Cyber Incident Victim: Università degli studi di Roma Tre
Date:
May 2025
Location:
Italy
Summary
A cyberattack disrupted the digital infrastructure of Università degli studi di Roma Tre, taking down institutional websites and essential online platforms for students and staff. The university's IT team, together with the National Cybersecurity Agency and Postal Police, launched emergency protocols to assess the damage and begin recovery, restoring email access and the GOMP student‑secretariat portal while working to bring back accounting, protocol, Iris and other core services.
| CIA Posture | Motives | Tactics, Techniques & Procedures |
|---|---|---|
| Available to members | 3 motives | 1 technique |
| Threat Actors | Type | Location |
|---|---|---|
| 0 actors | Available to members | Available to members |
Description
Nella notte tra l’8 e il 9 maggio 2025 i servizi informatici dell’Università degli studi di Roma Tre hanno subito un’interruzione improvvisa che ha reso inaccessibili i siti istituzionali e le piattaforme online utilizzate da studenti e personale docente. Il primo allarme è stato rilevato dall’Area Sistemi Informativi durante le ore notturne dell’8 maggio, quando i sistemi hanno smesso di funzionare senza preavviso. Subito dopo la rilevazione, l’Area Sistemi Informativi ha attivato i protocolli di emergenza e ha contattato l’Agenzia per la Cybersicurezza Nazionale (ACN) e la Polizia Postale, che si sono recate presso le sedi dell’ateneo per avviare le indagini. Le operazioni di verifica e di contenimento sono proseguite per tutta la mattina del 9 maggio e si sono protratte fino alle ore 02:00 della notte successiva, consentendo di confermare la gravità dell’attacco e di iniziare una prima valutazione dei danni all’infrastruttura digitale. L’attacco ha compromesso il servizio di autenticazione, bloccando l’accesso agli applicativi gestiti in SaaS, tra cui quelli relativi alla gestione del personale, alla contabilità e al protocollo informatico. Nonostante l’interruzione, il servizio di posta elettronica istituzionale è rimasto funzionante per tutta la durata dell’incidente, permettendo agli utenti di accedere con le consuete credenziali del tipo [email protected] o [email protected]. L’intervento congiunto di ACN e Polizia Postale è stato considerato fondamentale per comprendere l’entità dell’incidente e per avviare le prime azioni di contenimento.
Dopo le prime attività di contenimento, il personale tecnico‑informatico dell’ateneo ha lavorato al ripristino del servizio di autenticazione, che è stato riportato operativo già nella serata del 9 maggio, rendendo possibile la riattivazione dell’accesso agli applicativi SaaS essenziali per la gestione amministrativa. Sempre nella serata del 9 maggio è stata ripristinata la piattaforma GOMP, utilizzata dagli studenti e dai docenti per i servizi di segreteria, mentre i servizi di contabilità, protocollo informatico, Iris e altri sistemi amministrativi sono rimasti oggetto di attenzione particolare da parte della Direzione 5 e della Direzione 7, che hanno previsto il loro completo ritorno online entro la mattina di lunedì 12 maggio in accordo con l’ACN. In parallelo, le attività di analisi su tutta l’infrastruttura e sui dati coinvolti sono proseguite in collaborazione con le autorità competenti, allo scopo di verificare l’estensione dell’impatto e di identificare eventuali ulteriori vulnerabilità. Il ripristino dei siti web istituzionali e dei servizi secondari è stato pianificato per una fase successiva, dopo il ritorno dei sistemi principali. Per tutta la durata dell’incidente l’ateneo ha mantenuto attivi i canali di comunicazione ufficiale per fornire aggiornamenti sui progressi della riattivazione dei servizi e ha invitato gli utenti a utilizzare la posta elettronica funzionante per qualsiasi necessità. Le attività di ripristino e di monitoraggio continuano secondo quanto comunicato dalle direzioni coinvolte, senza ulteriori dettagli pubblici al momento disponibili.