggressive emerse nel corso del 2025. Lo stesso malware sarebbe stato impiegato da una crew finora sconosciuta, denominata “Femwar02”, comparsa per la prima volta proprio in occasione dell’azione contro la Sapienza. Il ransomware avrebbe consentito agli attaccanti di introdursi nei sistemi informatici dell’università e di criptare una parte rilevante dei dati, rendendo inaccessibili servizi e piattaforme interne.

Alcune caratteristiche tecniche del malware, in particolare l’assenza di crittografia su sistemi configurati in lingua russa o dell’area post-sovietica, hanno alimentato il sospetto di una possibile matrice filo-russa dell’attacco. Si tratta tuttavia di elementi che, allo stato attuale, non consentono attribuzioni definitive. Le indagini sono in corso e vengono seguite dall’Agenzia per la cybersicurezza nazionale, attraverso il CSIRT Italia, e dalla Polizia Postale.

Ransowmare contro La Sapienza: 72 ore per pagare il riscatto

Uno dei principali rischi legati all’incidente riguarda la possibile esposizione dei dati. Al momento non risulta ancora aperto il file contenente la richiesta di riscatto, operazione che in genere fa scattare un conto alla rovescia di 72 ore prima della pubblicazione o della vendita delle informazioni sottratte.

L’università disporrebbe comunque di copie di backup, ma resta il timore che i dati criptati possano finire sul dark web in caso di mancato pagamento. Si parla potenzialmente di milioni di file, comprese informazioni riferite a studenti, docenti, personale amministrativo, collaboratori e attività di ricerca.

Cosa dice La Sapienza

Sul piano della comunicazione La Sapienza sta informando in maniera molto accurata tutto il personale coinvolto come si vede dall’immagine sotto (clicca per ingrandire).

Sul piano operativo, i tecnici dell’ateneo sono al lavoro per contenere i danni e ripristinare gradualmente i sistemi, mentre l’impatto sull’attività quotidiana resta significativo. I servizi digitali risultano ancora in parte compromessi e alcune funzioni, come la posta elettronica e le postazioni di lavoro, sono solo parzialmente disponibili.

Attacco alla Sapienza: la procura ha aperto un’indagine

Parallelamente, la Procura ha aperto un’inchiesta sull’accaduto: le ipotesi di reato spaziano dall’accesso abusivo a sistema informatico fino all’estorsione aggravata e all’interruzione di pubblico servizio.

L’università ha nel frattempo adottato misure temporanee per garantire la continuità delle attività accademiche, con lo svolgimento regolare degli esami già prenotati, il rinvio di alcune scadenze amministrative e l’attivazione di infopoint in presenza per supportare gli studenti.

A maggio 2025 l’attacco a Roma Tre

Il caso della Sapienza non rappresenta un episodio isolato. Nel corso del 2025 anche altri atenei romani sono finiti nel mirino di attacchi informatici, delineando un quadro di esposizione crescente che riguarda l’intero sistema universitario della Capitale. Oltre all’università più grande d’Europa, incidenti e disservizi legati a eventi cyber hanno coinvolto anche Roma Tre e l’Università Pontificia Salesiana.

Nel caso di Roma Tre, l’attacco ha avuto ripercussioni sui servizi digitali e sulle piattaforme a supporto delle attività accademiche e amministrative, evidenziando ancora una volta la fragilità delle infrastrutture IT universitarie quando vengono colpite in modo diretto. Sebbene con modalità e impatti differenti rispetto alla Sapienza, l’episodio ha confermato quanto anche un singolo incidente possa incidere sulla continuità operativa di un ateneo.

A febbraio 2025 l’attacco all’Università Pontificia Salesiana

Un discorso analogo vale per l’Università Pontificia Salesiana. Pur trattandosi di un’istituzione di dimensioni più contenute e con una struttura diversa rispetto agli atenei statali, l’attacco informatico ha dimostrato come il rischio cyber non faccia distinzioni tra pubblico e privato. Anche in questo caso, i sistemi digitali sono stati presi di mira, con conseguenze sull’accesso ai servizi e sulla gestione delle attività interne.

Perché le università romane rappresentano un bersaglio appetibile per il cybercrime? La combinazione di grandi volumi di dati, infrastrutture complesse, migliaia di utenti e un’elevata dipendenza dai servizi digitali rende il settore accademico particolarmente esposto a ransomware, intrusioni e attacchi mirati.

Un settore debole che presenta ancora numerose falle di sicurezza. Partire dalla base che la cybersecurity nel mondo universitario non possa più essere affrontata in modo reattivo o frammentato. Al contrario, emerge la necessità di un approccio strutturato che includa prevenzione, capacità di risposta agli incidenti e una maggiore integrazione con le strutture nazionali di cybersecurity.

Vai al sito di Cybersecurity Italia.

L'articolo Attacchi cyber contro Sapienza, Roma Tre e Pontificia Salesiana. Cosa sta succedendo alle università romane sembra essere il primo su CyberSecurity Italia.