di
Marco Persico
Firenze, gli hacker non li hanno pubblicati nel dark web, il movente da chiarire: un rebus per gli investigatori
Nella richiesta di riscatto recapitata al direttore degli Uffizi, Simone Verde, ci sarebbero anche dei riferimenti alle mappe interne e ai percorsi di sicurezza del museo fiorentino, proprio alcuni dei dati che potrebbero essere stati rubati dai server nell’attacco hacker scoperto all’inizio di febbraio. Ma di quei file sul dark web non sembra esserci alcuna traccia. Che fine hanno fatto?
Le novità che emergono dall’inchiesta aperta contro ignoti dagli inquirenti della procura di Firenze per «tentata estorsione e accesso abusivo ai sistemi», smentite ieri pomeriggio dalla direzione del museo, confermerebbero, invece, la concretezza delle preoccupazioni sulla sicurezza dell’inestimabile patrimonio storico-artistico degli Uffizi documentate nei giorni scorsi dal Corriere della Sera.
Il faro di polizia postale e Agenzia per la cybersicurezza nazionale, che da oltre due mesi stanno scandagliando il dark web, punterebbe a far luce su un’organizzazione di cybercriminali con base nell’area dell’ex blocco sovietico: MedusaLocker, un nome che gira sulla scena internazionale già dal 2019 con una formula criminale innovativa: in inglese «ransomware as a service», una specie di «franchising del crimine digitale».
Nel 2022, era stato un report dell’intelligence statunitense a lanciare l’allarme sul nuovo metodo operativo: «Non sono più i gruppi criminali ad esporsi direttamente negli attacchi hacker» — dicevano gli analisti del Pentagono —, al loro posto operano strutture di servizio, descritte come veri e propri «ecosistemi» che lavorano per conto di una rete di affiliati. Sono loro a fornire tutto: strumenti informatici, competenze, persino assistenza tecnica in tempo reale durante l’attacco». Un cambio di paradigma che ha complicato non poco le già difficili indagini sulla dilagante pirateria informatica.
È una filiera organizzata, industriale: al centro c’è una struttura che sviluppa il malware — come nel caso di MedusaLocker —, un codice malevolo progettato per infiltrarsi nei sistemi delle vittime. Intorno, una rete di clienti pronti a usarlo, supportati passo dopo passo. Il risultato è un meccanismo difficile da tracciare.
Di solito, funziona così: i dati rubati alle vittime vengono pubblicati nel dark web e messi all’asta, come leva per aumentare la pressione sulle vittime. È la prassi delle organizzazioni cybercriminali digitali: colpire, rubare, pubblicare.
A Firenze, al direttore degli Uffizi gli hacker avevano concesso 72 ore per pagare l’equivalente di 300 mila euro in criptovalute ed evitare così la diffusione dei dati rubati. Si sarebbero fatti vivi quattro volte, poi più niente. Il termine così sarebbe scaduto senza che i file del museo siano finiti negli abissi del web oscuro. Oltre alla richiesta di riscatto, più niente: nei forum dove normalmente avvengono contatti e affari cybercriminali non sarebbero mai passati né il nome degli Uffizi né gli archivi rubati.
Una mancanza di riscontri che potrebbe pesare più di qualsiasi rivendicazione: lo scenario investigativo sembra un rebus. Tante le ipotesi sul tappeto, tutte da verificare, ma tutte possibili. Potrebbe essersi trattato di un furto su commissione, innanzitutto: i dati «esfiltrati» agli Uffizi potrebbero essere stati rubati non per essere venduti all’asta, al miglior offerente, ma per finire direttamente nelle mani del committente, un cliente-affiliato. Come cercare un ago in un pagliaio. Oppure, la cifra pretesa potrebbe essere stata pagata. Qualcuno potrebbe aver chiuso la partita, versato il riscatto, prima che i dati diventassero pubblici nel dark web.
Nel mondo degli attacchi informatici, quello che non si vede, spesso, è la parte più importante.
5 aprile 2026 ( modifica il 5 aprile 2026 | 08:00)
© RIPRODUZIONE RISERVATA