Tecnologia
video suggerito
video suggerito

Su Google si trovano in chiaro documenti di identità di chi lavora nelle scuole: il caso Nuvola

Abbiamo scoperto documenti e dati sensibili di docenti e personale scolastico caricati su Nuvola e indicizzati su Google: cosa è successo e quali sono i rischi per gli utenti. L’articolo che leggete è stato aggiornato con la replica di Madisoft, la società che sviluppa Nuvola.
Leggi tutte le notizie di Fanpage.it nel tuo feed Google.
A cura di Elisabetta Rosso
90 CONDIVISIONI
Immagine

Ci sono decine di documenti sulla schermata del mio computer. È bastata una ricerca su Google, ho premuto invio e sono comparse carte di identità, passaporti, patenti, codici IBAN, contratti di lavoro, curriculum, pec private e password. Tutti provengono dalla stessa fonte: Nuvola. È una piattaforma utilizzata da molte scuole italiane per gestire il registro elettronico, con certificazioni ISO che dovrebbero garantire elevati standard di sicurezza – e una pagina dedicata sul portale dell’Agenzia per la Cybersicurezza Nazionale (ACN). Ma non solo. Nuvola offre anche servizi dedicati all' “Amministrazione Trasparente” e “Albo Pretorio Online".

I file che abbiamo trovato nella nostra indagine – riconducibili a documenti caricati nell’ambito di procedure scolastiche – risultano accessibili via web senza autenticazione e compaiono indicizzati nei risultati dei motori di ricerca. Si tratta di documenti di identità completi, con dati anagrafici, fotografie, firme e in alcuni casi informazioni personali più sensibili.

"Sono dati che per la loro natura sensibile, dovrebbero essere custoditi con la massima attenzione, e poiché la loro diffusione presenta un rischio elevato per i diritti e le libertà delle persone coinvolte", ha spiegato a Fanpage.it Nicola Bernandi, presidente di Federprivacy. 

Leggi anche
Come scoprire se i tuoi contatti LinkedIn compaiono negli Epstein file: la piattaforma EpsteIN

Abbiamo cercato di ricostruire tutto il percorso che hanno fatto questi documenti. Capire quali potevano essere gli errori del software e quali del personale che lo usava. Non solo. La versione che state leggendo di questo articolo tiene conto anche delle repliche di Madisoft. Tutto è partito da una domanda: come hanno fatto questi documenti ad essere indicizzati su Google?

Per evitare ulteriori esposizioni, la redazione ha scelto di non pubblicare link diretti, query di ricerca o dettagli tecnici che possano facilitare l’individuazione dei file. Va sottolineato che nel corso delle verifiche non abbiamo trovato documenti o informazioni su minori. Le scansioni riguardano persone maggiorenni, molto probabilmente docenti e personale scolastico o soggetti coinvolti nelle procedure amministrative delle scuole.

Nuvola: la piattaforma usata dalle scuole italiane per la gestione del registro elettronico

Nuvola non è un servizio di nicchia, ma una piattaforma ampiamente adottata nel sistema scolastico italiano. Secondo i dati forniti dalla stessa Madisoft, se parliamo solo della porzione di software dedicata al registro elettronico allora il suo utilizzo è legato a oltre 1.000 scuole in tutta Italia. Parliamo di circa 800.000 studenti, 150.000 docenti e 1,5 milioni di genitori che accedono alla piattaforma per le attività scolastiche quotidiane. Questi dati suggeriscono che Nuvola è uno dei principali sistemi di registro elettronico utilizzato nelle scuole italiane.

Nuvola è citata anche sul portale dell’Agenzia per la Cybersicurezza Nazionale, che dedica alla piattaforma una scheda descrittiva, si legge: "Nuvola Registro Elettronico consente di gestire il lavoro del Docente: valutazioni, assenze, note didattiche, argomenti di lezione, colloqui, comunicazioni, pcto (alternanza scuola lavoro), piattaforma didattica digitale integrata, esami primo ciclo, libri di testo, competenze, mensa, gestione dei pagamenti con pagoinrete e pagoPA e formazione classi prime."

Come decine di documenti sono finiti su Google: il parere di Nicola Bernardi

Ma come è possibile che decine di documenti appaiano indicizzati su Google? Per capire meglio abbiamo chiesto a Bernardi. "Ogni piattaforma web è come una casa con porte e finestre, e ogni file conservato su un server è potenzialmente accessibile a chiunque abbia una connessione internet. Ciascun punto d’ingresso deve essere dovutamente presidiato, e nei punti di accesso più delicati deve esserci anche una “guardia” che permetta di entrare solo a chi è autorizzato", spiega Bernardi.

"Se tutti questi documenti sono finiti così alla mercè di tutti, significa che qualcuno ha lasciato le finestre spalancate e le chiavi sulla porta, permettendo a chiunque di accedere, e anche chi doveva vigilare sulla sicurezza non ha evidentemente fatto il suo dovere." Secondo Bernardi si tratta di un problema di progettazione, perché il GDPR richiede che la protezione dei dati dei software sia integrata fin dalla “by design” e che le impostazioni predefinite garantiscano il massimo livello di tutela “by default”.

"Quindi, anche se spesso le diffusioni accidentali di dati sensibili sono causate da operatori maldestri, in questo caso non si possono addossare colpe ai singoli utenti, ma dovrebbe essere piuttosto lo sviluppatore della piattaforma a fornire spiegazioni sui motivi per cui i documenti, oltre a non essere protetti e liberamente accessibili, sono pure reperibili da chiunque faccia una semplice ricerca su Google."

Privacy e responsabilità: il caso Nuvola al vaglio del Garante

La presenza online di scansioni di documenti di identità solleva interrogativi significativi dal punto di vista della protezione dei dati personali. Secondo il Regolamento europeo 2016/679 (GDPR), i titolari del trattamento devono garantire l’integrità e la riservatezza dei dati, adottando misure tecniche e organizzative adeguate a prevenire accessi non autorizzati. Abbiamo segnalato il caso al Garante della Privacy. L'autorità ha confermato a Fanpage.it di aver iniziato a esaminare il caso. 

Abbiamo contattato anche Madisoft per chiedere chiarimenti sul caso e sulle misure di sicurezza adottate. "In merito al trattamento dei dati personali, nei rapporti con gli Istituti scolastici, Madisoft agisce esclusivamente in qualità di Responsabile del Trattamento nominato (ex art. 28 GDPR). Il Titolare del trattamento rimane, a tutti gli effetti di legge, l’Istituto scolastico", secondo l’azienda, la responsabilità principale sui dati spetta alle singole scuole.

"Le nostre piattaforme sono progettate secondo i principi di Privacy by Design e by Default. Il sistema integra alert specifici che avvisano l’utente prima della pubblicazione" ha spiegato a Fanpage.it Diego Moretti, amministratore delegato dell'azienda. Se una scuola pubblica per errore documenti con dati sensibili, Madisoft sostiene di non poterli rimuovere direttamente, perché la rimozione spetta alla scuola. In caso di segnalazione, l’azienda dice di offrire assistenza all’interessato, invitandolo a contattare la scuola e avvisando a sua volta l’istituto per supportarlo nella rimozione.

Una nota. A circa 24 ore di distanza dalla pubblicazione di questo articolo, alcune delle ricerche che esponevano i documenti  di cui abbiamo parlato in questo articolo risultano inattive. Digitando le stesse stringhe di ricerca che prima davano risultati ora non si trova più nulla.

Quali sono i rischi per le vittime

L’esposizione online di dati sensibili comporta rischi concreti. Un documento di identità contiene infatti informazioni come nome e cognome, luogo, data di nascita, numero del documento, data di rilascio, scadenza, firma e fotografia. Questi dati possono essere utilizzati per tentativi di furto d’identità, attivazione fraudolenta di servizi, apertura di account online o pratiche di social engineering.

Sono informazioni che facilitano attività di phishing mirato: chi entra in possesso delle informazioni può costruire comunicazioni credibili, facendo leva su dati reali per indurre la vittima a fornire denaro e ulteriori elementi sensibili. In alcuni casi, le scansioni di documenti vengono riutilizzate anche per aggirare procedure di verifica dell’identità su piattaforme digitali o creare profili fake, "con queste false identità i criminali possono sostituirsi alle ignare vittime, che potrebbero loro malgrado trovarsi accusati di crimini che non hanno commesso."

Chi paga per i dati esposti?

Come abbiamo anticipato, non è semplice ricostruire la catena di responsabilità e capire dove sono stati commessi errori. Come spiega Bernardi le responsabilità sono da ricercare nella filiera dei diversi attori coinvolti, "perché se sarà dimostrato, come allo stato attuale pare evidente, che lo sviluppatore ha messo in commercio una piattaforma che è un colabrodo per la privacy, dovrà renderne conto. Ci si deve però anche interrogare sul fatto che si tratta di una società a cui sono state rilasciate varie certificazioni ISO. Queste certificazioni dovrebbero garantire elevati standard di sicurezza dei dati, e perciò anche gli stessi organismi di certificazione dovranno dare spiegazioni sui criteri che hanno adottato per rilasciare tali riconoscimenti."

Non solo. "Anche l’Agenzia per la Cybersicurezza Nazionale ha qualificato tale società come fornitore idoneo per la pubblica amministrazione che rispetta i requisiti standard richiesti dal Miur attraverso il progetto SIIS. Linee guida AgID per lo sviluppo sicuro di codice. Ci sono quindi molti aspetti che meritano di essere approfonditi, ma di sicuro stiamo sentendo sempre più spesso parlare della necessità di maggiore privacy e sicurezza, ma allo stato attuale ci si concentra molto sulla burocrazia, e ogni buon proposito rimane solo sulla carta."

La replica di Madisoft

Riceviamo e pubblichiamo, ai sensi dell'art. 8 della Legge sulla Stampa, la seguente nota di rettifica da parte di Madisoft S.p.A., società titolare della piattaforma "Nuvola".

Con riferimento a quanto riportato nell'articolo, la società Madisoft S.p.A. precisa quanto segue.

La presunta criticità segnalata non riguarda in alcun modo il "registro elettronico", i cui dati didattici restano protetti e non accessibili, ma concerne esclusivamente i moduli "Amministrazione Trasparente" e "Albo Pretorio Online". Questi strumenti sono destinati per legge alla pubblicità legale e alla trasparenza amministrativa.

L'indicizzazione dei documenti pubblicati in tali sezioni da parte dei motori di ricerca non costituisce una "falla" o un'anomalia del sistema. Al contrario, rappresenta il corretto adempimento di un preciso obbligo normativo (art. 9, D.Lgs. 33/2013), che impone alle Pubbliche Amministrazioni di garantire la massima accessibilità e reperibilità dei dati, vietando l'uso di filtri che ne ostacolino l'indicizzazione.

Sotto il profilo della responsabilità, si chiarisce che le Istituzioni Scolastiche operano quali Titolari del trattamento dei dati ai sensi del GDPR, e sono pertanto responsabili delle decisioni sui contenuti da pubblicare e della verifica della loro conformità alla normativa. Madisoft S.p.A. agisce quale Responsabile esterno del trattamento (art. 28 GDPR), fornendo l'infrastruttura tecnologica senza esercitare alcun controllo o potere decisionale sui file caricati dagli operatori scolastici.

L'eventuale presenza online di dati personali non pertinenti, come copie di documenti d'identità, è quindi riconducibile a un errore umano in fase di caricamento da parte degli utenti autorizzati presso le scuole, e non a una vulnerabilità tecnica del software. La piattaforma "Nuvola" è progettata secondo i principi di Privacy by Design e by Default e include specifici sistemi di allerta che avvisano l'operatore prima della pubblicazione, la quale richiede sempre un'azione esplicita e consapevole.

Madisoft S.p.A. contesta pertanto la rappresentazione dei fatti offerta dall'articolo, ritenendola lesiva della propria reputazione commerciale e basata su una ricostruzione tecnicamente e giuridicamente infondata.

Tecnologia
90 CONDIVISIONI
Immagine
Intervista
Ipotesi "cuore artificiale" per il bimbo trapiantato a Napoli: l'esperto spiega quando viene usato
Il Berlin Heart è un dispositivo che può fare da ponte in caso di trapianti
Il team di super esperti convocati al Monaldi deciderà oggi come procedere
Il cardiochirurgo spiega come si decide se un paziente è trapiantabile
autopromo immagine
Più che un giornale
Il media che racconta il tempo in cui viviamo con occhi moderni
Notifiche
Effettua il Login
Tecnologia
api url views