Un’indagine condotta da Fanpage.it ha portato alla luce una grave criticità nel registro elettronico Nuvola, piattaforma sviluppata da Madisoft e attualmente utilizzata in oltre mille istituti scolastici italiani. Attraverso specifiche query sui motori di ricerca è emerso che documenti sensibili – carte d’identità, passaporti, codici fiscali e contratti di lavoro – risultavano indicizzati su Google e accessibili senza alcuna forma di autenticazione.
I file compromessi, caricati presumibilmente per procedure amministrative interne, si trovano esposti in rete in formato ad alta risoluzione, raggiungibili da chiunque possieda competenze informatiche basilari. La vulnerabilità riguarda esclusivamente dati appartenenti a docenti e personale ATA: dalle verifiche effettuate non risultano coinvolti documenti relativi a studenti minorenni.
L’esposizione non si è verificata in aree oscure del web, ma attraverso l’indicizzazione ordinaria dei principali motori di ricerca, rendendo i contenuti facilmente rintracciabili e consultabili senza alcuna barriera protettiva.
La falla tecnica e il principio di privacy by design
L’esposizione dei documenti su Google rivela una lacuna nella progettazione del sistema. I crawler – software che i motori di ricerca utilizzano per scoprire e catalogare le pagine web – hanno potuto accedere liberamente alle cartelle contenenti i file caricati dagli utenti.
In un sistema progettato secondo gli standard del GDPR, questo non dovrebbe accadere: il principio di privacy by design impone che la protezione dei dati sia integrata fin dall’architettura del software, indipendentemente dalle azioni dell’utente finale.
Nicola Bernardi, presidente di Federprivacy, paragona la situazione a un edificio con porte e finestre spalancate: anche se l’errore umano (caricare file nelle cartelle sbagliate) può aver contribuito, il sistema avrebbe dovuto impedire automaticamente l’indicizzazione pubblica dei contenuti sensibili. La modalità by default prevista dalla normativa europea richiede che le impostazioni predefinite proteggano la privacy senza necessità di intervento manuale.
Nonostante Madisoft vanti certificazioni ISO e sia presente sul portale dell’Agenzia per la Cybersicurezza Nazionale, questa vulnerabilità espone gli interessati a rischi concreti: furto d’identità e campagne di phishing mirato diventano possibili quando documenti personali sono reperibili con semplici ricerche online.
Le responsabilità tra scuole e fornitore
Madisoft ha risposto alle accuse rivendicando il proprio status di Responsabile del Trattamento ai sensi dell’articolo 28 del GDPR. In questa veste, l’azienda si occupa tecnicamente della gestione della piattaforma, ma la titolarità dei dati – e quindi la responsabilità ultima delle decisioni su cosa pubblicare e come gestire i contenuti – ricade sui singoli Istituti scolastici. Secondo il fornitore, il sistema integra meccanismi di avviso che allertano gli utenti prima della pubblicazione di documenti, ma la rimozione dei file non può avvenire senza l’esplicita richiesta della scuola.
Questo quadro normativo delinea un riparto complesso: il Titolare (la scuola) decide quali dati trattare e come; il Responsabile (Madisoft) fornisce gli strumenti e ne assicura la conformità tecnica. Tuttavia, la linea di demarcazione può sfumare quando una piattaforma non impedisce per impostazione predefinita l’esposizione pubblica di contenuti sensibili, lasciando margini d’errore agli utenti finali. La difesa del fornitore potrebbe non bastare a escludere responsabilità concorrenti, soprattutto se l’architettura del sistema risultasse inadeguata rispetto ai rischi prevedibili.
Le verifiche del Garante e gli impatti sulla digitalizzazione
L’Autorità Garante per la Protezione dei Dati Personali ha confermato l’apertura di un’istruttoria formale per accertare l’adeguatezza delle misure tecniche e organizzative adottate da Madisoft nella gestione del registro elettronico Nuvola. L’indagine si concentrerà sulla verifica della conformità al GDPR, con particolare attenzione alla corretta implementazione dei principi di sicurezza by design e by default.
Gli esiti dell’istruttoria potranno includere sanzioni amministrative, prescrizioni tecniche vincolanti o raccomandazioni operative per rafforzare i presidi di protezione.
Oltre alla dimensione tecnica, l’incidente solleva questioni più ampie sulla fiducia nella digitalizzazione della Pubblica Amministrazione. Il coinvolgimento indiretto degli enti certificatori che hanno validato la sicurezza della piattaforma evidenzia la necessità di rafforzare i controlli preventivi sui fornitori di servizi digitali strategici per il settore pubblico.
La credibilità dell’intero processo di trasformazione digitale delle scuole rischia di essere compromessa quando strumenti certificati e ampiamente adottati mostrano vulnerabilità nella protezione dei dati del personale.
