Parigi, 19 ottobre 2025.
Sono le prime ore di una domenica mattina quando quattro figure incappucciate, vestite con gilet gialli da operai, salgono su un montacarichi appoggiato alla facciata del museo più famoso al mondo. In sette minuti cronometrati, forzano una finestra della Galleria d’Apollo (Galerie d’Apollon) con una sega circolare, infrangono le teche di vetro e si impossessano di otto gioielli della Corona francese, tra cui la collana e la spilla di Napoleone e la tiara di Giuseppina Bonaparte.
Valore del bottino: 88 milioni di euro. Poi scompaiono nel traffico parigino a bordo di due scooter.
Quello che poteva sembrare il perfetto colpo organizzato da raffinati criminali si è rivelato invece una rapina messa in atto da ladruncoli di periferia, già noti alla polizia per furti minori.
Come hanno potuto penetrare nella fortezza del Louvre con tale facilità? La risposta non sta nelle loro abilità, ma nelle clamorose falle di sicurezza di un’istituzione che custodisce tesori inestimabili.
Il segreto più imbarazzante: la password era “Louvre”
Quando l’inchiesta giudiziaria ha iniziato a scavare nelle dinamiche del furto, è emerso un particolare che ha lasciato senza parole investigatori, esperti di sicurezza e l’opinione pubblica francese.
Secondo documenti riservati ottenuti dal quotidiano Libération, per accedere al server della videosorveglianza del Louvre bastava digitare una password tanto banale quanto imbarazzante: “Louvre”. Proprio così, il nome del museo stesso.
Non è tutto. Un altro sistema di sicurezza utilizzava come credenziale “Thales“, semplicemente il nome dell’azienda fornitrice del software. Come se un cittadino proteggesse la propria banca online con la password “123456” o, peggio ancora, con il nome della banca stessa.
La procuratrice capo di Parigi, Laure Beccuau, ha confermato che i sospettati arrestati sono “criminali di basso profilo i cui ritratti non corrispondono a quelli generalmente associati ai vertici della criminalità organizzata”. In altre parole: non servivano hacker sofisticati o organizzazioni internazionali per violare i sistemi del Louvre. Bastava la password più ovvia del mondo.
Vent’anni di allarmi inascoltati
Le vulnerabilità del Louvre non erano un segreto. Già nel dicembre 2014, tre esperti dell’Agenzia nazionale per la sicurezza dei sistemi informatici (ANSSI) avevano condotto un audit interno richiesto dal museo.
Gli esperti analizzando il cosiddetto “réseau de sûreté” la rete che collega i dispositivi più sensibili — telecamere, allarmi, controllo accessi hanno riscontrato che le applicazioni e i sistemi installati presentavano numerose vulnerabilità. Nel corso del test, sono riusciti ad accedere nel sistema partendo da un semplice computer della rete interna e, da lì, ai server di videosorveglianza e alle basi dati dei badge.
L’ANSSI al temine dell’audit raccomandava di introdurre password complesse, migrare i sistemi obsoleti e correggere le vulnerabilità note.
Un secondo audit, condotto dal 2015 al 2017 dall’INHESJ (Istituto Nazionale di Studi Avanzati sulla Sicurezza e la Giustizia), confermava e amplificava le criticità già note. Il documento denunciava “la
persistenza delle stesse vulnerabilità: sistemi informatici obsoleti, password prevedibili e carenze nelle procedure di aggiornamento”. E ammoniva: “Il museo non può più ignorare di poter essere vittima di un attacco le cui conseguenze sarebbero drammatiche”.
Eppure, nonostante questi avvertimenti ufficiali, nulla è cambiato.
Informatica e videosorveglianza da museo
Le indagini hanno inoltre svelato che diversi server di sicurezza funzionavano ancora con Windows 2000 e Windows Server 2003, sistemi operativi che Microsoft ha smesso di supportare rispettivamente nel 2010 e nel 2015. Alcune postazioni utilizzavano addirittura Windows XP, abbandonato da Microsoft nel 2014.
Otto programmi critici per la sicurezza del museo risultavano “non più aggiornabili”, incluso Sathi, il software di supervisione della videosorveglianza acquistato nel 2003 da Thales. Sistemi vecchi di oltre vent’anni, praticamente fossili nell’era digitale.
Questo si traduce in una mancanza di aggiornamenti di sicurezza, nessuna correzione per le vulnerabilità, antivirus obsoleti e inefficaci. Un po’ come lasciare le chiavi di casa sotto lo zerbino.
Per non parlare del sistema di videosorveglianza che è risultato un vero patchwork tecnologico stratificato nel tempo. Come ha spiegato il capo della polizia di Parigi, Patrice Faure, durante un’audizione al Senato, ampie parti del sistema sono ancora analogiche e producono immagini di bassa qualità, difficili da analizzare e lente da trasmettere in tempo reale.
Inoltre, secondo una relazione della Corte dei conti francese, molte stanze del museo erano completamente prive di telecamere. Questo spiega perché i ladri hanno potuto agire quasi indisturbati. Tanto che la prima segnalazione alla polizia non è nemmeno arrivata dai sistemi di sicurezza interni, ma da un ciclista che si trovava per strada e si è insospettito vedendo una persona con un gilet catarifrangente su un montacarichi addossato alla facciata del museo di domenica mattina.
Una governance inadeguata e una cultura della sicurezza inesistente
La ministra della Cultura, Rachida Dati, ha dovuto ammettere pubblicamente l’evidenza: “Una sottovalutazione cronica e strutturale del rischio di furti”. Le conclusioni dell’indagine preliminare dell’ispettorato del ministero della Cultura parlano chiaro: “Falle nella sicurezza” e una ventennale “sottovalutazione dei rischi strutturali legati al furto di opere d’arte”.
Il problema non è solo tecnico, ma culturale e organizzativo. Il Louvre ha fino ad ora trattato la sicurezza informatica come una spesa accessoria, un adempimento burocratico, piuttosto che come un investimento strategico per proteggere un patrimonio inestimabile. La manutenzione è stata frammentaria, gli aggiornamenti incompleti, i protocolli obsoleti. Una governance inefficiente dove la responsabilità è diluita tra personale interno e fornitori esterni, senza una chiara catena di comando.
Un problema che va oltre il Louvre
Ma non si tratta di un caso unico, perché il problema affligge molte istituzioni culturali e pubbliche in tutto il mondo. Musei, biblioteche, archivi: troppo spesso i sistemi di sicurezza fisica e digitale si basano su tecnologie datate, non aggiornate, gestite con superficialità.
Secondo il rapporto NordPass 2024, la password più usata in Italia è ancora “123456” per accedere a dati sensibili di clienti, dipendenti o cittadini. Cambiano i contesti e le istituzioni, ma la superficialità resta identica. Come ha evidenziato uno studio recente, solo il 49% delle aziende che hanno subito un attacco informatico decide poi di investire in cybersecurity.
Un dato che fotografa una mentalità ancora troppo reattiva invece che preventiva e una formazione in sicurezza informatica ancora drammaticamente carente.
Troppo spesso si pensa che basti installare un antivirus o un firewall per essere protetti, ignorando che la sicurezza è un processo continuo di conoscenza che richiede competenze, aggiornamenti costanti, procedure rigorose e, soprattutto, una consapevolezza condivisa a tutti i livelli dell’organizzazione e che si costruisce nel tempo attraverso percorsi formativi all’altezza della sfida che questo periodo storico ci mette davanti.
