Abbiamo scoperto documenti e dati sensibili di docenti e personale scolastico caricati su Nuvola e indicizzati su Google: cosa è successo e quali sono i rischi per gli utenti.

Ci sono decine di documenti sulla schermata del mio computer. È bastata una ricerca su Google, ho premuto invio e sono comparse carte di identià, passaporti, patenti, codici IBAN, contratti di lavoro, curriculum, pec private e password. Tutti provengono dalla stessa fonte: Nuvola. È una piattaforma di registro elettronico utilizzata da molte scuole italiane, con certificazioni ISO – che dovrebbero garantire elevati standard di sicurezza – e una pagina dedicata sul portale dell’Agenzia per la Cybersicurezza Nazionale (ACN).

Nonostante le garanzie sulla protezione dei dati, i file che abbiamo trovato nella nostra indagine – riconducibili a documenti caricati nell’ambito di procedure scolastiche – risultano accessibili via web senza autenticazione e compaiono indicizzati nei risultati dei motori di ricerca. Si tratta di documenti di identità completi, con dati anagrafici, fotografie, firme e in alcuni casi informazioni personali più sensibili.

"Sono dati che per la loro natura sensibile, dovrebbero essere custoditi con la massima attenzione, e poiché la loro diffusione presenta un rischio elevato per i diritti e le libertà delle persone coinvolte", ha spiegato a Fanpage.it Nicola Bernandi, presidente di Ferderprivacy. Siamo di fronte a una falla che mette a rischio la privacy dei cittadini e solleva dubbi su come vengano protetti i dati nelle scuole italiane.

Leggi anche Ora per accedere al registro elettronico a scuola servirà lo SPID o la CIE: cosa cambia per le famiglie

Per evitare ulteriori esposizioni, la redazione ha scelto di non pubblicare link diretti, query di ricerca o dettagli tecnici che possano facilitare l’individuazione dei file. Va sottolienato che nel corso delle verifiche non abbiamo trovato documenti o informazioni su minori. Le scansioni riguardano persone maggiorenni, molto probabilmente docenti e personale scolastico o soggetti coinvolti nelle procedure amministrative delle scuole.

Nuvola: il registro elettronico usato dalle scuole italiane

Nuvola non è un servizio di nicchia, ma una piattaforma ampiamente adottata nel sistema scolastico italiano. Secondo i dati forniti dalla stessa Madisoft – la software house che sviluppa Nuvola – il registro elettronico è utilizzato da oltre 1.000 scuole in tutta Italia, con circa 800.000 studenti, 150.000 docenti e 1,5 milioni di genitori che accedono alla piattaforma per le attività scolastiche quotidiane. Questi dati suggeriscono che Nuvola è uno dei principali sistemi di registro elettronico utilizzato nelle scuole italiane.

Nuvola è citata anche sul portale dell’Agenzia per la Cybersicurezza Nazionale, che dedica alla piattaforma una scheda descrittiva, si legge: "Nuvola Registro Elettronico consente di gestire il lavoro del Docente: valutazioni, assenze, note didattiche, argomenti di lezione, colloqui, comunicazioni, pcto (alternanza scuola lavoro), piattaforma didattica digitale integrata, esami primo ciclo, libri di testo, competenze, mensa, gestione dei pagamenti con pagoinrete e pagoPA e formazione classi prime."

Finestre spalancate: come decine di documenti sono finiti su Google

Ma come è possibile che decine di documenti appaiano indicizzati su Google? Per capire meglio abbiamo chiesto a Bernardi. "Ogni piattaforma web è come una casa con porte e finestre, e ogni file conservato su un server è potenzialmente accessibile a chiunque abbia una connessione internet. Ciascun punto d’ingresso deve essere dovutamente presidiato, e nei punti di accesso più delicati deve esserci anche una “guardia” che permetta di entrare solo a chi è autorizzato", spiega Bernardi.

"Se tutti questi documenti sono finiti così alla mercè di tutti, significa che qualcuno ha lasciato le finestre spalancate e le chiavi sulla porta, permettendo a chiunque di accedere, e anche chi doveva vigilare sulla sicurezza non ha evidentemente fatto il suo dovere." Lo dimostra il fatto che non solo le aree riservate dove sono conservati i documenti non sono protette da procedure di autenticazione per accedervi, ma sono addirittura indicizzate dai motori di ricerca, prive quindi di basilari impostazioni che generalmente si applicano per evitare che avvenga.

Secondo Bernardi si tratta di un problema di progettazione, perché il GDPR richiede che la protezione dei dati dei software sia integrata fin dalla “by design” e che le impostazioni predefinite garantiscano il massimo livello di tutela “by default”. "Quindi, anche se spesso le diffusioni accidentali di dati sensibili sono causate da operatori maldestri, in questo caso non si possono addossare colpe ai singoli utenti, ma dovrebbe essere piuttosto lo sviluppatore della piattaforma a fornire spiegazioni sui motivi per cui i documenti, oltre a non essere protetti e liberamente accessibili, sono pure reperibili da chiunque faccia una semplice ricerca su Google."

Privacy e responsabilità: il caso Nuvola al vaglio del Garante

La presenza online di scansioni di documenti di identità solleva interrogativi significativi dal punto di vista della protezione dei dati personali. Secondo il Regolamento europeo 2016/679 (GDPR), i titolari del trattamento devono garantire l’integrità e la riservatezza dei dati, adottando misure tecniche e organizzative adeguate a prevenire accessi non autorizzati. Abbiamo segnalato il caso al Garante della Privacy. L'autorità ha confermato a Fanpage.it di aver iniziato a esaminare il caso.

Abbiamo contattato anche Madisoft per chiedere chiarimenti sul caso e sulle misure di sicurezza adottate. "In merito al trattamento dei dati personali, nei rapporti con gli Istituti scolastici, Madisoft agisce esclusivamente in qualità di Responsabile del Trattamento nominato (ex art. 28 GDPR). Il Titolare del trattamento rimane, a tutti gli effetti di legge, l’Istituto scolastico", secondo l’azienda, la responsabilità principale sui dati spetta alle singole scuole.

"Le nostre piattaforme sono progettate secondo i principi di Privacy by Design e by Default. Il sistema integra alert specifici che avvisano l’utente prima della pubblicazione" ha spiegato a Fanpage.it Diego Moretti, amministratore delegato dell'azienda. Se una scuola pubblica per errore documenti con dati sensibili, Madisoft sostiene di non poterli rimuovere direttamente, perché la rimozione spetta alla scuola. In caso di segnalazione, l’azienda dice di offrire assistenza all’interessato, invitandolo a contattare la scuola e avvisando a sua volta l’istituto per supportarlo nella rimozione.

Quali sono i rischi per le vittime

L’esposizione online di dati sensibili comporta rischi concreti. Un documento di identità contiene infatti informazioni come nome e cognome, luogo, data di nascita, numero del documento, data di rilascio, scadenza, firma e fotografia. Questi dati possono essere utilizzate per tentativi di furto d’identità, attivazione fraudolenta di servizi, apertura di account online o pratiche di social engineering.

Sono informazioni che facilitano attività di phishing mirato: chi entra in possesso delle informazioni può costruire comunicazioni credibili, facendo leva su dati reali per indurre la vittima a fornire denaro e ulteriori elementi sensibili. In alcuni casi, le scansioni di documenti vengono riutilizzate anche per aggirare procedure di verifica dell’identità su piattaforme digitali o creare profili fake, "con queste false identità i criminali possono sostituirsi alle ignare vittime, che potrebbero loro malgrado trovarsi accusati di crimini che non hanno commesso."

Chi paga per i dati esposti?

Probabilmente la colpa non è di un solo soggetto. Come spiega Bernardi le responsabilità sono da ricercare nella filiera dei diversi attori coinvolti, "perché se sarà dimostrato, come allo stato attuale pare evidente, che lo sviluppatore ha messo in commercio una piattaforma che è un colabrodo per la privacy, dovrà renderne conto. Ci si deve però anche interrogare sul fatto che si tratta di una società a cui sono state rilasciate varie certificazioni ISO. Queste certificazioni dovrebbero garantire elevati standard di sicurezza dei dati, e perciò anche gli stessi organismi di certificazione dovranno dare spiegazioni sui criteri che hanno adottato per rilasciare tali riconoscimenti."

Non solo. "Anche l’Agenzia per la Cybersicurezza Nazionale ha qualificato tale società come fornitore idoneo per la pubblica amministrazione che rispetta i requisiti standard richiesti dal Miur attraverso il progetto SIIS. Linee guida AgID per lo sviluppo sicuro di codice. Ci sono quindi molti aspetti che meritano di essere approfonditi, ma di sicuro stiamo sentendo sempre più spesso parlare della necessità di maggiore privacy e sicurezza, ma allo stato attuale ci si concentra molto sulla burocrazia, e ogni buon proposito rimane solo sulla carta."