Università La Sapienza di Roma: cinque giorni di buio digitale, cos'è successo

L'Università La Sapienza di Roma sta faticosamente uscendo da un grave incidente di sicurezza informatica che, a partire dal 2 febbraio, ha compromesso in modo esteso la sua infrastruttura digitale. L'ateneo ha confermato pubblicamente di essere stato oggetto di un cyberattacco, e ha disposto come misura precauzionale lo spegnimento immediato dei sistemi di rete per preservare l'integrità dei dati.

Le conseguenze operative sono state rilevanti: il sito ufficiale uniroma1.it, il portale studenti Infostud e numerosi servizi digitali essenziali risultano irraggiungibili da giorni. Attività ordinarie come la prenotazione degli esami, il pagamento delle tasse universitarie o l'accesso alle piattaforme amministrative sono state temporaneamente sospese, incidendo su studenti, docenti e personale tecnico-amministrativo. Con oltre 112.500 studenti iscritti, La Sapienza è il più grande ateneo europeo per popolazione studentesca in presenza, e l'impatto del blocco si è fatto sentire in modo immediato.

Per garantire una continuità minima dei servizi, l'università ha attivato canali informativi alternativi, in particolare tramite i social network, e ha allestito infopoint fisici nelle varie facoltà per gestire le pratiche più urgenti. Secondo gli ultimi aggiornamenti ufficiali, le operazioni di ripristino sono in corso e i primi servizi dovrebbero tornare online progressivamente, una volta completati i test di sicurezza sulle infrastrutture.

Sebbene l'ateneo non abbia fornito dettagli tecnici sull'attacco né confermato la matrice dell'azione, diverse ricostruzioni giornalistiche indicano un possibile attacco ransomware. In particolare, il Corriere della Sera attribuisce l'evento a un gruppo identificato come Femwar02, ritenuto vicino ad ambienti filorussi, con modalità operative compatibili con varianti note come BabLock o Rorschach.

Si tratterebbe di malware progettati per cifrare rapidamente i sistemi colpiti, rendendo inaccessibili i dati fino al pagamento di un riscatto. Secondo fonti citate dalla stampa, una richiesta di riscatto sarebbe presente ma non sarebbe stata aperta, per evitare l'attivazione del tipico countdown temporale - spesso di 72 ore - associato a queste campagne. Il valore economico della richiesta non è quindi noto.

Dal punto di vista tecnico, BabLock/Rorschach è un ceppo emerso tra il 2022 e il 2023 e analizzato da diverse società di cybersecurity, tra cui Check Point e Group-IB. Il malware si caratterizza per elevate velocità di cifratura e per un'architettura modulare, con elementi che richiamano codice proveniente da famiglie ransomware come Babuk, LockBit v2.0 e DarkSide. A differenza di altri gruppi, non risulta gestire un portale pubblico per la pubblicazione dei dati sottratti, rendendo più complessa l'attribuzione e la valutazione dell'eventuale esfiltrazione di informazioni.

Le attività di risposta all'incidente vedono il coinvolgimento del CSIRT italiano, dell'Agenzia per la Cybersicurezza Nazionale (ACN) e della Polizia Postale. Il ripristino dei sistemi starebbe avvenendo a partire da backup che, secondo quanto trapelato, non sarebbero stati compromessi. Resta tuttavia aperta la questione più delicata: stabilire se, oltre al blocco dei servizi, vi sia stata anche una sottrazione di dati sensibili, con possibili conseguenze sul piano della privacy.

Eventuali dati rubati potrebbero essere rivenduti o diffusi attraverso altri canali criminali. Per questo motivo, l'ateneo ha invitato studenti e personale a mantenere alta l'attenzione, diffidando di comunicazioni sospette, evitando link non richiesti e monitorando eventuali anomalie sugli account personali.

A rendere ancora più fosco il quadro, è emersa in parallelo una truffa che sfrutta il nome della Sapienza. Secondo quanto riportato da la Repubblica, nel dark web sarebbe comparsa un'inserzione che promette la vendita di lauree false intestate all'ateneo romano. L'offerta, accessibile tramite rete Tor, propone per circa 11.000 dollari un pacchetto completo di pergamena, certificati d'esame, tessera studentesca e persino presunte credenziali di accesso ai sistemi universitari, con servizi aggiuntivi a pagamento come lettere di conferma per i datori di lavoro o titoli di dottorato.

I dettagli - tra loghi approssimativi ed errori nel nome stesso dell'università - suggeriscono chiaramente la natura fraudolenta dell'iniziativa, che appare come un tentativo opportunistico di sfruttare la visibilità mediatica dell'attacco informatico.