Uffizi, attacco hacker: 20 macchine compromesse e indagini

Firenze, 4 aprile 2026. L'aggiornamento che ridisegna il caso Uffizi sta in un dato operativo e in un dato giudiziario. Il primo: l'intrusione informatica ha coinvolto circa venti macchine. Il secondo: la Procura di Firenze procede contro ignoti per tentata estorsione e accesso abusivo a sistemi informatici. La finestra temporale resta quella compresa fra la fine di gennaio e i primi giorni di febbraio. Il museo continua invece a escludere, allo stato dei riscontri pubblici, furti di dati e perdita di informazioni, così come una compromissione dimostrata dei sistemi fisici di sicurezza.

Questo testo aggiorna il nostro approfondimento del 3 aprile. Il quadro emerso ieri reggeva già sulla distinzione decisiva tra violazione dei sistemi di lavoro e prova di una falla nel perimetro che protegge le opere. Oggi quella lettura acquista più peso, perché la dimensione tecnica dell'attacco è meno sfumata mentre il versante più sensibile, quello dei dispositivi fisici di sicurezza, resta ancora senza conferme pubbliche equivalenti.

Abbiamo consolidato la ricostruzione confrontando il portale ufficiale delle Gallerie degli Uffizi con i riscontri pubblicati da ANSA, Reuters, Sky TG24, Corriere e Repubblica Firenze. Il fatto che oggi regge senza ambiguità è la scala dell'incidente. Il punto che resta aperto riguarda invece il contenuto effettivo del materiale sottratto e il valore economico della richiesta estorsiva.

Il dato nuovo non è solo quantitativo

Una compromissione di questa ampiezza sugli endpoint non descrive un inciampo locale. Implica contenimento immediato delle postazioni e revisione delle credenziali, con successivo ripristino delle copie di sicurezza. In una struttura di questa complessità il numero misura soprattutto l'impatto sulla continuità operativa.

Il fascicolo della Procura sposta il caso sul terreno giusto

La Procura di Firenze ha aperto un fascicolo contro ignoti con un perimetro penale già preciso. Questo dettaglio conta più di qualunque formula generica sull'attacco subito da un museo, perché indica che gli investigatori non stanno trattando l'episodio come un semplice blocco tecnico. L'ipotesi di tentata estorsione colloca al centro il ricatto economico. L'ipotesi di accesso abusivo definisce invece la natura dell'intrusione. Le indagini affidate alla Polizia postale con il supporto dell'Agenzia per la Cybersicurezza Nazionale confermano che la vicenda ha rilievo pienamente istituzionale.

La richiesta di riscatto esiste, la cifra no

Su questo punto occorre disciplina. L'esistenza della richiesta estorsiva è confermata e risulta indirizzata al direttore Simone Verde. L'importo, invece, non può ancora essere trattato come definitivo. Nelle ricostruzioni pubbliche del 4 aprile il dato oscilla tra 200mila e 300mila euro. Finché la cifra non sarà fissata da un atto investigativo o da una comunicazione ufficiale, trasformarla in certezza significherebbe sovrapporre le versioni anziché ordinarle. Il fatto saldo, per ora, è il ricatto. La somma resta un punto da chiudere.

Dove passa la linea che il museo continua a difendere

La direzione mantiene una posizione molto netta. Esclude furti accertati e perdita di informazioni. Aggiunge che il backup del server fotografico era completo, che i telefoni del personale non risultano infiltrati e che non esistono prove pubbliche sul possesso di mappe della sicurezza da parte degli aggressori. C'è poi un elemento tecnico che pesa: le password dei sistemi di sicurezza, secondo il museo, non sarebbero state sottratte perché quegli apparati operano su una rete separata e interna. Se questa segmentazione regge ai riscontri, il danno resta serio ma cambia bersaglio operativo. Colpisce procedure, archivi di lavoro e tempi di risposta. Non autorizza, da solo, a concludere che gli aggressori abbiano avuto accesso al controllo fisico del complesso.

Telecamere, Tesoro dei Granduchi e cronologia reale

Qui si è creata la confusione più vistosa. Il passaggio dalle telecamere analogiche a quelle digitali viene collocato dalla direzione in un percorso già avviato. Nell'avviso istituzionale compare inoltre la chiusura temporanea del Tesoro dei Granduchi dal 3 febbraio 2026 per manutenzione straordinaria. Questo non riduce la gravità del cyberattacco. Serve però a separare due piani che, nella percezione esterna, sono stati fusi troppo in fretta: da una parte un'intrusione informatica reale, dall'altra lavori e misure logistiche che avevano una cronologia autonoma.

Perché la rete amministrativa di un grande museo vale quasi quanto un deposito

Chi legge l'infrastruttura amministrativa come un segmento secondario sottovaluta la natura del problema. È in quella rete che transitano immagini, documentazione tecnica e pratiche quotidiane, insieme ai rapporti con fornitori e alla macchina organizzativa interna. Per un gruppo estorsivo basta questo per produrre pressione economica e danno reputazionale, anche senza toccare materialmente una sola opera. Il caso Uffizi interessa quindi oltre Firenze, perché mostra quanto il patrimonio culturale italiano sia esposto sul versante meno visibile ma più sfruttabile, quello dei sistemi che tengono insieme il lavoro quotidiano.

Il punto fermo del 4 aprile

Il caso ha finalmente un ordine di grandezza più chiaro. L'intrusione non può essere derubricata, perché la sua estensione e l'inchiesta per estorsione descrivono un episodio serio. Allo stesso tempo manca ancora, nei riscontri pubblicamente verificabili, la prova che trasformi in fatto accertato tutto ciò che è stato evocato sulla sicurezza fisica del polo museale. È su questo confine che si misura la qualità della risposta istituzionale e anche la solidità del racconto pubblico.