Anche la Venere del Botticelli ha bisogno dei giusti antivirus e di persone formate per proteggerla. La verità del direttore degli Uffizi
Firenze, tra la fine di gennaio e il primo febbraio 2026. Mentre i turisti di tutto il mondo fanno la fila per ammirare la Primavera o l’Annunciazione di Leonardo, qualcosa di invisibile e pericoloso accade nelle viscere digitali di uno dei musei più famosi d’Italia. Attraverso un software per la gestione delle immagini a bassa risoluzione, accessibile dal sito istituzionale, un gruppo di cyber-criminali è entrato violando la rete delle Gallerie degli Uffizi e infiltrandosi nei sistemi amministrativi dell’intero polo museale fiorentino.
Ma non è stato un blitz improvviso.
L’attacco, secondo alcune ricostruzioni, potrebbe avere radici ancora più lontane: le sue tracce risalirebbero all’estate del 2025, con una fase preparatoria lunga mesi durante la quale gli attaccanti si sono mossi in silenzio tra le infrastrutture di Uffizi, Palazzo Pitti e Giardino di Boboli. È la tecnica classica dei professionisti del crimine informatico: entrare piano, restare nell’ombra, raccogliere tutto il possibile e solo alla fine sferrare il colpo.
Le rivelazioni del Corriere: lo scenario peggiore
Per settimane la vicenda era rimasta confinata agli ambienti investigativi, con il museo che minimizzava parlando di un semplice disservizio ai sistemi amministrativi. Poi, all’inizio di aprile, il Corriere della Sera ha rivelato uno scenario ben più inquietante.
Secondo il quotidiano, il gruppo hacker avrebbe svuotato i server dell’intero Polo Museale: non solo sarebbe stato rubato l’intero archivio del gabinetto fotografico, ma i criminali sarebbero riusciti a entrare nei sistemi dell’ufficio tecnico, mettendo le mani su codici di accesso, password, sistemi di allarme, mappe interne, ingressi, uscite e percorsi di servizio, oltre alla posizione di telecamere di sorveglianza e sensori.
Il quadro che emerge è da thriller: con quelle informazioni, una banda di ladri potrebbe muoversi indisturbata tra i capolavori, sapendo esattamente dove passare, cosa evitare, cosa disattivare. Un manuale d’istruzioni per svaligiare il museo più visitato d’Italia, consegnato su un piatto d’argento digitale.
Sull’accaduto indagano ora la Procura e la Polizia Postale, affiancate dagli esperti dell’Agenzia per la Cybersicurezza Nazionale, mentre i contatti con i ricattatori sembrano essersi interrotti da alcune settimane, lasciando il museo in un clima di attesa e massima allerta.
Il riscatto sul telefono del direttore
Una richiesta di 300 mila euro in criptovalute, da pagare entro 72 ore, è arrivata direttamente sul telefono personale del direttore Simone Verde, all’inizio di febbraio.
Non una mail istituzionale, non una comunicazione formale: un messaggio privato e intimidatorio, recapitato sul dispositivo personale di chi guida il museo. Un gesto che dice molto sulla sofisticazione degli aggressori, sulla profondità della loro infiltrazione e sulla loro volontà di fare pressione psicologica diretta.
Dal punto di vista tecnico, alcune fonti specializzate hanno ricondotto l’attacco al ransomware di ultima generazione BabLock, noto anche come Rorschach, caratterizzato da velocità di cifratura elevata e tecniche di evasione avanzate, capaci di aggirare molti sistemi di rilevamento tradizionali. La modalità operativa corrisponde a quella di un attacco APT — Advanced Persistent Threat — un’intrusione informatica molto sofisticata: gli hacker entrano da un punto debole secondario, restano nascosti nella rete per molto tempo senza farsi notare, si spostano da un sistema all’altro e raccolgono dati poco alla volta. È un attacco lento e silenzioso, dove vince chi ha più pazienza.
La risposta del museo: “Niente furto, niente danno”
La direzione degli Uffizi non ci sta e risponde punto per punto. In una lunga e dura nota, le Gallerie smentiscono l’allarme del Corriere: nessun furto di informazioni sensibili, archivio fotografico recuperato con un backup e lavori di sicurezza programmati ben prima dell’attacco.
Sul capitolo più delicato — le mappe e i codici di sicurezza — la replica del museo è netta: nessuna password dei sistemi di sicurezza sarebbe stata sottratta perché quei sistemi funzionano su circuito chiuso interno; non esisterebbero prove sul possesso di mappe della sicurezza; e la collocazione delle telecamere è per definizione visibile a qualunque visitatore che alzi la testa.
Anche sul presunto furto dei backup fotografici, gli Uffizi precisano che il server non è stato rubato e che il backup effettuato è completo, con tutto l’archivio pienamente in mano al museo.
Sta di fatto che ora il Museo ha spostato di corsa Il tesoro granducale dei Medici nel caveau fiorentino della Banca d’Italia, ha murato alcune porte e ha chiesto al personale massima riservatezza. Sembra una situazione da trincea anche se il Museo giustifica queste azioni con l’avvio di cantieri già preventivati da tempo e lavori in corso di vario tipo.
Al di là dei battibecchi tra il Corriere della Sera e il Museo, la verità, come spesso accade, potrebbe stare nel mezzo. Il punto decisivo è nella distinzione tra un attacco ai sistemi di lavoro e una compromissione accertata del perimetro fisico di sicurezza: due piani diversi. Nel primo si misurano continuità operativa, backup, archivi, email e capacità di risposta. Nel secondo si parlerebbe di allarmi, sensori, percorsi di servizio e protezione immediata delle opere.
Un’emergenza nazionale
La vicenda è arrivata in Parlamento: il PD alla Camera ha presentato un’interrogazione per chiedere al ministro della Cultura Alessandro Giuli di chiarire con urgenza quanto spende il MIC in cybersicurezza per proteggere le istituzioni culturali.
Perché oggi un attacco informatico ai sistemi culturali può tradursi in una forma di erosione dell’identità nazionale, tanto più grave in un’epoca in cui la conoscenza e la fruizione del patrimonio passano sempre più dal digitale.
Il fattore umano: la vulnerabilità che nessun firewall può correggere
Come dicevamo, la porta d’ingresso dei cyber criminali era un vecchio software utilizzato ogni giorno da centinaia di migliaia di persone in tutto il mondo per scaricare le foto dei capolavori dell’enorme patrimonio artistico:
“Era uno dei pochi a non essere stato aggiornato dal nostro responsabile informatico”, dicono all’interno del museo, secondo quanto riporta la testata “Quotidiano Arte”.
Un punto che mette a fuoco un concetto ormai assodato: la sicurezza informatica è, prima di tutto, una questione di cultura e responsabilità condivisa e spesso la tecnologia da sola non basta.
Formare il personale diventa, quindi, un dovere istituzionale, tanto quanto restaurare un affresco o catalogare una collezione. I criminali, infatti, colpiscono quasi sempre per opportunità: dove trovano sistemi esposti, programmi vetusti, identità deboli e monitoraggio insufficiente. E spesso quelle debolezze non sono nei server, ma nelle persone che li usano: un dipendente che clicca su un’email sospetta, una password condivisa, un aggiornamento software ignorato per troppo tempo.
In un contesto di istituzioni sempre più digitalizzate, tecnologie obsolete, infrastrutture inadeguate e budget limitati impediscono a molte realtà culturali di implementare strategie strutturate di cybersecurity.
Ma la formazione del personale è la prima, irrinunciabile linea di difesa: sapere riconoscere un tentativo di phishing, capire perché gli aggiornamenti software vanno installati, comprendere il valore delle informazioni che si maneggiano ogni giorno. Nessun investimento tecnologico, per quanto milionario, può compensare la mancanza di una cultura della sicurezza diffusa a ogni livello dell’organizzazione.
