I danni dei cyberattacchi alle università stanno crescendo: ecco cosa si può fare?

Le università stanno diventando un bersaglio sempre più appetibile per il cybercrime, perché concentrano in un unico ecosistema dati personali, credenziali di accesso, pagamenti, servizi cloud e infrastrutture di ricerca. In Italia, i casi recenti mostrano come un incidente possa bloccare portali e servizi interni, rallentare attività amministrative e interrompere processi didattici.

Il trend non riguarda solo la compromissione tecnica. Le campagne mirate agli atenei usano spesso attacchi di phishing ben confezionato, con esche che imitano comunicazioni ufficiali, e puntano a sottrarre credenziali di posta istituzionale, un passaggio che può aprire la strada a movimenti laterali, nonché a compromissioni più ampie. Nel 2025 il CERT-AGID ha segnalato settimane con decine di campagne malevole e casi rivolti esplicitamente a studenti, nonché al personale, di università italiane.

Perché gli atenei sono un obiettivo così interessante?

Le università combinano ambienti eterogenei e spesso distribuiti. Ci sono reti di dipartimento, laboratori con strumenti specialistici, piattaforme e-learning, servizi di segreteria, biblioteche digitali e account per migliaia di utenti con livelli di competenza molto diversi. Questa complessità aumenta la superficie di attacco rendendo più difficile standardizzare patch, configurazioni e controlli.

In parallelo, la ricerca produce asset ad alto valore. Dataset, proprietà intellettuale, progetti finanziati e documentazione possono essere monetizzati tramite l’estorsione o la rivendita. Anche quando l’obiettivo è “solo” l’interruzione dei servizi, i costi indiretti sono elevati perché si traducono in ore di lavoro perse, necessità di ripristini urgenti e interventi di consulenza.

Le minacce più diffuse nel contesto universitario

Il ransomware resta una delle minacce informatiche più critiche per il contesto universitario, perché colpisce direttamente la disponibilità dei servizi. Quando vengono bloccati sistemi centrali, come portali studenti, piattaforme di e-learning o applicazioni amministrative, le attività si fermano e il ritorno alla normalità richiede tempo, con effetti immediati sia sulla didattica che sulla gestione interna.

Le violazioni di dati rendono il danno più duraturo. La sottrazione di informazioni personali, contatti e credenziali può esporre studenti e personale al rischio di furti d’identità così come a ulteriori attacchi successivi. In alcuni casi collegati a gruppi ransomware è emersa anche la possibilità che i dati sottratti vengano usati come leva di pressione o diffusi per aumentare l’impatto dell’incidente.

Il phishing è spesso il punto di partenza di questi eventi. Nel 2025 il CERT-AGID ha segnalato campagne che sfruttano comunicazioni e documenti richiamanti l’ambiente accademico, come avvisi di segreteria, scadenze didattiche o presunte comunicazioni interne. L’obiettivo è indurre utenti a inserire le proprie credenziali, aprendo l’accesso a caselle di posta istituzionali e, di conseguenza, a servizi interni e archivi sensibili.

Misure di sicurezza prioritarie per ridurre il rischio

Una strategia di protezione efficace si basa su misure di base applicate in modo sistematico. La maggior parte degli incidenti che colpiscono gli atenei sfrutta, infatti, l’uso di credenziali deboli, delle configurazioni non aggiornate o dei comportamenti ripetuti nel tempo.

In un ecosistema complesso come quello universitario è utile concentrarsi su pochi controlli chiave, capaci di ridurre in modo significativo la superficie di attacco:

• Autenticazione a più fattori per l’accesso a posta istituzionale, VPN, servizi cloud e applicazioni di segreteria, così da limitare l’impatto del furto di credenziali.
• Segmentazione della rete per separare ambienti didattici, sistemi amministrativi e laboratori di ricerca, riducendo la possibilità che un attacco si propaghi tra aree diverse.
• Backup protetti e verifiche periodiche di ripristino, con obiettivi di recupero chiari per i servizi essenziali, in modo da contenere i danni in caso di blocchi o incidenti.
• Formazione continua contro il phishing, con simulazioni e procedure semplici di segnalazione per studenti e personale

Accanto a queste misure operative, è utile dotarsi di strumenti di monitoraggio che aiutino a intercettare in anticipo segnali di compromissione e possibili esposizioni di dati. In questo senso, un servizio di dark web monitor integrato in un programma di threat intelligence può supportare le strutture IT nel rilevare la circolazione di credenziali o informazioni riconducibili all’ateneo, consentendo interventi tempestivi prima che l’impatto si traduca in incidenti più ampi.

Accessi remoti e protezione delle connessioni universitarie

Con studenti, docenti e personale tecnico-amministrativo che accedono ai servizi universitari da casa, in mobilità o da sedi distaccate, l’accesso remoto rappresenta uno dei punti più esposti dal punto di vista della sicurezza. Le connessioni avvengono spesso da reti non controllate dall’ateneo, come Wi-Fi domestici o pubblici, che possono aumentare il rischio di intercettazione del traffico e di accessi non autorizzati.

Le VPN consentono di creare un canale di comunicazione crittografato tra il dispositivo dell’utente e l’infrastruttura dell’università. In questo modo i dati scambiati, come credenziali, documenti o informazioni di ricerca, viaggiano in modo più protetto anche quando la connessione di partenza non è affidabile. Inoltre, l’uso di una VPN permette di esporre i servizi interni solo a utenti autenticati, riducendo la necessità di rendere pubblicamente accessibili applicazioni sensibili.

Conclusione

La crescita degli attacchi alle università dipende dal valore dei dati trattati e dalla complessità degli ecosistemi accademici, fatti di sistemi diversi, utenti numerosi e servizi distribuiti. Ransomware, violazioni di dati e phishing hanno effetti concreti su attività di ricerca, gestione economica e tutela delle persone coinvolte.

Un approccio pragmatico, che metta al centro la protezione delle identità, la segmentazione delle reti, backup verificati nel tempo, formazione continua e accessi remoti protetti anche tramite VPN, permette di ridurre in modo significativo sia la probabilità sia l’impatto degli incidenti.