Comunicazione a tutti i soggetti che hanno conferito dati personali all’Ateneo (ad esempio, fornitori, coloro che hanno svolto incarichi professionali, altro…) ex art. 34 del Regolamento (UE) 2016/679.

In ossequio a quanto previsto dall’art. 34 del Regolamento UE 2016/679 (GDPR), Sapienza Università di Roma comunica la chiusura dell’incidente informatico relativo all’attacco del 1° febbraio 2026, di cui sono state date, sin dalle prime ore successive all’evento, comunicazioni tramite i canali social ufficiali, finalizzate a fornire aggiornamenti in merito allo stato dei disservizi, alle azioni di ripristino nonché indicazioni di carattere operativo. La chiusura dell’incidente, avvenuta in data 02.04.2026 ad opera dell’Agenzia Nazionale per la Cybersicurezza Nazionale, è stata comunicata agli Organi di Ateneo in data 09.04.2026.
Si informa che, ai sensi dell’art. 33 del GDPR, l'evento è stato debitamente notificato all'Autorità Garante per la protezione dei dati personali.
L’incidente di tipo ransomware, originato da un accesso non autorizzato, ha configurato una violazione della sicurezza che ha coinvolto la riservatezza e la disponibilità dei dati personali trattati dall’Ateneo. Sono stati coinvolti dall’attacco circa 400 server (fisici e virtuali), la cui compromissione ha causato l’interruzione dei servizi chiave per l’Ateneo, tra cui i portali istituzionali e la piattaforma InfoStud. Sono state compromesse anche le postazioni di lavoro in dotazione all’amministrazione dell’Ateneo. Al termine dell’incidente i dati presenti sui sistemi compromessi risultavano criptati.

Al fine di limitare i possibili effetti pregiudizievoli derivanti dall’attacco, i tecnici dell’Ateneo, in stretta collaborazione con gli esperti dell’Agenzia per la Cybersicurezza Nazionale, hanno tempestivamente adottato procedure per l’isolamento dei sistemi interessati e per il ripristino progressivo dell’infrastruttura e dei servizi. Tali attività sono state volte alla reimpostazione dei sistemi a partire dai backup disponibili, previa verifica del corretto funzionamento e dell’integrità dei dati. Contestualmente al ripristino, sono state implementate ulteriori misure di sicurezza per innalzare la postura difensiva dell'intera rete.

Con riferimento ai dati personali coinvolti nella violazione, che ha determinato la perdita di riservatezza (accesso non autorizzato) e disponibilità (impossibilità temporanea di accedere ai dati da parte dei soggetti autorizzati) degli stessi, le analisi svolte e le evidenze attualmente disponibili hanno rilevato che l’accesso non autorizzato ha riguardato i dati residenti sul sistema ufficiale di Ateneo per la condivisione di file dell’amministrazione centrale e sulle singole postazioni di lavoro del personale tecnico amministrativo di Ateneo.
In considerazione dell’ampiezza dell’attacco e dei sistemi coinvolti, le categorie di dati personali potenzialmente interessate dalla violazione potrebbero ricomprendere:

• dati anagrafici;
• dati di contatto;
• dati di accesso e di identificazione;
• dati di pagamento;
• dati relativi alla fornitura di un servizio di comunicazione elettronica;
• dati relativi a condanne penali e a reati o a connesse misure di sicurezza;
• dati relativi a documenti di identificazione/riconoscimento;
• dati relativi alla salute.

Le indagini svolte a seguito dell'incidente non hanno identificato alcuna evidenza che tali specifici dati siano stati sottratti e diffusi pubblicamente o utilizzati per scopi fraudolenti. L’Ateneo sta quindi diffondendo tale comunicazione a titolo precauzionale e per segnalare di prestare la massima attenzione a qualsiasi comunicazione sospetta, richiesta di dati sensibili o azioni insolite che dovessero pervenire tramite e-mail o telefono.

Nel caso in cui dovessero emergere ulteriori informazioni circa i potenziali effetti dell’attacco in oggetto in relazione ai dati personali coinvolti nella violazione, sarà cura dell’Ateneo comunicarle tempestivamente.

Si ricorda che ciascun interessato ha facoltà di esercitare i diritti previsti dagli artt. 15-22 del GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione) rivolgendosi al Responsabile della Protezione dei Dati (RPD) ai recapiti indicati di seguito. Ciascun interessato ha inoltre il diritto di presentare un reclamo all’Autorità Garante per la protezione dei dati personali (www.garanteprivacy.it).

Per qualsiasi chiarimento o informazione relativa alla presente comunicazione e, più in generale, al trattamento dei dati personali da parte dell’Ateneo, è possibile contattare il Responsabile della Protezione dei Dati (RPD) di Ateneo, ai seguenti recapiti:

E-mail: responsabileprotezionedati@uniroma1.it

PEC: rpd@cert.uniroma1.it