Il 2 novembre 2025 è emersa una rivelazione destinata a scuotere il mondo della cultura e della cybersecurity: secondo documenti ufficiali dell’Agenzia nazionale per la sicurezza dei sistemi informatici (ANSSI) – risalenti al 2014 e aggiornati fino al 2024 – la password che consentiva l’accesso al server di videosorveglianza del Louvre era semplicemente “LOUVRE”, mentre un’altra credenziale, per un software della società Thales impiegato nella protezione, era “THALES”.
Un nome banale, facilmente intuibile, applicato al sistema di sicurezza del museo più visitato al mondo: una scoperta che da un lato appare quasi grottesca, dall’altro rivela una sottovalutazione strutturale dei rischi informatici. La stessa ministra della Cultura francese, Rachida Dati, ha ammesso che «ci sono state mancanze nella sicurezza» dopo un furto avvenuto il 19 ottobre 2025 nella Galleria della Corona.
La falla e le sue implicazioni
La scelta di password così semplici, tra l’altro coincidenti con il nome del museo o del fornitore del software, contrasta nettamente con le buone pratiche di sicurezza informatica, le quali richiedono credenziali complesse, uniche e cambiate regolarmente. Nel contesto del Louvre, questa leggerezza si traduce in una vulnerabilità grave: chiunque, con una conoscenza superficiale, avrebbe potuto accedere ai sistemi di videosorveglianza, manipolare allarmi, telecamere o accessi, trasformando un museo apparentemente inviolabile in un bersaglio alla portata di attentatori ben organizzati oppure anche solo molto pazienti.
Il rapporto del 2014 dell’ANSSI, già citato nei documenti, avvertiva chiaramente che «chi controlla la rete del Louvre può rendere più facile il furto di opere d’arte». Ciò significa che il problema non è solo tecnologico, ma anche culturale: una fortezza fisica all’apparenza impenetrabile può nascondere una porta digitale spalancata.
Scarsa sicurezza informatica e responsabilità
Il fatto che questa falla sia rimasta pubblica e nota – un semplice nome come chiave d’accesso – testimonia una sicurezza informatica gestita con superficialità. I sistemi fisici, le telecamere, gli allarmi possono essere sofisticati quanto si vuole, ma se l’accesso logico è protetto da credenziali banali, l’intera catena si rompe. Come riportato da esperti del settore, spesso «l’anello debole» nella cybersecurity non è il firewall, ma l’account con password debole o la procedura non aggiornata.
Nel caso del Louvre, la combinazione di password prevedibili e un sistema di supervisione insufficiente ha generato un mix pericoloso: da un lato un furto monumentale di opere d’arte e gioielli di altissimo valore, dall’altro una credibilità danneggiata del museo e delle istituzioni culturali che lo gestiscono.
Le conseguenze e le lezioni da trarre
A valle di questa vicenda, emergono almeno due elementi chiave: primo, che la sicurezza informatica di istituzioni culturali non è un optional ma un requisito fondamentale, tanto quanto la conservazione delle opere; secondo, che la vulnerabilità umana e procedurale rimane il fattore maggiormente critico. Cambiare una password ogni anno non basta se la password scelta è banale. Implementare sistemi sofisticati non serve se l’accesso logico è poco protetto.
Per il mondo della cultura, questo episodio del Louvre rappresenta un campanello d’allarme: musei, gallerie, enti patrimoniali devono considerare la cybersicurezza come parte integrante della tutela del patrimonio. Un richiamo, quindi, a politiche attive di aggiornamento, auditing periodico, formazione del personale e metodologie di sicurezza che vadano oltre la tecnologia.
La scoperta che la password del server di videosorveglianza del Louvre fosse “LOUVRE” – ovvero il nome del museo stesso – è più di un semplice imbarazzo: è un segnale di quanto possa risultare fragile la sicurezza digitale anche in luoghi considerati inviolabili. Il sistema informatico del Museo ha mostrato crepe nascoste dietro la facciata monumentale. Per chi custodisce arte e cultura, la lezione è chiara: nessuna fortezza è tale se la porta principale è protetta da una chiave che chiunque può indovinare.
Fonte: La Stampa
