L’intrusione nei sistemi informatici delle Gallerie degli Uffizi ha scatenato una lunga serie di verifiche tecniche e giudiziarie.
Secondo fonti investigative, la richiesta di riscatto è stata inviata direttamente al telefono personale del direttore Simone Verde e prevedeva il pagamento in criptovalute entro 72 ore. L’episodio ha messo in luce non solo la vulnerabilità di alcune applicazioni usate dal museo, ma anche le modalità operative di organizzazioni criminali digitali che agiscono su scala internazionale.
Gli interventi dei tecnici della Agenzia per la cybersicurezza nazionale e della polizia postale hanno cercato di ricostruire la catena dell’attacco, verificando se dati sensibili siano stati effettivamente copiati e dove siano finiti. Il caso solleva questioni pratiche sulla protezione delle istituzioni culturali e sull’uso delle tecnologie digitali per la fruizione del patrimonio, quando gli strumenti non aggiornati diventano una porta d’ingresso per i malintenzionati.
Indice dei contenuti:
L’attacco e la richiesta di riscatto
Gli investigatori descrivono l’operazione come pianificata e mirata: i criminali informatici hanno esplorato la rete interna, raccolto file e creato elenchi puntuali del materiale sottratto, che includeva, secondo la comunicazione ricevuta, dati amministrativi, archivi fotografici e mappe delle vie di sicurezza. La richiesta iniziale avrebbe oscillato intorno ai 200 mila euro, per poi stabilirsi in una richiesta considerata “credibile” di 300 mila euro da versare in criptovalute. Il ricatto, inviato con tono professionale, conteneva anche l’avvertimento di pubblicare o vendere il materiale sul dark web qualora la somma non fosse stata corrisposta.
Il messaggio al direttore
Nel testo recapitato a Simone Verde gli autori dell’intrusione si presentavano come un gruppo professionale e non dilettantesco, affermando di aver passato tempo a esaminare la struttura della rete e a selezionare file di interesse. Tra le clausole intimidatorie compariva anche l’ipotesi che qualche membro interno al museo avesse collaborato con gli attaccanti. Questa combinazione di tecniche di pressione e dettagli operativi è tipica delle campagne in cui la esfiltrazione di dati è utilizzata come leva per ottenere un riscatto.
Perché il sospetto ricade su Medusalocker e sull’Est Europa
Chi indaga segnala elementi che rimandano a tattiche collaudate da gruppi attivi nell’area dell’ex blocco sovietico; tra i nomi ricorrenti figura Medusalocker, attivo a livello internazionale dal 2019. Il profilo di queste organizzazioni è quello di strutture che offrono strumenti e supporto ad affiliati, una formula nota come ransomware as a service, cioè un vero e proprio “franchising” del crimine digitale. In questo modello la casa madre sviluppa il malware e una rete di operatori lo utilizza per colpire varie vittime, rendendo il tracciamento più complesso per le autorità.
La filiera operativa
Nel meccanismo descritto dagli esperti, la filiera comprende chi scrive il codice malevolo, i clienti che lo impiegano e un mercato di affiliati che può comprare o affittare strumenti e servizi. Questo ecosistema digitale prevede anche la vendita o l’asta dei file rubati sul dark web, nonché percentuali di spartizione sui riscatti. Il professor Pierluigi Paganini e altri analisti sottolineano come la diffusione di questi strumenti renda potenzialmente accessibile l’attacco anche a soggetti con competenze limitate: basta una mail compromessa o un software non aggiornato per aprire la strada al contagio.
Ipotesi investigative e conseguenze per la sicurezza culturale
Un elemento che complica le indagini nel caso degli Uffizi è l’assenza, finora, della pubblicazione dei dati sul dark web, pratica invece comune in assalti analoghi. Gli inquirenti valutano varie ipotesi: che i file siano stati sottratti su commissione e quindi non messi in vendita pubblica, che il riscatto sia stato effettivamente pagato da terzi oppure che i dati siano ancora conservati in sedi sicure senza essere stati divulgati. Ogni opzione comporta scenari investigativi diversi e impone una riflessione sulle misure di protezione per musei e archivi.
Nel lungo periodo, la vicenda rimarca la necessità di aggiornamenti sistematici dei software utilizzati per la fruizione e la conservazione, la verifica continua dei log di accesso ai server e protocolli condivisi con le autorità competenti. La tutela del patrimonio artistico oggi passa anche per la resilienza informatica: comprendere il funzionamento dei gruppi come Medusalocker e l’economia delle estorsioni digitali è parte integrante di quella protezione.
