Sapienza sotto attacco: cronaca, implicazioni e indagini sull’attacco hacker della gang Femwar02

Sapienza sotto attacco: cronaca, implicazioni e indagini sull’attacco hacker della gang Femwar02

Indice dei contenuti

1. Introduzione: la gravità dell’attacco hacker alla Sapienza 2. Cronologia dei fatti: come si è svolto l’attacco informatico 3. Il virus Bablock: caratteristiche e pericolosità 4. La gang Femwar02: profilo e sospetti di legami internazionali 5. La richiesta di riscatto: un milione di euro in criptovalute 6. Impatto sulla Sapienza: paralisi dei sistemi e conseguenze sulla didattica 7. Rischio per i dati: minaccia di pubblicazione sul dark web 8. Le indagini della Procura e il ruolo delle forze dell’ordine 9. La cybersecurity universitaria e la risposta al cybercrime 10. Consigli e prevenzione: come difendersi dagli attacchi informatici 11. Scenari futuri e preoccupazioni per il sistema universitario italiano 12. Conclusioni: una sfida aperta alla sicurezza digitale universitaria

---

Introduzione: la gravità dell’attacco hacker alla Sapienza

L’attacco hacker alla Sapienza di Roma, una delle principali università europee, rappresenta un evento senza precedenti per il panorama accademico italiano. L’azione criminale, messa in atto dalla gang Femwar02 attraverso il temibile virus Bablock, ha paralizzato i sistemi informatici d’ateneo, generando preoccupazione, disagi e un acceso dibattito sulla vulnerabilità degli apparati digitali universitari. La richiesta di riscatto da un milione di euro in criptovalute e la minaccia della pubblicazione di dati sul dark web portano la questione a un livello di allerta massimo, coinvolgendo non solo l’università ma anche la Procura e i vertici nazionali della cybersecurity.

Cronologia dei fatti: come si è svolto l’attacco informatico

Secondo le prime ricostruzioni, l’attacco informatico alla Sapienza si è verificato nella notte tra il 1° e il 2 febbraio 2026. I sistemi informatici centrali dell’ateneo sono stati improvvisamente bloccati, impedendo l’accesso a piattaforme didattiche, archivi di ricerca, servizi amministrativi e comunicazioni interne. Immediatamente, gli amministratori IT dell'università hanno riscontrato file criptati e messaggi di richiesta di riscatto inviati dalla gang Femwar02.

Gli effetti sono stati tangibili già nelle prime ore del mattino successivo: studenti e docenti hanno segnalato l’impossibilità di accedere a documenti, caricare materiale didattico o eseguire operazioni ordinarie. In particolare, le piattaforme relative agli esami di profitto, alle sessioni di laurea e alle comunicazioni istituzionali risultavano completamente inaccessibili.

Le autorità universitarie hanno confermato l’attacco hacker, invitando tutti gli utenti dell’ateneo a non tentare di accedere ai sistemi compromessi e a cambiare immediatamente le password di eventuali account collegati. L’università ha poi comunicato ufficialmente la sospensione di tutte le attività legate ai sistemi informatici fino a nuovo avviso, mentre contemporaneamente veniva informata la Polizia Postale e avviata la procedura di segnalazione alla Procura di Roma.

Il virus Bablock: caratteristiche e pericolosità

Il virus Bablock, utilizzato dalla gang Femwar02 nell’attacco hacker alla Sapienza, è una variante sofisticata di ransomware, malware progettato per criptare i dati delle vittime, rendendoli inaccessibili, e richiederne il riscatto. Gli esperti di cybersecurity sottolineano che Bablock si distingue per la capacità di diffondersi rapidamente su reti estese, come quelle universitarie, sfruttando vulnerabilità note ma anche falle zero-day ancora sconosciute ai produttori di software.

Le principali caratteristiche del virus Bablock sono:

* _Criptazione avanzata_: utilizza algoritmi di cifratura asimmetrica, rendendo estremamente difficile decriptare i dati senza la chiave privata in possesso degli hacker. * _Movimento laterale_: una volta introdotto nella rete, il malware si propaga su diversi server e dispositivi, colpendo sistematicamente dati sensibili, database, archivi e perfino backup offline. * _Automatizzazione delle richieste di riscatto_: i messaggi di extorsion sono generati automaticamente e forniscono indicazioni dettagliate per il pagamento in criptovalute, garantendo l’anonimato dei criminali. * _Minaccia di pubblicazione_: Bablock include spesso un “doppio ricatto”: oltre all’impossibilità di recuperare i dati, viene minacciata la diffusione dei contenuti riservati sul dark web in caso di mancato pagamento.

Benché non sia il primo caso di ransomware che ha colpito università italiane (numerosi, negli ultimi anni, sono stati attacchi simili agli atenei milanesi e napoletani), la virulenza di Bablock e la rapidità con cui ha paralizzato la Sapienza pongono il caso su un piano di massima urgenza e gravità.

La gang Femwar02: profilo e sospetti di legami internazionali

La gang Femwar02, già nota ai servizi di intelligence informatica, sarebbe composta da soggetti esperti in penetration testing, ingegneria sociale e sviluppo malware. Sebbene la reale composizione del gruppo sia tuttora sconosciuta, le principali agenzie investigative ipotizzano una struttura ramificata, con cellule operative dislocate in diverse nazioni.

Al centro dei sospetti vi è la possibilità che Femwar02 agisca per conto, o sotto l’influenza, di network filo-russi specializzati in cyber-estorsioni. Diverse evidenze raccolte in casi precedenti portano a ritenere che questa banda utilizzi infrastrutture digitali residenti nell’Europa orientale e ricorra a canali privilegiati per la monetizzazione delle attività illecite sul dark web.

Negli ultimi mesi, attacchi simili si sono verificati ai danni di enti pubblici e università tedesche, francesi e spagnole. Il modus operandi, basato su ransomware, richieste in criptovalute e minaccia di fuga di dati, coincide con quello utilizzato contro la Sapienza. L’ipotesi di una strategia coordinata, volto a colpire i centri nevralgici della produzione di conoscenza e documenti sensibili, è attualmente al vaglio degli inquirenti.

La richiesta di riscatto: un milione di euro in criptovalute

Tra le peculiarità più gravi dell’attacco hacker alla Sapienza vi è la richiesta di riscatto da _un milione di euro_, da versare esclusivamente in criptovalute. Questo espediente rappresenta oramai lo standard nei casi di cyber-estorsioni sofisticate, grazie alla difficoltà nel tracciare i trasferimenti digitali e alla relativa facilità per gli hacker di incassare i proventi in modo anonimo, tramite exchange non regolamentati o piattaforme peer-to-peer.

Nei messaggi diffusi da Femwar02 agli amministratori dell’università, compaiono indirizzi di portafoglio in Bitcoin ed Ethereum, accompagnati dalla minaccia che, in caso di mancato pagamento entro 72 ore, _i dati criptati verranno messi in vendita sul dark web_. Si tratta non solo di file amministrativi, ma potenzialmente anche di dati anagrafici di studenti e docenti, ricerche riservate e documentazione sensibile.

Il rettore della Sapienza, in una comunicazione d’emergenza, ha dichiarato: “Non cederemo a nessun ricatto, tuteleremo in ogni modo la sicurezza informatica e la dignità dell’istituzione”. Nel frattempo, sono state attivate squadre di esperti per tentare la decifrazione dei file e per ricostruire le modalità d’intrusione del virus Bablock.

Impatto sulla Sapienza: paralisi dei sistemi e conseguenze sulla didattica

L’interruzione totale dei sistemi informatici ha avuto un impatto devastante sulle attività dell’università. La Sapienza, con oltre 100.000 studenti iscritti e migliaia di dipendenti tra docenti, ricercatori e personale amministrativo, rappresenta un ecosistema fortemente digitalizzato  tanto nella didattica quanto nella ricerca e nella gestione burocratica.

Le principali conseguenze registrate sono state:

* Sospensione temporanea delle lezioni online e degli esami di profitto. * Impossibilità di accesso alla piattaforma di segreteria studenti. * Blocco delle procedure di laurea e dei bandi di concorso. * Interruzione di centinaia di progetti di ricerca basati su dati digitali.

I vertici dell’ateneo hanno dovuto riorganizzare, in tempi ristrettissimi, tutte le attività, adottando soluzioni d’emergenza quali email temporanee, backup cartacei e linee parallele di comunicazione.

L’aspetto più preoccupante riguarda però i dati personali: la privacy di decine di migliaia di studenti e lavoratori rischia di essere compromessa, con possibili ripercussioni anche legali in caso di diffusione dei dati sul dark web, come minacciato dalla gang di hacker.

Rischio per i dati: minaccia di pubblicazione sul dark web

La volontà di Femwar02 di monetizzare il colpo non si ferma al riscatto immediato. In linea con le tecniche più avanzate di cybercrimine, la gang ha già minacciato di pubblicare i dati sottratti sui principali mercati del dark web, in caso di mancato pagamento dell'ingente somma di un milione di euro.

Sul dark web è possibile trovare interi database di istituzioni, aziende, enti sanitari e università. In questi circuiti, dati anagrafici, credenziali di accesso, codici IBAN, progetti di ricerca riservati e persino corrispondenza e relazioni interne vengono venduti a gruppi criminali oppure pubblicati liberamente per generare ulteriori pressioni sulla vittima.

Nel caso della Sapienza, i rischi sono molteplici:

* Vendita delle credenziali di accesso universitarie ad altri hacker o phishing scammer. * Furti di identità e frodi informatiche a danno di studenti, professori e personale. * Compromissione di risultati di ricerca e progetti scientifici brevettabili. * Diffusione di materiale sensibile con possibili ricadute reputazionali.

Questi scenari obbligano ad analizzare, non solo l’impatto immediato, ma anche le conseguenze di medio-lungo periodo sul fronte della sicurezza informatica e della tutela dei dati.

Le indagini della Procura e il ruolo delle forze dell’ordine

Subito dopo l’attacco, la Procura di Roma ha aperto un’inchiesta per "accesso abusivo a sistema informatico", "danneggiamento di sistema informatico", "tentata estorsione aggravata" e violazione delle normative GDPR in materia di trattamento dati personali e obblighi di sicurezza.

Le indagini sono coordinate dai magistrati della sezione criminalità informatica e vedono il coinvolgimento diretto della Polizia Postale, di consulenti di cybersecurity privati e persino dell’Interpol. Gli investigatori stanno lavorando per:

* Rintracciare la provenienza dell’attacco, anche tramite analisi delle tracce lasciate dal malware e dei canali di pagamento in criptovalute. * Verificare connessioni con gruppi hacker filo-russi e possibili complici locali o internazionali. * Fornire supporto tecnico all’università per la decriptazione dei file colpiti e il recupero delle attività didattiche e amministrative.

La collaborazione con istituzioni estere è considerata fondamentale anche in virtù dei frequenti attacchi informatici transnazionali che hanno preso di mira università e centri di ricerca nel Vecchio Continente negli ultimi tre anni.

La cybersecurity universitaria e la risposta al cybercrime

L’incidente ha rilanciato il dibattito sullo stato della cybersecurity universitaria in Italia. Nonostante notevoli sforzi, la realtà evidenzia ancora significative fragilità: reti obsolete, sistemi non aggiornati, carenza di formazione interna e un budget spesso insufficiente per i progetti di protezione avanzata dei dati.

Negli ultimi mesi, Unioncamere e Agenzia per la Cybersicurezza Nazionale (ACN) hanno ripetutamente sottolineato l’urgenza di:

* Rafforzare i firewall e le policy di accesso alle reti universitarie. * Mantenere un aggiornamento costante di tutti i software. * Prevedere backup offline, disconnessi da Internet e accessibili solo a personale autorizzato. * Introdurre piani di formazione periodica (cyber hygiene) riservati a dipendenti, docenti e studenti.

La Sapienza, alla luce di questo evento traumatico, potrebbe diventare un caso-scuola nazionale, spingendo altre università a investire maggiormente in prevenzione e risposta alle minacce informatiche.

Consigli e prevenzione: come difendersi dagli attacchi informatici

Per ridurre il rischio di attacchi ransomware simili a quello subito dalla Sapienza, esperti di sicurezza IT suggeriscono pratiche e misure concrete:

1. Aggiornamento costante di sistemi e software: evitare che vulnerabilità note divengano porta d’accesso ai cybercriminali. 2. Formazione continua di tutto il personale: difendersi dagli attacchi di ingegneria sociale e phishing, spesso veicolo primario dei malware. 3. Implementare sistemi di backup periodici e sicuri: preferibilmente offline e conservati in luoghi separati. 4. Limitazione dei permessi di amministratore: ridurre la superficie d’attacco impedendo movimenti laterali del virus. 5. Simulazioni di attacco e audit di sicurezza costanti: per individuare falle e correggerle tempestivamente.

Inoltre, la collaborazione con Centri operativi di sicurezza informatica e la stipula di assicurazioni cyber possono rappresentare ulteriori livelli di protezione per le università.

Scenari futuri e preoccupazioni per il sistema universitario italiano

La vicenda della Sapienza segna probabilmente un punto di non ritorno per la cybersecurity degli atenei italiani. Il sistema universitario appare come un bersaglio prioritario, sia per la quantità che per la qualità dei dati gestiti, sia per l’esposizione pubblica e lo scarso livello di protezione rispetto ad altri comparti (finanziario, sanitario, governativo).

Rimane fondamentale interrogarsi sulla necessità di nuove policy nazionali di cybersicurezza, sulla creazione di task force interuniversitarie e su investimenti sistematici in infrastrutture informatiche resilienti. In una società sempre più digitale, la difesa della conoscenza e della privacy accademica deve divenire una priorità assoluta.

Conclusioni: una sfida aperta alla sicurezza digitale universitaria

L’attacco hacker alla Sapienza, orchestrato dalla gang Femwar02 tramite il virus Bablock, è un segnale d’allarme potente che impone una riflessione profonda su rischi, responsabilità e contromisure da adottare nel panorama universitario italiano. Davanti alla sofisticazione crescente delle minacce, solo un impegno coordinato tra università, autorità giudiziarie, esperti di cybersecurity e istituzioni nazionali può garantire la sicurezza dei dati, la continuità didattica e la tutela degli individui coinvolti.

L’attacco informatico è solo l’ultimo campanello d’allarme: ora la vera sfida è rendere la sicurezza digitale un pilastro intangibile della comunità accademica.