Cronaca | Sicurezza digitale

Sapienza, sospetto attacco ransomware del 2 febbraio 2026: servizi bloccati e ripristino

Quadro aggiornato sull’incidente del 2 febbraio 2026 che ha colpito l’infrastruttura digitale dell’Università La Sapienza di Roma. Cosa sappiamo finora, quali servizi risultano impattati e che cosa significa, in pratica, “ripristino graduale” quando si parla di ransomware e di sicurezza dei dati.

Sospetto ransomware Sito e servizi offline Blocco precauzionale della rete Task force tecnica al lavoro Supporto ACN Guida pratica per studenti e personale

Pubblicato il: Lunedì 2 febbraio 2026 alle ore 11:25.

Ultimo aggiornamento: Lunedì 2 febbraio 2026 alle ore 15:29.

Contenuto verificato Verificato secondo i nostri standard di fact-checking, con ricostruzione basata su comunicazioni ufficiali e riscontri coerenti tra più fonti affidabili. Policy correzioni

Questo articolo segue un evento in evoluzione: riportiamo solo elementi verificabili e li inseriamo in un contesto tecnico utile. Se fai parte della comunità Sapienza, per indicazioni operative su accessi, scadenze e procedure fa sempre riferimento agli avvisi ufficiali dell’ateneo e della tua struttura.

Se stamattina hai provato ad accedere ai servizi online della Sapienza e ti sei trovato davanti a un errore di connessione, non sei l’unico. L’ateneo ha comunicato di essere stato oggetto di un attacco informatico e, per proteggere integrità e sicurezza dei dati, ha disposto il blocco immediato dei sistemi di rete. Nel frattempo una task force tecnica lavora su analisi, bonifica e ripristino graduale con supporto dell’Agenzia per la Cybersicurezza Nazionale. In più fonti l’ipotesi ricorrente è un ransomware, quindi un incidente che non riguarda solo un sito web, ma la continuità di servizi fondamentali.

Mappa rapida: cosa sta succedendo in quattro passaggi

Passaggio Cosa accade Il segnale da notare Impatto pratico
Segnalazioni e primi disservizi Studenti e personale segnalano il sito dell’ateneo non raggiungibile e l’accesso ai principali servizi online difficile o impossibile. Messaggi di time out e assenza di risposta dal server, non una manutenzione annunciata. Il problema viene trattato come incidente di sicurezza, non come semplice guasto.
Stop precauzionale dei sistemi di rete L’ateneo dispone il blocco immediato della rete per proteggere l’integrità dei dati e contenere l’eventuale propagazione. Molti servizi cadono insieme perché dipendono da infrastruttura e autenticazione centrali. Il disagio aumenta subito, ma si riduce il rischio di danni più profondi.
Analisi e bonifica con supporto esterno Una task force tecnica lavora per capire l’estensione dell’incidente e avviare le procedure di bonifica. Viene citato il coinvolgimento dell’Agenzia per la Cybersicurezza Nazionale a supporto dei tecnici dell’università. Arrivano competenze e procedure per gestire evidenze, contenimento e ripristino.
Ripristino graduale e misure di sicurezza L’obiettivo dichiarato è riattivare i servizi essenziali nel minor tempo possibile, poi riprendere il resto in modo progressivo. Si punta sui backup non interessati e su una riaccensione per gradi, con test e monitoraggio. Meno rischio di reinfezione e ripartenza più stabile per studenti e personale.

Tip: la tabella è scorrevole. Su mobile scorri con il dito a destra e a sinistra per vedere tutte le colonne.

Disservizi estesi
Il sito è irraggiungibile e più servizi collegati risultano compromessi o bloccati.
Stop precauzionale della rete
Il blocco serve a proteggere i dati e a limitare l’eventuale propagazione dell’incidente.
Ripristino graduale
Si lavora su bonifica e riattivazione progressiva, facendo leva su backup non interessati.
Cosa fare oggi
In basso trovi una guida pratica su password, phishing e alternative operative finché i servizi restano instabili.
Sapienza: sospetto attacco ransomware, servizi bloccati e ripristino in corso
Cronaca

Quando una rete viene fermata per proteggere i dati, la priorità è ripartire con calma e con controlli seri.

Update log

Registro degli aggiornamenti sostanziali: trasparenza su modifiche, correzioni e integrazioni informative.

  • Lunedì 2 febbraio 2026 alle ore 12:27: Integrata la comunicazione dell’ateneo sul blocco precauzionale della rete e sul ripristino graduale basato su backup non coinvolti.
  • Lunedì 2 febbraio 2026 alle ore 12:49: Aggiornata la sezione “Servizi e impatti” con il quadro dei disservizi più segnalati dalla comunità universitaria e ripresi dai media.
  • Lunedì 2 febbraio 2026 alle ore 13:07: Aggiunta la guida pratica anti phishing e gestione password durante le fasi di ripristino, con consigli operativi per studenti e personale.
  • Lunedì 2 febbraio 2026 alle ore 13:18: Rafforzata l’analisi tecnica su ransomware e attacchi di saturazione, chiarendo cosa suggerisce un blocco di rete disposto per proteggere i dati.

Trasparenza: fonti e metodo

Questo articolo nasce da una ricostruzione giornalistica e tecnica. Il punto di partenza è la comunicazione ufficiale dell’ateneo sul blocco dei sistemi di rete e sul lavoro della task force. Da lì abbiamo incrociato resoconti di agenzie e testate nazionali, poi li abbiamo “tradotti” in cosa significa per chi studia o lavora, con attenzione a dettagli pratici.

Le fonti consultate includono comunicazioni e aggiornamenti riportati da: ANSA, RaiNews, La Repubblica, Sky TG24, Fanpage, Punto Informatico e Cybersecitalia. In più, dove serviva, abbiamo aggiunto contesto tecnico su come si gestisce un incidente ransomware in ambienti complessi come un ateneo.

Nota: quando un evento è in corso, i dettagli più sensibili arrivano tardi. Qui troverai anche analisi e spiegazioni tecniche, sempre distinguendo ciò che è comunicato ufficialmente da ciò che è contesto di settore.

Approfondimenti correlati

Cronaca: notizie e aggiornamenti

L’hub di Cronaca raccoglie notizie verificate, aggiornamenti e ricostruzioni su eventi in evoluzione, con attenzione a contesto e impatto pratico.

Apri la pagina hub

Contesto essenziale: perché un “blocco di rete” è una notizia importante

In un attacco ransomware non è il messaggio sullo schermo il vero problema. Il problema è la fiducia: puoi ancora fidarti dei sistemi che usi ogni giorno, dalla posta ai portali fino agli applicativi amministrativi. Quando un ateneo decide di bloccare subito la rete, sta dicendo una cosa molto concreta. Sta scegliendo di proteggere dati e infrastruttura prima di inseguire una ripartenza rapida ma rischiosa.

Capisco che per chi deve prenotare un esame o gestire una pratica sia frustrante. Però la scelta di contenimento è coerente con la gestione di un incidente serio. Se un malware si muove in rete e trova strada libera, può cifrare altro, danneggiare backup e allungare i tempi di rientro. Fermare l’emorragia prima di ricucire è una regola che vale anche qui.

In breve

  • Il sito dell’ateneo risulta irraggiungibile e diversi servizi online risultano non disponibili.
  • L’università ha comunicato un attacco informatico e ha disposto lo stop immediato dei sistemi di rete per proteggere i dati.
  • Una task force tecnica è al lavoro su analisi e bonifica, con supporto dell’Agenzia per la Cybersicurezza Nazionale.
  • Il ripristino viene impostato come graduale, con riferimento a backup non coinvolti nell’incidente.
  • Per studenti e personale il rischio maggiore, oltre al disservizio, è il phishing: occhio ai falsi messaggi “di emergenza”.

Cosa sappiamo dell’incidente e come leggerlo

Mettiamola semplice e onesta. Oggi, 2 febbraio 2026, la Sapienza sta gestendo un incidente informatico che ha reso irraggiungibili il sito e una parte dei servizi digitali. L’ateneo ha comunicato di aver bloccato la rete in via precauzionale e di aver attivato una task force per analisi, bonifica e ripristino graduale, con supporto dell’ACN.

A livello mediatico, la parola che gira di più è “ransomware”. È una definizione plausibile e coerente con il tipo di contromisure annunciate, ma la fotografia corretta resta questa: l’incidente è in fase di accertamento e la priorità è tornare online senza riportarsi dietro la compromissione.

Sommario dei contenuti

Cosa succede in concreto e cosa ha comunicato l’ateneo

La comunicazione ufficiale parla di un attacco informatico e di una misura immediata: il blocco dei sistemi di rete, deciso per garantire integrità e sicurezza dei dati. Non è una frase di circostanza. È la scelta che fa la differenza tra un ripristino ordinato e un tentativo affrettato che rischia di peggiorare il danno.

In parallelo, viene citato il lavoro di una task force tecnica. Le parole chiave sono due: bonifica e ripristino graduale. La bonifica significa capire dove è passata la compromissione, cosa ha toccato e cosa no. Il ripristino graduale significa riportare online servizi essenziali dopo verifiche, non “tutto subito”.

Servizi impattati e perché cadono insieme

Il sito dell’ateneo risulta irraggiungibile e le segnalazioni riportano disservizi su portali usati per attività studentesche e amministrative. È importante capire un punto che spesso viene sottovalutato. In università i servizi non sono isole. Molti dipendono dalla stessa infrastruttura di rete, dallo stesso sistema di autenticazione e da directory centrali.

Ecco perché un blocco “di rete” si traduce, dal punto di vista dell’utente, in una cascata di effetti. Se il mattone dell’autenticazione viene isolato, anche piattaforme che stanno altrove diventano inaccessibili. È una forma di protezione, non un disordine.

Nota pratica: se in queste ore ricevi messaggi che “offrono” scorciatoie, link alternativi o reset password urgenti, fermati un secondo. Nei giorni di disservizio i truffatori si infilano nel rumore con facilità.

Ransomware o saturazione: cosa suggeriscono i segnali

Quando un sito non risponde la tentazione è pensare a un attacco di saturazione. È possibile, ma il quadro di oggi è più sfaccettato. Le fonti parlano di sospetto ransomware e l’ateneo ha comunicato un blocco precauzionale della rete con bonifica e ripristino graduale.

Questo tipo di linguaggio, e soprattutto questo tipo di azione, è più compatibile con un incidente che riguarda l’infrastruttura e non soltanto la raggiungibilità pubblica di una pagina. Non è una prova “da detective”, è una lettura ragionata. In pratica, l’università si sta muovendo come ci si muove quando l’obiettivo è ridurre il rischio di propagazione.

Cosa vedi Cosa può voler dire Cosa cambia per te
Time out sul sito Server non risponde, disattivazione precauzionale o impatto su infrastruttura. Non provare link “alternativi” non ufficiali, aspetta canali affidabili.
Molti servizi giù insieme Dipendenze comuni su rete e autenticazione centrale. È normale vedere effetti a catena, non significa che ogni servizio sia “cifrato”.
Comunicazione su bonifica Si lavora su evidenze e pulizia prima del ritorno online. I tempi possono essere a scaglioni, serve pazienza e attenzione alle truffe.
Riferimento ai backup Esistono copie utili per ripristinare senza ricostruire da zero. Buon segnale, ma non è sinonimo automatico di “dati al sicuro”.

Perché “backup non coinvolti” è un dettaglio che conta

Quando in una nota ufficiale compare la frase “backup non interessati”, non è un tecnicismo. È un indicatore di resilienza. Significa che esistono copie dei dati e delle configurazioni che, almeno per quanto noto, non sono state toccate dall’incidente.

Qui c’è però un equivoco frequente. Avere backup non significa automaticamente che non ci siano rischi sui dati. Significa che si può ricostruire. Il resto, cioè capire se ci sia stato accesso non autorizzato o esfiltrazione, richiede verifiche separate.

Come funziona un ripristino serio in un ateneo

Dal punto di vista di chi usa i servizi, il ripristino dovrebbe essere “veloce”. Dal punto di vista di chi deve difendere un’infrastruttura con migliaia di utenti e una miriade di sistemi, il ripristino deve essere sicuro. E sicurezza, in queste ore, vuol dire fare scelte a volte impopolari.

In un incidente come questo di solito si lavora per priorità. Prima si contiene e si misura il danno, poi si porta online ciò che serve davvero per riprendere attività essenziali. In parallelo si alzano barriere aggiuntive sugli accessi e si potenzia il monitoraggio. La fretta è il miglior alleato di chi ha attaccato.

Cosa fare oggi se sei studente, docente o personale

Qui vado sul pratico, perché è la domanda che arriva sempre per prima. Se i servizi sono offline tu hai due rischi. Il primo è restare bloccato sulle scadenze. Il secondo è cadere in un phishing “da emergenza”.

Se devi prenotare un esame o gestire una scadenza

Controlla le comunicazioni della tua struttura e del tuo corso tramite canali alternativi che già usavi prima dell’incidente. Se hai ricevute o documenti già scaricati, salvali in un posto sicuro. Se una prenotazione era già fatta, conserva eventuali prove disponibili senza inseguire procedure improvvisate.

Se ricevi mail o messaggi che parlano di reset password

In questo momento i truffatori giocano di sponda. Un messaggio “se non cambi password perdi l’accesso” funziona perché ti mette ansia. Prenditi un minuto e verifica. Non inserire credenziali su pagine che non riconosci e non aprire allegati inattesi. Se usi la stessa password anche altrove, cambia prima quelle esterne e rendile diverse.

Se sei personale e lavori su sistemi o dati

Qui la regola è una sola: attenersi alle procedure interne e alle indicazioni della struttura tecnica. L’iniziativa individuale, anche se fatta in buona fede, può sporcare evidenze o complicare la bonifica. Se ti viene chiesto di spegnere, isolare o non collegare dispositivi, fallo. Il ripristino è un lavoro di squadra, non di sprint personali.

Guida pratica: cosa fare ora senza alimentare caos

Nei giorni di incidenti informatici la parte difficile non è solo tecnica. È anche comunicativa. Se tutti cercano scorciatoie, la superficie di rischio cresce. Se invece ognuno fa pochi passi sensati, si aiuta davvero.

  • Non cliccare link “di reset” arrivati da chat o gruppi: aspetta indicazioni ufficiali e coerenti tra loro.
  • Se riusi password, cambia quelle esterne: è l’azione più immediata e riduce il rischio di effetti a catena.
  • Salva ricevute e documenti già disponibili: ti aiuta su scadenze e contestazioni senza dipendere dal portale.
  • Segui i canali della tua struttura: dipartimenti e corsi spesso pubblicano istruzioni operative anche quando i sistemi centrali sono fermi.

Suggerimento: se ricevi un messaggio “firmato ateneo” ma con richieste insolite, fermati. Un’istituzione non ti chiede mai password via mail e non ha bisogno dei tuoi codici temporanei. Il phishing gioca sull’urgenza, non sulla precisione.

Il commento dell’esperto

C’è un aspetto che vedo spesso sottovalutato quando si parla di ransomware in ambienti universitari. Si pensa al “server cifrato” come al centro della storia. In realtà il punto critico, quasi sempre, è l’identità. Se l’autenticazione centrale viene isolata o compromessa, si bloccano anche servizi che non sono fisicamente nello stesso posto. È il motivo per cui gli utenti percepiscono un black out totale.

Ed è anche il motivo per cui un ripristino graduale ha senso. Riaccendere tutto insieme è comodo per chi aspetta, ma espone a un rischio enorme. Se la porta che ha permesso l’ingresso non è stata chiusa, tu riporti online la stessa vulnerabilità. La conseguenza è un secondo incidente, spesso peggiore del primo.

La frase “backup non interessati” è un buon segnale, perché indica una separazione utile tra produzione e copie di sicurezza. Però attenzione a un’altra trappola mentale. “Abbiamo backup” non equivale a “siamo fuori pericolo”. Il backup ti dà un piano B. Il piano A resta la bonifica: capire cosa è successo e impedire che succeda di nuovo.

Questo è un commento editoriale: una lettura tecnica basata su ciò che è stato comunicato pubblicamente e su prassi di gestione degli incidenti. Non sostituisce le comunicazioni operative dell’ateneo né le verifiche delle autorità competenti.

A cura di Junior Cristarella.

Domande frequenti

È confermato che sia un ransomware?

A oggi si parla di sospetto ransomware: alcune agenzie e testate lo indicano come ipotesi più probabile. La comunicazione dell’ateneo parla di “attacco informatico” e di blocco precauzionale dei sistemi di rete. La conferma tecnica definitiva richiede analisi e può arrivare in un secondo momento.

Quali servizi risultano coinvolti?

Il sito istituzionale è risultato irraggiungibile e sono stati segnalati disservizi su servizi collegati e su portali usati dalla comunità per attività quotidiane. Il blocco precauzionale della rete può rendere indisponibili più piattaforme che dipendono dall’autenticazione e dall’infrastruttura centrale.

Infostud non funziona: cosa succede con prenotazioni esami e tasse?

Quando il portale studenti è offline conviene essere pratici: conserva ricevute già scaricate e controlla gli avvisi della tua struttura didattica tramite canali alternativi. Per scadenze ravvicinate, contatta segreterie e docenti usando i canali indicati dal corso o dal dipartimento finché i servizi non tornano stabili.

I dati personali sono stati rubati?

Al momento non ci sono comunicazioni pubbliche che confermino un’esfiltrazione. In incidenti di questo tipo si verifica sia l’integrità dei sistemi sia l’eventuale accesso non autorizzato ai dati. Se emergesse una violazione, l’ateneo dovrà comunicarla secondo le regole previste per i data breach.

Devo cambiare password subito?

Segui le istruzioni ufficiali dell’ateneo: in alcune fasi può essere richiesto un reset generalizzato, in altre no. Nel frattempo fai una cosa concreta che dipende solo da te: se hai riutilizzato la stessa password su servizi esterni, cambiala oggi e attiva l’autenticazione a più fattori dove possibile.

Come riconosco un messaggio di phishing legato all’incidente?

Diffida dei messaggi che ti spingono a inserire credenziali su pagine di login “strane”, degli allegati inattesi e delle richieste di codici temporanei o password via mail. Un’altra spia è il tono: urgenza artificiale, minacce di sospensione account e link accorciati. Se hai un dubbio, non cliccare e cerca conferme su canali ufficiali.

Quanto ci vuole per tornare alla normalità?

Un ripristino fatto bene non è solo “riaccendere i server”. Serve verificare che i sistemi siano puliti, che le credenziali non siano state compromesse e che non restino varchi aperti. Per questo si parla di ripristino graduale: i servizi possono tornare a scaglioni.

Perché un blocco precauzionale crea così tanti disservizi?

Molti servizi universitari condividono base rete, autenticazione e directory centrale. Se quella base viene isolata per sicurezza, cadono anche piattaforme che sembrano indipendenti. È frustrante, ma è coerente con una strategia di contenimento.

Timeline dell’incidente: apri le fasi in ordine

Tocca una fase per aprire i passaggi chiave. La timeline aiuta a orientarsi mentre i servizi tornano online a scaglioni.

  1. Fase 1 Mattina del 2 febbraio: sito e servizi irraggiungibili
    • Nelle prime ore del 2 febbraio il sito istituzionale non risponde o va in time out.
    • Vengono segnalati problemi anche su portali legati alla carriera studentesca e alle attività quotidiane.
    • Il disservizio è diffuso e non sembra limitato a una singola pagina o a un singolo servizio.
    • Per la comunità significa una cosa concreta: prenotazioni, pagamenti e accessi diventano incerti.

    Perché conta: Qui la tecnologia smette di essere “sfondo” e diventa infrastruttura vitale per la didattica e per l’amministrazione.

  2. Fase 2 Contenimento: blocco precauzionale dei sistemi di rete
    • L’ateneo dispone il blocco immediato dei sistemi di rete per tutelare integrità e sicurezza dei dati.
    • È una misura che punta a contenere l’incidente e a evitare un effetto domino su altri sistemi.
    • Il prezzo è evidente: molti servizi restano offline finché non si capisce cosa è stato toccato.

    Perché conta: Fermarsi subito, in certi casi, significa evitare di amplificare il danno e di rendere il ripristino più lungo.

  3. Fase 3 Task force e supporto ACN: capire l’estensione dell’incidente
    • Si lavora per analizzare l’estensione dell’incidente e per raccogliere le evidenze utili.
    • Gli esperti dell’Agenzia per la Cybersicurezza Nazionale affiancano i tecnici dell’ateneo.
    • Si valuta quali sistemi siano stati impattati e quali possano essere rimessi online in sicurezza.
    • I backup diventano una parola chiave perché permettono di ricostruire servizi senza “trascinare” compromissioni.
    • Si definiscono priorità operative legate ai servizi essenziali, con ripartenza per scaglioni.

    Perché conta: Prima si capisce dove passa la compromissione, prima si evita di riportarla dentro l’infrastruttura durante il ripristino.

  4. Fase 4 Ripristino graduale: tornare online senza riaprire il varco
    • Il ripristino viene impostato come progressivo, non come riaccensione totale in un colpo.
    • I servizi più critici vengono rialzati dopo verifiche tecniche e controlli di sicurezza.
    • I sistemi ripristinati vanno monitorati, soprattutto nelle prime ore di ritorno alla normalità.
    • La comunicazione verso utenti e strutture diventa fondamentale per ridurre confusione e comportamenti rischiosi.

    Perché conta: La velocità conta, ma conta di più non tornare indietro dopo una nuova compromissione.

  5. Fase 5 Messa in sicurezza e “dopo”: cosa cambia davvero
    • Durante un incidente aumentano i tentativi di truffa e i falsi messaggi di reset password, quindi serve attenzione extra.
    • Se necessario, si passa a procedure di reset credenziali e a controlli più stretti sugli accessi.
    • Si rivedono backup e segmentazione, con l’obiettivo di rendere i sistemi più resilienti al prossimo tentativo.
    • La lezione più importante è pratica: test di ripristino periodici e inventario aggiornato fanno la differenza quando arriva l’urto.

    Perché conta: Un incidente si chiude davvero quando si riduce la probabilità che lo stesso film si ripeta a distanza di poco.

Chiusura

Un incidente ransomware in un’università non è mai solo una questione di tecnici. È una questione di continuità, fiducia e tempi di vita reale. La scelta di bloccare la rete per proteggere i dati è dolorosa per chi ha urgenze quotidiane, ma è coerente con un obiettivo che conta di più: tornare operativi senza riportare il problema dentro i sistemi. Nel frattempo, il contributo migliore che possiamo dare tutti è semplice: prudenza sui messaggi, niente scorciatoie e attenzione alle comunicazioni ufficiali.

Firma digitale di Junior Cristarella
Firma digitale del direttore responsabile
Foto di Junior Cristarella
Autore Junior Cristarella Junior Cristarella dirige Sbircia la Notizia Magazine e segue la cronaca digitale con un approccio basato su comunicazioni ufficiali, riscontri su fonti affidabili e lettura tecnica degli incidenti.
Pubblicato Lunedì 2 febbraio 2026 alle ore 11:25 Aggiornato Lunedì 2 febbraio 2026 alle ore 15:29