Privacy a rischio nel registro elettronico Nuvola: documenti esposti su Google
Una grave vulnerabilità espone carte d'identità e dati sensibili del personale scolastico. Il Garante avvia un’istruttoria sulla piattaforma digitale.
Velinda Cisternino
Un’indagine di Fanpage.it ha rivelato una criticità nella sicurezza del registro elettronico Nuvola, con documenti d'identità indicizzati dai motori di ricerca. La piattaforma, usata in oltre mille istituti, è ora sotto la lente del Garante per la protezione dei dati personali.
La falla nel sistema: dati sensibili alla mercé del web
L'allarme riguarda una quantità significativa di materiale amministrativo e personale che non dovrebbe mai varcare la soglia della riservatezza scolastica. Attraverso specifiche query di ricerca, è stato possibile reperire in rete scansioni ad alta risoluzione di carte d’identità, passaporti, codici fiscali e contratti di lavoro. La fonte di questa emorragia di dati è Nuvola, un ecosistema digitale sviluppato da Madisoft e adottato massicciamente nel sistema istruzione italiano. Nonostante la piattaforma vanti certificazioni ISO e una presenza accreditata sul portale dell’Agenzia per la Cybersicurezza Nazionale (ACN), i file – caricati verosimilmente per procedure burocratiche interne – risultano accessibili senza alcuna barriera di autenticazione.
È fondamentale precisare che, dalle verifiche effettuate, l'esposizione sembra aver risparmiato i dati dei minori: le informazioni compromesse appartengono prevalentemente a docenti e personale ATA. Tuttavia, la gravità dell'incidente rimane elevata. I documenti non si trovano in un "dark web" inaccessibile, ma sono stati indicizzati da Google, rendendoli raggiungibili da chiunque possieda competenze informatiche basilari.
Privacy by Design: un principio disatteso?
L'incidente solleva interrogativi tecnici e normativi sulla struttura stessa del software. Secondo Nicola Bernardi, presidente di Federprivacy, la presenza di questi file sui motori di ricerca denota una mancanza di presidi di sicurezza fondamentali. La metafora utilizzata dagli esperti è quella di un edificio in cui porte e finestre sono state lasciate spalancate: sebbene l'errore umano (caricamento in cartelle sbagliate) possa essere una concausa, il GDPR impone il principio di Privacy by Design.
Un sistema informatico che gestisce dati di tale sensibilità dovrebbe, per impostazione predefinita (by default), impedire l'indicizzazione pubblica dei contenuti caricati, indipendentemente dalle azioni dell'utente finale. Il fatto che le aree di archiviazione siano prive di blocchi per i crawler dei motori di ricerca suggerisce una lacuna nella progettazione architettonica della sicurezza, esponendo gli interessati a rischi concreti di furto d'identità e phishing mirato.
Il rimpallo delle responsabilità e l'intervento del Garante
La questione della responsabilità legale è complessa e si muove su un terreno scivoloso. Madisoft, interpellata sulla vicenda, ha ribadito il proprio ruolo di mero Responsabile del Trattamento (art. 28 GDPR), attribuendo la titolarità dei dati – e quindi la responsabilità finale – ai singoli Istituti scolastici. L'azienda sostiene di aver integrato sistemi di alert per avvisare gli utenti prima della pubblicazione di contenuti, ma afferma di non poter intervenire direttamente nella rimozione dei file se non su input della scuola.
Tuttavia, questa difesa potrebbe non essere sufficiente. L'Autorità Garante per la Privacy ha confermato l'apertura di un'istruttoria per accertare se le misure tecniche adottate dallo sviluppatore fossero adeguate al livello di rischio. In gioco non c'è solo la reputazione di una software house, ma la fiducia nell'intera filiera di digitalizzazione della Pubblica Amministrazione, che vede coinvolti anche gli enti certificatori che hanno validato la sicurezza del sistema.
