Un software per la gestione delle immagini a bassa risoluzione, accessibile dal sito istituzionale, è stato il punto d’ingresso. Da lì, un gruppo di hacker ha violato la rete delle Gallerie degli Uffizi tra la fine di gennaio e l’inizio di febbraio 2026, infiltrandosi nei sistemi amministrativi dell’intero polo museale fiorentino. L’attacco, secondo alcune ricostruzioni, potrebbe avere radici ancora più lontane: tracce risalirebbero all’estate 2025, con una fase preparatoria lunga mesi durante la quale gli attaccanti si sono mossi in silenzio tra le infrastrutture di Uffizi, Palazzo Pitti e Giardino di Boboli. Hanno del clamorose le rivelazioni pubblicate dal Corriere della Sera subito prima di Pasqua che hanno sollevato, immancabilmente, un vespaio di polemiche, mentre sono ancora in corso le indagini della Procura.
Come sarebbe avvenuta l’intrusione nei sistemi museali
Dal punto di vista tecnico, alcune fonti specializzate hanno ricondotto l’attacco al ceppo ransomware BabLock, noto anche come Rorschach, già associato a un’intrusione alla Sapienza di Roma avvenuta nella stessa notte. BabLock è un ransomware di nuova generazione caratterizzato da velocità di cifratura elevata e tecniche di evasione avanzate, capaci di aggirare molti sistemi di rilevamento tradizionali. La modalità operativa descritta corrisponde a quella di un attacco APT, Advanced Persistent Threat, e cioè ingresso attraverso una vulnerabilità periferica, permanenza prolungata nella rete senza generare anomalie visibili nei log, movimento laterale tra i sistemi collegati, raccolta progressiva di dati.
Una tecnica definita “low-and-slow”, in cui gli attaccanti non agiscono d’impulso ma costruiscono nel tempo un accesso sempre più profondo, copiando e trasferendo dati con pazienza, per settimane o mesi, prima di rendere visibile l’intrusione. Giuseppe Mocerino, presidente di Netgroup, azienda italiana specializzata in cybersecurity e protezione delle infrastrutture digitali complesse, ha inquadrato il caso dentro un modello ormai consolidato. Quando parla di “intrusioni prolungate” e “presenza silenziosa”, descrive esattamente questa tecnica: gli attaccanti entrano sfruttando vulnerabilità anche marginali, si installano all’interno dei sistemi senza produrre anomalie evidenti e avviano una raccolta progressiva di dati. Il riferimento ai “segnali deboli” è centrale nella sua analisi: non si tratta di alert evidenti o di attacchi improvvisi, ma di micro-anomalie distribuite nel tempo, difficili da correlare tra loro. Se non vengono lette in modo sistemico, passano inosservate.
Dati sottratti e implicazioni sulla sicurezza
Mocerino sottolinea poi un secondo aspetto legato alla natura dei dati sottratti. Non solo archivi digitali, ma informazioni operative come mappe, accessi e configurazioni dei sistemi di sicurezza, che consentono di comprendere e potenzialmente aggirare il funzionamento di un’infrastruttura complessa. Il caso è rimasto per settimane a livello investigativo, poi è esploso come notizia nazionale quando il Corriere della Sera ha ricostruito una compromissione ben più grave di quanto inizialmente comunicato con server svuotati, archivio fotografico del gabinetto sottratto, accesso alle credenziali tecniche e alle mappe interne. Gli hacker avrebbero inviato una richiesta di riscatto direttamente sul cellulare del direttore Simone Verde, minacciando di mettere in vendita sul dark web le informazioni trafugate. Dopo alcuni contatti, le comunicazioni si sono interrotte.
La risposta del museo è stata articolata. Le Gallerie hanno smentito il furto di password (i sistemi di sicurezza fisica operano su circuiti chiusi interni), hanno spiegato che l’archivio fotografico è stato ripristinato grazie a un backup e che il trasferimento del Tesoro dei Granduchi nel caveau della Banca d’Italia era pianificato già dall’autunno 2025 per lavori di ristrutturazione. Le porte murate nel complesso sarebbero state richieste dal piano antincendio. Al momento della notizia, nessuna evidenza pubblica di diffusione dei dati sul dark web era stata rilevata, ma il rischio di utilizzo mirato o vendita privata restava valutato come elevato dagli esperti.
L’indagine coinvolge la Procura di Firenze, la Polizia Postale e l’Agenzia per la Cybersicurezza Nazionale guidata da Bruno Frattasi, attivata con un team dedicato alla bonifica dei server e all’identificazione delle vulnerabilità. Il fascicolo è aperto contro ignoti, con l’obiettivo di risalire alla provenienza geografica degli autori. Sul piano politico, il Pd ha presentato un’interrogazione alla Camera chiedendo al ministro della Cultura Alessandro Giuli di chiarire la spesa del Ministero in cybersicurezza per le istituzioni culturali. Il caso si inserisce in una serie di attacchi ai grandi musei europei: il British Museum nel 2023 e il Louvre nell’agosto 2025, dove una rapina fisica da 102 milioni di euro in gioielli aveva già mostrato quanto la sicurezza museale fosse diventata un problema sistemico.
Il dato che pesa di più, al di là della disputa tra quanto riportato dalla stampa e quanto smentito dalla direzione, è strutturale: chi ottiene accesso ai dati operativi di un museo sa come muoversi fisicamente al suo interno, dove sono i sensori, quali percorsi usano le guardie. La linea tra sicurezza digitale e sicurezza fisica, come ha osservato Mocerino, è sempre più sottile. E ignorare i segnali deboli, in questo contesto, ha un costo che va ben oltre il dato informatico.
Indagini e reazioni politiche sul caso Uffizi
L’indagine coinvolge la Procura di Firenze, la Polizia Postale e l’Agenzia per la Cybersicurezza Nazionale guidata da Bruno Frattasi, attivata con un team dedicato alla bonifica dei server e all’identificazione delle vulnerabilità. Il fascicolo è aperto contro ignoti, con l’obiettivo di risalire alla provenienza geografica degli autori.
Sul piano politico, il leader di Italia Viva Matteo Renzi ha presentato un’interrogazione alla Camera chiedendo al ministro della Cultura Alessandro Giuli di chiarire la spesa del Ministero in cybersicurezza per le istituzioni culturali. Molto preoccupata si è detta la sindaca di Firenze Sara Funaro: “La cybersicurezza è un tema che preoccupa, soprattutto quando viene attaccato un’istituzione culturale come quella degli Uffizi che è un punto di riferimento a livello, non solo fiorentino, ma mondiale. Il tema della cybersicurezza è un tema molto serio – ha proseguito Funaro- che va affrontato con grande attenzione, sul quale bisogna mettere in campo strumenti che siano sempre innovativi. Ovviamente tutto il nostro supporto, per quello che possiamo fare, e la mia vicinanza al direttore degli Uffizi Simone Verde, che si trova a gestire un momento molto complesso”. A gettare altra benzina sul fuoco delle polemiche è stato poi Andrea Vannucci, vicecapogruppo Pd in Consiglio regionale in Toscano: “Assurdo il silenzio da parte del Governo, ora faccia chiarezza. Da parte del Governo e del ministro Giuli è ora fondamentale fare piena luce su quanto accaduto. Un episodio di questo tipo pone seri interrogativi sull’adeguatezza dei sistemi di sicurezza e di cybersicurezza a tutela di un’istituzione tra le più importanti al mondo. Investire nella cultura significa investire anche nella sua tutela e questo passa da infrastrutture digitali sicure e aggiornate”.
Il caso si inserisce in una serie di attacchi ai grandi musei europei, dal British Museum nel 2023 al Louvre nell’agosto 2025, dove una rapina fisica da 102 milioni di euro in gioielli aveva già mostrato quanto la sicurezza museale fosse diventata un problema sistemico.
