l'editoriale
Cerca
Il caso
12 Febbraio 2026 - 16:15
Decine di file contenenti documenti di identità, passaporti, patenti, IBAN, contratti e altri atti amministrativi sarebbero risultati liberamente accessibili sul web dopo una semplice ricerca su Google. Tutti riconducibili a Nuvola, piattaforma di registro elettronico adottata da numerosi istituti scolastici italiani.
I documenti, secondo quanto emerso, non richiederebbero alcuna autenticazione per essere visualizzati e risulterebbero addirittura indicizzati dai motori di ricerca. Si tratterebbe di scansioni complete, comprensive di dati anagrafici, fotografie, firme e ulteriori informazioni personali. Nel corso delle verifiche non sarebbero emersi file riferibili a minori, ma a soggetti maggiorenni, presumibilmente docenti o personale coinvolto in pratiche amministrative scolastiche.
La piattaforma non rappresenta una realtà marginale. Sviluppata dalla software house Madisoft, viene utilizzata da oltre 1.000 scuole italiane, coinvolgendo centinaia di migliaia di studenti, docenti e famiglie.
Il sistema consente di gestire attività centrali per la vita scolastica: valutazioni, assenze, comunicazioni scuola-famiglia, gestione dei pagamenti, registro delle lezioni, esami e altre funzioni amministrative. La società risulta, inoltre, presente tra i fornitori qualificati per la pubblica amministrazione e possiede certificazioni ISO che attesterebbero l’adozione di standard di sicurezza.
Secondo esperti di protezione dei dati, quando file di questo tipo risultano visibili pubblicamente significa che qualcosa nel sistema di configurazione o nella progettazione non ha funzionato correttamente.
Una piattaforma digitale dovrebbe essere strutturata in modo che le aree contenenti dati sensibili siano protette da adeguate misure di sicurezza: autenticazione, controlli sugli accessi e impostazioni che impediscano l’indicizzazione da parte dei motori di ricerca. Se tali barriere non sono attive, i documenti possono diventare accessibili a chiunque disponga del link o effettui una ricerca mirata.
Il tema richiama direttamente i principi del GDPR, che impongono la tutela dei dati personali fin dalla progettazione del software (privacy by design) e attraverso configurazioni predefinite orientate alla massima protezione (privacy by default).
Il caso è stato segnalato al Garante Privacy, che ha avviato accertamenti preliminari per verificare eventuali violazioni del Regolamento europeo 2016/679. La normativa impone ai titolari del trattamento di garantire integrità, riservatezza e adeguate misure tecniche e organizzative per prevenire accessi non autorizzati.
Madisoft ha precisato di operare come Responsabile del trattamento ai sensi dell’articolo 28 del GDPR, mentre il Titolare del trattamento sarebbe l’istituto scolastico. L’azienda sostiene di aver progettato le proprie piattaforme secondo i principi di tutela dei dati e di integrare sistemi di avviso che segnalano all’utente eventuali pubblicazioni potenzialmente critiche. In caso di segnalazioni, la società dichiara di fornire supporto agli istituti per la rimozione dei contenuti, che resterebbe comunque di competenza delle scuole.
Resta, tuttavia, aperto il nodo della possibile esposizione sistemica e della configurazione delle aree riservate.
La diffusione online di un documento di identità non rappresenta un danno solo teorico. Le informazioni contenute possono essere utilizzate per tentativi di furto d’identità, attivazioni fraudolente di servizi, apertura di account digitali o operazioni di social engineering.
Con dati autentici è più semplice costruire campagne di phishing mirato, aumentando la credibilità delle comunicazioni ingannevoli. In scenari più gravi, le scansioni possono essere riutilizzate per aggirare sistemi di verifica online o creare identità false, con conseguenze legali e reputazionali per le vittime.
L’eventuale accertamento di una violazione potrebbe coinvolgere diversi soggetti: lo sviluppatore della piattaforma, gli istituti scolastici in qualità di titolari del trattamento e, indirettamente, anche gli organismi che hanno rilasciato certificazioni di sicurezza o qualificazioni per la pubblica amministrazione.
La vicenda riapre un tema più ampio: quanto i sistemi digitali adottati nelle scuole italiane siano realmente conformi ai principi di sicurezza informatica e tutela dei dati personali, al di là degli adempimenti formali.
Mentre l’Autorità garante prosegue le verifiche, il caso rappresenta un campanello d’allarme sulla gestione della cybersicurezza nel settore scolastico, dove la trasformazione digitale procede rapidamente ma richiede controlli rigorosi e responsabilità chiare lungo tutta la filiera.
|
|
I più letti
L'associazione aderisce all'Istituto dell'Autodisciplina Pubblicitaria - IAP vincolando tutti i suoi Associati al rispetto del Codice di Autodisciplina della Comunicazione Commerciale e delle decisioni del Giurì e de Comitato di Controllo.
CronacaQui.it | Direttore responsabile: Andrea Monticone
Vicedirettore: Marco Bardesono Capo servizio cronaca: Claudio Neve
Editore: Editoriale Argo s.r.l. Via Principe Tommaso 30 – 10125 Torino | C.F.08313560016 | P.IVA.08313560016. Redazione Torino: via Principe Tommaso, 30 – 10125 Torino |Tel. 011.6669, Email redazione@torinocronaca.it. Fax. 0116669232 ISSN 2611-2272 Amministratore unico e responsabile trattamento dati e sicurezza: Giuseppe Fossati
Registrazione tribunale n° 1877 del 14.03.1950 Tribunale di Milano
La società percepisce i contributi di cui al decreto legislativo 15 maggio 2017, n. 70. Indicazione resa ai sensi della lettera f) del comma 2 dell’articolo 5 del medesimo decreto legislativo..
Edizione
