Infrastrutture digitali sotto pressione: cosa ci insegnano gli attacchi agli Uffizi e a Booking

Nel primo semestre del 2025 l’Agenzia per la Cybersicurezza Nazionale ha censito 1.549 eventi cyber in Italia, il 53% in più rispetto allo stesso periodo dell’anno precedente. Gli incidenti con impatto confermato sono quasi raddoppiati, passando da 175 a 346. Non si tratta di un’anomalia, ma di una tendenza consolidata: la superficie d’attacco si allarga ogni anno e la frequenza degli eventi cresce con essa. I settori più colpiti in modo sistematico restano la pubblica amministrazione, sia centrale che locale, le telecomunicazioni e il comparto finanziario. Ma il dato che ha cambiato la percezione del problema nel 2026 è un altro: i target si sono allargati fino a comprendere istituzioni culturali, atenei e piattaforme digitali di massa. La logica degli attaccanti si è spostata, e con essa deve spostarsi anche quella dei difensori.

Il caso Uffizi: un attacco identitario

Tra la fine di gennaio e i primi giorni di febbraio 2026, un gruppo di hacker ha violato la rete informatica delle Gallerie degli Uffizi di Firenze, polo museale che comprende anche Palazzo Pitti e il Giardino di Boboli. Secondo le ricostruzioni confermate dalla procura di Firenze, che ha aperto un fascicolo per tentata estorsione e accesso abusivo ai sistemi informatici, l’intrusione ha compromesso una ventina di macchine concentrate sui servizi amministrativi. Il vettore d’ingresso sarebbe stato un bug nel sistema di download delle immagini a bassa risoluzione sul sito istituzionale: una vulnerabilità apparentemente marginale che ha permesso agli attaccanti di risalire fino ai server centrali.

La richiesta di riscatto, circa 300mila euro, è arrivata direttamente al direttore Simone Verde: cifra bassa rispetto all’entità del patrimonio gestito, quasi dimostrativa. Il team dell’ACN, l’Agenzia per la Cybersicurezza Nazionale, è intervenuto per la bonifica dei sistemi e per ricostruire la catena dell’attacco. Le indagini della Polizia Postale sono in corso per determinare la provenienza degli autori.

Quello che conta, al di là dei dettagli ancora da chiarire, è la tipologia dell’obiettivo. Un museo non è un’infrastruttura critica nel senso tradizionale del termine, eppure custodisce banche dati sensibili, accessi fisici, sistemi di sorveglianza, piani di sicurezza, che nelle mani sbagliate valgono ben oltre 300mila euro. È il segnale che il concetto di “asset strategico” da difendere non coincide più soltanto con ospedali, reti energetiche o sistemi bancari.

La Sapienza e il pattern universitario

In coincidenza temporale con l’attacco agli Uffizi, anche l’Università La Sapienza di Roma ha subito un’intrusione. Evento distinto e autori diversi, ma comunicato nello stesso arco di tempo. Non è la prima volta che il mondo accademico finisce nel mirino: a maggio 2025, il gruppo ransomware INC aveva già colpito l’Università Roma Tre, come documentato dall’Operational Summary dell’ACN di quello stesso mese. Le università rappresentano bersagli attraenti per ragioni strutturali: reti aperte per natura, alta rotazione di utenti, spesso budget IT limitati rispetto alla complessità dei sistemi da proteggere. I dati gestiti, anagrafica studenti, ricerche finanziate, accessi a banche dati internazionali, hanno un valore commerciale e potenzialmente strategico non trascurabile.

Booking.com: quando il danno è la fiducia

Il 12 aprile 2026, migliaia di utenti hanno ricevuto una notifica ufficiale da Booking.com: accesso non autorizzato a dati di prenotazione, nomi, indirizzi email e numeri di telefono. La piattaforma ha confermato la violazione, ha forzato il reset dei PIN per le prenotazioni in corso e ha escluso che le informazioni finanziarie siano state compromesse (i sistemi di pagamento si trovano su un’infrastruttura separata). L’entità della violazione, in termini di numero di utenti coinvolti, non è stata comunicata.

Il caso è tecnicamente diverso dagli attacchi alle istituzioni italiane, ma vale la pena includerlo nell’analisi per due motivi. Il primo è che dimostra come la supply chain digitale, cioè le piattaforme internazionali su cui milioni di italiani si appoggiano quotidianamente, sia parte integrante del rischio sistemico. Il secondo è che evidenzia un vettore di attacco sempre più comune: non la compromissione diretta dei sistemi core, ma l’esfiltrazione silenziosa di dati che vengono poi sfruttati per campagne di phishing mirato. I dati rubati, in questo caso, non valgono per sé ma per quello che permettono di fare dopo.

La struttura della difesa italiana

L’Italia ha costruito negli ultimi tre anni un’architettura di risposta che prima non esisteva. L’Agenzia per la Cybersicurezza Nazionale, istituita nel 2021, è diventata l’hub operativo della sicurezza cibernetica nazionale. Il suo braccio tecnico è il Computer Security Incident Response Team (CSIRT Italia) e, nel primo semestre 2025, ha emesso oltre 23mila comunicazioni di allertamento preventivo, il 9% in più rispetto al 2024, e ha pubblicato 329 avvisi tecnici con contromisure operative. È un sistema che funziona in modalità reattiva e, sempre di più, preventiva.

L’entrata in vigore della Legge 90/2024 e del D.lgs 138/2024, che recepisce la Network and Information Security Directive 2 (NIS2), cioè la normativa europea di cybersecurity entrata in vigore a gennaio 2023 e recepita in Italia per aumentare il livello di sicurezza informatica dell’UE, ha ampliato significativamente il perimetro dei soggetti obbligati a notificare gli incidenti e ad adottare misure minime di sicurezza. Ospedali, enti locali, operatori di servizi essenziali, fornitori digitali della PA: l’obbligo di compliance è diventato molto più esteso. Questo spiega in parte l’aumento degli incidenti registrati: non necessariamente più attacchi, ma più attacchi visibili grazie a una rete di segnalazione più fitta.

Le fragilità che restano

Il quadro non è privo di criticità. La prima riguarda la PA locale: comuni e regioni continuano a essere tra i bersagli più colpiti e tra quelli con minore capacità di difesa strutturata. La frammentazione degli uffici IT, la carenza di personale specializzato e la dipendenza da software datati sono problemi noti da anni che nessuna direttiva europea risolve da sola. La seconda fragilità riguarda i cosiddetti “soft target” (musei, università, enti culturali) che fino a poco fa erano fuori dall’orizzonte della pianificazione di sicurezza e che ora si ritrovano esposti senza gli strumenti adeguati. La cultura della resilienza informatica non si trasferisce automaticamente dai settori ad alta regolamentazione a quelli tradizionalmente esclusi dalle norme settoriali. Sul fronte delle imprese, la NIS2 è operativa ma molte PMI faticano ancora a distinguere tra adempimento formale e postura di sicurezza reale. La cyber insurance sta diventando un parametro di valutazione del rischio aziendale, le compagnie assicurative oggi richiedono evidenze tecniche prima di emettere una polizza, il che sta indirettamente spingendo le imprese verso investimenti più strutturati. È un meccanismo di mercato che supplisce, almeno in parte, alla lentezza della regolamentazione.

Un sistema in costruzione

L’Italia del 2026 ha strumenti che nel 2020 non aveva: un’agenzia dedicata, un quadro normativo allineato all’Europa, procedure di notifica obbligatoria e capacità di risposta che si dimostrano ogni mese più efficaci. Non è poco. Il lavoro incompiuto riguarda la capillarità: portare quella cultura operativa nei gangli della pubblica amministrazione minore, nelle istituzioni culturali, nelle università. Il caso degli Uffizi ha reso evidente che la prossima linea del fronte non è dove la si aspettava.