Cybersecurity Scuole 2025: attacchi hacker in crescita e dati personali degli studenti sul darkweb

Cybersecurity scuole: due parole che dovrebbero preoccupare ogni genitore, insegnante e dirigente scolastico italiano, ma che troppo spesso vengono ignorate fino a quando non è troppo tardi. Una crisi silenziosa che sta colpendo il sistema educativo italiano con conseguenze devastanti per la privacy di milioni di studenti.

Cybersecurity Scuole: quando i dati degli studenti diventano merce di scambio

C’è qualcosa di profondamente inquietante nel realizzare che mentre accompagniamo i nostri figli a scuola ogni mattina, affidandoli a un’istituzione che presumiamo sicura, i loro dati personali potrebbero già circolare sui mercati digitali clandestini. Non si tratta di allarmismo gratuito, ma di una realtà documentata che sta trasformando le istituzioni scolastiche in bersagli prediletti dalla criminalità informatica organizzata.

La cybersecurity nelle scuole non è più un tema tecnico relegato agli esperti IT, ma una questione che riguarda ogni genitore, ogni insegnante, ogni dirigente scolastico che ha a cuore la protezione dei minori nell’era digitale.

La tempesta perfetta: quando la digitalizzazione incontra la vulnerabilità

Gli istituti scolastici stanno vivendo una crisi senza precedenti nella gestione della sicurezza informatica, stretti tra budget inadeguati e minacce sempre più sofisticate. Il fenomeno degli attacchi hacker alle scuole è globale e la sua portata emerge con chiarezza dai dati ufficiali raccolti negli ultimi anni.

L’FBI Internet Crime Complaint Center ha documentato nel suo rapporto annuale del 2023 che millcentonovantatré organizzazioni appartenenti a settori di infrastrutture critiche hanno denunciato attacchi ransomware durante l’anno[1]. Dei sedici settori di infrastrutture critiche monitorati, quattordici hanno avuto almeno un’organizzazione colpita da ransomware nel 2023[1]. Il settore healthcare e quello educativo figurano tra i più colpiti, confermando che i cybercriminali hanno individuato nella scuola un obiettivo particolarmente vulnerabile e redditizio.

La ricerca condotta da ThreatDown, divisione specializzata di Malwarebytes, ha messo nero su bianco una verità scomoda: il duemilaventitre è stato l’anno peggiore mai registrato per il settore educativo a livello globale in termini di attacchi informatici[2]. Gli attacchi ransomware contro il settore educativo nel suo complesso sono aumentati del settanta percento rispetto all’anno precedente, passando da centoventinove incidenti nel 2022 a duecentosessantacinque nel 2023[2].

Ma quando scaviamo più in profondità nei dati specifici delle scuole primarie e secondarie, il quadro diventa ancora più allarmante. Gli attacchi ransomware contro le scuole K-12 sono letteralmente esplosi, registrando un incremento del novantadue percento tra il duemilaventidue e il duemilaventitre, passando da cinquantuno a novantotto attacchi documentati[2].

Non stiamo parlando di astratte statistiche informatiche, ma di migliaia di bambini e ragazzi le cui informazioni personali sono state compromesse, di famiglie che hanno visto violata la loro privacy, di comunità scolastiche paralizzate per settimane.La geografia degli attacchi cyber alle scuole rivela pattern preoccupanti e confermati dai dati. Gli Stati Uniti hanno assorbito l’ottanta percento degli attacchi conosciuti contro il settore educativo nel 2023, mentre il Regno Unito ha registrato il dodici percento degli episodi documentati[2].

Questi numeri non significano che altri paesi, Italia inclusa, siano immuni dal fenomeno. Piuttosto, riflettono una realtà più complessa: nei paesi anglosassoni esistono sistemi di monitoraggio e reportistica più strutturati, che permettono di quantificare con maggiore precisione la portata del problema. In Italia e in molti paesi europei, la situazione potrebbe essere persino più grave di quanto appaia, mascherata dalla mancanza di obblighi di notifica uniformi e dalla comprensibile reticenza degli istituti a rendere pubblici episodi che potrebbero danneggiarne la reputazione.

I gruppi ransomware più attivi contro il settore educativo nel 2023 sono stati chiaramente identificati dalla ricerca ThreatDown: LockBit ha condotto sessanta attacchi, Vice Society slash Rhysida quarantaquattro, CL0P ventidue, Medusa diciassette e Akira quindici attacchi[2]. Insieme, questi cinque gruppi sono stati responsabili di circa l’ottantuno percento di tutti gli attacchi ransomware contro istituzioni educative nel 2023[2]. Parliamo di organizzazioni criminali altamente strutturate, con modelli di business sofisticati e capacità tecniche in costante evoluzione.

Il costo umano della vulnerabilità digitale

Quando parliamo di attacchi informatici alle scuole, tendiamo spesso a pensare in termini astratti di byte e firewall. Ma dietro ogni statistica si nasconde un impatto concreto sulla vita delle persone. Il Center for Internet Security, in collaborazione con il Consortium for School Networking, ha pubblicato a marzo duemilaventicinque uno studio monumentale che ha analizzato oltre cinquemila istituzioni educative K-12 americane tra luglio duemilaventitre e dicembre duemilaventiventiquattro[3].

I risultati sono allarmanti: l’ottantadue percento delle scuole primarie e secondarie negli Stati Uniti che partecipano ai programmi MS-ISAC ha subito un incidente informatico nel periodo analizzato[3]. Durante questi diciotto mesi sono stati registrati oltre quattordicimila eventi di sicurezza, di cui novemilatrecento confermati come incidenti cyber veri e propri[3]. Ogni numero rappresenta una potenziale violazione della privacy di studenti e personale scolastico, un’interruzione della didattica, un costo economico per comunità spesso già in difficoltà finanziarie.

Ma cosa significa concretamente per una comunità scolastica subire un attacco ransomware? L’analisi condotta da Comparitech, che traccia sistematicamente gli attacchi ransomware contro istituzioni educative dal 2018, fornisce una risposta precisa e preoccupante[4]. Secondo i dati più recenti disponibili sul loro database pubblicamente accessibile, che documenta centinaia di attacchi verificati, il settore educativo ha registrato tempi di interruzione significativi a seguito degli attacchi ransomware. Nel 2023, gli attacchi hanno causato in media undici giorni di downtime per le istituzioni colpite[4].

Per comprendere la portata di questa interruzione, basti pensare che rappresenta oltre due settimane di apprendimento cancellate, stipendi per supplenti e personale amministrativo impegnato nella gestione dell’emergenza, angoscia per famiglie che devono riorganizzare improvvisamente la custodia dei figli.Il Government Accountability Office statunitense ha documentato attraverso interviste con funzionari scolastici e analisi di casi documentati che il tempo necessario per il recupero completo da un attacco informatico può variare considerevolmente[5].

La perdita immediata di apprendimento oscilla tra tre giorni e tre settimane, mentre il tempo per il pieno ripristino delle operazioni può estendersi da due a nove mesi[5]. Questi tempi di recupero dipendono da molteplici fattori: la preparazione pre-attacco dell’istituzione, la disponibilità di backup funzionanti, l’accesso a supporto tecnico specializzato e, naturalmente, le risorse finanziarie disponibili.

La dimensione economica degli attacchi cyber educativi è diventata spaventosa e ben documentata. La società britannica di cybersecurity Sophos ha condotto tra gennaio e febbraio duemilaventiventiquattro un’indagine su seicento responsabili IT e cybersecurity del settore educativo distribuiti in quattordici paesi, divisi equamente tra trecento del segmento lower education (studenti fino a diciotto anni) e trecento dell’higher education (università)[6].

I risultati fotografano una realtà in cui i cybercriminali hanno compreso perfettamente quanto le scuole siano disperate quando si tratta di recuperare i dati degli studenti.

Il sessantadue percento delle istituzioni di lower education colpite da ransomware ha deciso di pagare il riscatto richiesto dagli attaccanti[6]. Tra i novantanove intervistati di lower education che hanno pagato e hanno condiviso l’importo effettivo, il pagamento mediano è stato di sei virgola sei milioni di dollari[6].

Nel segmento higher education, il sessantasette percento ha pagato il riscatto, con un pagamento mediano di quattro virgola quattro milioni di dollari tra i novantadue intervistati universitari che hanno condiviso i dati[6].

Ancora più preoccupante è la scoperta che il cinquantacinque percento delle istituzioni di lower education e il sessantasette percento di quelle di higher education hanno finito per pagare più della richiesta iniziale di riscatto[6], dimostrando quanto efficacemente i criminali informatici riescano a esercitare pressione psicologica crescente sulle loro vittime durante la negoziazione.

Per chi riesce a evitare di pagare il riscatto e tenta di recuperare i dati attraverso i backup o altri metodi, i costi rimangono comunque devastanti. Il costo medio di recupero (escludendo qualsiasi pagamento di riscatto) è stato di tre virgola settantasei milioni di dollari per le istituzioni di lower education nel 2024, più del doppio rispetto ai costi di un virgola cinquantanove milioni registrati appena un anno prima[6]. Per le università, il costo medio di recupero è salito a quattro virgola zero due milioni di dollari, quasi quattro volte superiore al milione e sessantamila dollari del 2023[6].

Questi costi includono la sostituzione dell’hardware compromesso, le consulenze forensi specializzate, il miglioramento della cybersecurity per prevenire attacchi futuri, e naturalmente i costi indiretti legati all’interruzione della didattica e alla perdita di produttività.Comparitech documenta nel suo database che il costo medio totale di recupero per le istituzioni educative che hanno condiviso dati finanziari completi è stato di un virgola quarantadue milioni di dollari nel 2023[4]. Convertendo in euro al cambio medio del periodo, parliamo di circa un virgola tre milioni di euro per incidente.

Per un istituto comprensivo medio italiano, con un budget annuale che raramente supera qualche milione di euro, un attacco ransomware può rappresentare un colpo finanziario che assorbe una porzione significativa delle risorse altrimenti destinate all’istruzione, agli stipendi e alla manutenzione degli edifici.

L’elemento umano: la prima linea di difesa e la prima vulnerabilità

Nessuna soluzione tecnologica, per quanto avanzata, può compensare completamente la mancanza di consapevolezza delle persone che utilizzano quotidianamente i sistemi informatici. Il Verizon Data Breach Investigations Report duemilaventiventiquattro, considerato uno dei documenti più autorevoli nel panorama della sicurezza informatica globale, ha analizzato trentamilaquattrocentocinquantotto incidenti di sicurezza reali verificatisi tra novembre 2022 e ottobre 2023, di cui diecimilaseicentoventisei erano violazioni di dati confermate[7].

I risultati mostrano che l’elemento umano è stato un componente determinante nel sessantotto percento delle violazioni analizzate[7]. Questo significa che più di due terzi degli attacchi informatici riusciti coinvolgono persone che commettono errori involontari o cadono vittime di schemi di ingegneria sociale come il phishing e le truffe via email.

Il report Verizon ha rivisto la sua metodologia di calcolo dell’elemento umano per escludere i casi di abuso di privilegi malevolo da parte di insider, fornendo così una metrica più chiara di ciò che la formazione sulla consapevolezza della sicurezza può effettivamente influenzare[7]. Con questa definizione raffinata, l’elemento umano rimane presente in oltre due terzi delle violazioni, una percentuale statisticamente simile a quella dell’anno precedente[7].

Se si includessero anche gli insider malevoli, la percentuale salirebbe al settantasei percento[7], ma la distinzione è importante perché gli errori non malevoli sono quelli su cui la formazione e le politiche di sicurezza possono avere il maggiore impatto.

Pensate a quante volte un insegnante potrebbe aver cliccato su un link sospetto ricevuto via email, magari fingendosi il Ministero dell’Istruzione o il dirigente scolastico. Oppure quante volte il personale di segreteria ha aperto un allegato che prometteva informazioni urgenti su iscrizioni o graduatorie. Il report Verizon documenta che il tempo mediano perché un utente cada vittima di una email di phishing è inferiore ai sessanta secondi: ventun secondi per cliccare sul link malevolo e appena ventotto secondi per inserire i propri dati sul sito di phishing[7].

In pratica, un’istituzione scolastica può passare da uno stato di sicurezza a una compromissione completa nel tempo che serve per bere un caffè.

Fortunatamente, lo stesso studio registra anche segnali positivi che dimostrano l’efficacia della formazione continua. Il venti percento degli utenti ha riconosciuto e segnalato tentativi di phishing durante simulazioni di addestramento, e addirittura l’undici percento di coloro che hanno inizialmente cliccato su email dannose le ha successivamente segnalate[7].

Questi dati dimostrano che la formazione continua del personale scolastico in materia di sicurezza informatica non è un investimento vano, ma produce risultati misurabili nella riduzione del rischio. La tendenza al miglioramento nella segnalazione dal 2016 a oggi suggerisce che gli sforzi di formazione stanno gradualmente cambiando la cultura della sicurezza nelle organizzazioni.

Gli esperti intervistati da K-12 Dive sottolineano ripetutamente che gli attacchi alle scuole sono “motivati al cento percento dal denaro” e che la mancanza di protezioni di base come l’autenticazione a più fattori rende le istituzioni educative “bersagli più facili rispetto ad altri settori”[8]. Doug Levin, cofondatore e direttore nazionale del K12 Security Information eXchange, ha dichiarato che le scuole sono state lente nell’implementare protezioni di buon senso come l’autenticazione multifattore, rendendo il settore un obiettivo più semplice per i criminali informatici[8].

In Italia, dove il registro elettronico è ormai uno strumento essenziale utilizzato quotidianamente da milioni di famiglie per monitorare voti, assenze e comunicazioni scolastiche, la mancanza di robusti sistemi di autenticazione rappresenta una vulnerabilità critica. Immaginate se un criminale informatico riuscisse ad accedere al registro elettronico di un intero istituto comprensivo: avrebbe accesso non solo ai voti e alle assenze, ma anche a indirizzi di casa, numeri di telefono, email e certificazioni mediche di centinaia di minori e delle loro famiglie.

La situazione italiana: tra nebbia informativa e vulnerabilità strutturali

L’Italia si trova in una posizione peculiare quando si parla di cybersecurity nelle scuole. Come membro dell’Unione Europea, il paese è soggetto al Regolamento Generale sulla Protezione dei Dati, il famoso GDPR entrato in vigore nel duemiladiciotto, che impone obblighi stringenti alle istituzioni scolastiche per quanto riguarda la raccolta, il trattamento e la protezione dei dati personali degli studenti. In caso di violazione, le scuole devono notificare l’incidente al Garante per la Protezione dei Dati Personali entro settantadue ore e, in alcuni casi, informare anche gli interessati.

Molte scuole italiane hanno nominato un Data Protection Officer come richiesto dalla normativa, ma spesso questa figura non ha competenze tecniche specifiche in cybersecurity e si limita agli aspetti formali della conformità normativa senza implementare misure di sicurezza tecniche adeguate.

L’Agenzia per la Cybersicurezza Nazionale, istituita nel duemilaventuno, ha il compito di coordinare la strategia nazionale di cybersecurity. Nel suo Perimetro di Sicurezza Nazionale Cibernetica, l’ACN ha incluso alcune università di rilevanza nazionale, ma le scuole primarie e secondarie, dove studiano milioni di bambini e ragazzi, non rientrano ancora pienamente in questo perimetro di protezione. Questo le lascia sostanzialmente esposte senza un coordinamento nazionale strutturato, affidate alla buona volontà e alle limitate risorse dei singoli istituti.

La Direttiva NIS2 dell’Unione Europea, che avrebbe dovuto essere recepita dall’Italia entro ottobre duemilaventiventiquattro, estenderà gli obblighi di cybersecurity a un numero maggiore di settori ed entità, potenzialmente includendo anche istituzioni educative di grandi dimensioni, ma i dettagli dell’implementazione italiana rimangono ancora poco chiari.

Ciò che sappiamo con certezza è che diversi istituti scolastici italiani, dalle scuole elementari alle università, hanno subito attacchi ransomware negli ultimi anni. L’Università di Tor Vergata a Roma, il Politecnico di Milano e diversi altri atenei hanno dovuto affrontare tentativi di intrusione o attacchi riusciti, con conseguenze che vanno dalla perdita temporanea di accesso ai sistemi alla compromissione di dati di ricerca e informazioni personali di studenti e docenti.

Tuttavia, la stragrande maggioranza di questi episodi non viene resa pubblica, creando una pericolosa nebbia informativa che impedisce di comprendere l’effettiva portata del problema nazionale. Mentre negli Stati Uniti esistono database pubblici come quello del K12 Security Information eXchange che tracciano ogni incidente cyber nel settore educativo, permettendo analisi statistiche robuste e interventi mirati, in Italia navighiamo sostanzialmente al buio, guidati più da aneddoti che da dati sistemici.

Il divario degli investimenti: quando la sicurezza è considerata un lusso

La vulnerabilità delle scuole agli attacchi informatici riflette in modo cristallino le nostre priorità come società. Il Consortium for School Networking ha condotto nel 2023 la sua indagine annuale sullo stato della leadership tecnologica educativa, intervistando responsabili IT e technology leaders di distretti scolastici negli Stati Uniti[9].

I risultati rivelano che la cybersecurity è rimasta la principale preoccupazione dei responsabili tecnologici scolastici per il quinto anno consecutivo[9]. Eppure, nonostante questa consapevolezza diffusa e crescente, solo un terzo circa degli intervistati ha dichiarato che il proprio istituto dispone di risorse sufficienti per affrontare adeguatamente le sfide di sicurezza informatica[9].

Ancora più preoccupante è il dato sulla presenza di personale dedicato. Secondo quanto riportato da K-12 Dive basandosi su dati del settore, il sessantasei percento dei distretti scolastici non dispone di una posizione a tempo pieno dedicata specificamente alla sicurezza informatica[8]. Questo significa che nella stragrande maggioranza delle scuole, la cybersecurity è gestita da personale che ha molte altre responsabilità, spesso senza formazione specifica in sicurezza informatica. Il dodici percento delle istituzioni scolastiche intervistate dal CoSN non ha alcun finanziamento dedicato alla difesa informatica[9], lasciando questi istituti completamente esposti e incapaci di implementare anche le protezioni più basilari.

I dati di benchmark internazionali evidenziano una sproporzione drammatica negli investimenti tra settore pubblico e privato. Secondo l’analisi pubblicata da VentureBeat nel 2023 basata su ricerche di mercato, le imprese destinano in media il nove virgola nove percento dei loro budget informatici alla cybersecurity[10].

Le piccole e medie imprese private, secondo dati del settore, allocano tipicamente circa il dieci percento del loro budget IT annuale a soluzioni e servizi di sicurezza informatica. In netto contrasto con questi standard aziendali, secondo i dati raccolti dal Consortium for School Networking, circa un quinto delle scuole dedica meno dell’uno percento dei propri budget IT alla cybersecurity[9], mentre il dodici percento degli istituti non ha alcuna allocazione per questo scopo vitale[9]. Stiamo parlando di una differenza di ordini di grandezza: mentre un’azienda privata investe dieci euro su cento in sicurezza informatica, una scuola ne investe meno di uno, se va bene.

Nel contesto italiano, questa disparità è amplificata dal sottofinanziamento cronico del sistema scolastico pubblico. Il Piano Nazionale di Ripresa e Resilienza ha stanziato oltre due virgola uno miliardi di euro per la digitalizzazione scolastica, una cifra che appare generosa sulla carta. Tuttavia, la cybersecurity rimane spesso un aspetto trascurato in questi investimenti, considerata meno prioritaria rispetto all’acquisto di lavagne interattive multimediali o tablet per gli studenti. Eppure, senza adeguate misure di sicurezza, ogni dispositivo connesso rappresenta una potenziale porta d’ingresso per i criminali informatici. È come costruire una casa con porte e finestre bellissime ma senza serrature, sperando che i ladri non si accorgano della vulnerabilità.

Alcune regioni italiane hanno mostrato maggiore iniziativa. La Lombardia, attraverso ARIA, l’Azienda Regionale per l’Innovazione e gli Acquisti, ha sviluppato servizi di sicurezza informatica per le scuole del territorio. L’Emilia-Romagna ha creato una rete di supporto tecnico che include anche aspetti di cybersecurity. Tuttavia, si tratta di iniziative territoriali non coordinate a livello nazionale, che creano inevitabilmente disparità significative tra scuole in diverse regioni. Un bambino che frequenta una scuola elementare a Milano potrebbe beneficiare di protezioni informatiche che un suo coetaneo a Palermo o Potenza non ha, creando una pericolosa frammentazione nella tutela dei diritti digitali dei minori italiani.

Modelli virtuosi e percorsi possibili

L’esperienza internazionale offre spunti interessanti per costruire un sistema di protezione più robusto. Negli Stati Uniti, alcuni stati hanno fatto investimenti significativi e mirati. Il Texas, ad esempio, ha stanziato nel 2023 cinquantacinque milioni di dollari specificamente destinati a contrastare le minacce alla cybersecurity scolastica attraverso il Texas K-12 Cybersecurity Act[11]. Il programma dà priorità ai distretti di piccole e medie dimensioni nell’accesso a servizi di protezione avanzata, riconoscendo che sono proprio questi istituti con meno risorse ad essere più vulnerabili[11]. L’investimento copre non solo tecnologie di protezione ma anche formazione del personale e servizi di monitoraggio continuo.

In Europa, il Regno Unito ha sviluppato il programma Cyber Essentials for Schools che fornisce linee guida dettagliate e certificazioni di sicurezza informatica per le istituzioni educative, creando standard minimi condivisi e verificabili. Il programma ha avuto particolare successo perché combina requisiti tecnici chiari con supporto pratico nell’implementazione, riconoscendo che molte scuole non hanno competenze interne sufficienti.

L’Italia potrebbe trarre ispirazione da questi modelli, adattandoli al contesto nazionale. Servirebbe innanzitutto un fondo dedicato alla cybersecurity scolastica, gestito dal Ministero dell’Istruzione e del Merito in coordinamento con l’Agenzia per la Cybersicurezza Nazionale. Un investimento di cento milioni di euro annui, ripartiti strategicamente tra le circa ottomila istituzioni scolastiche italiane, permetterebbe a ogni scuola di avere circa dodicimilacinquecento euro dedicati specificamente alla sicurezza informatica. Una cifra che appare modesta ma che potrebbe fare una differenza enorme, permettendo a ogni scuola di avere almeno un referente formato in cybersecurity, strumenti di protezione di base aggiornati e supporto tecnico specializzato quando necessario.

Ma gli investimenti finanziari, per quanto necessari, non sono sufficienti senza un cambio di paradigma culturale. Dobbiamo smettere di pensare alla sicurezza informatica come a un problema tecnico da delegare al professore che si intende di computer e iniziare a considerarla una componente essenziale del diritto allo studio nel ventunesimo secolo. Una scuola che non protegge adeguatamente i dati dei suoi studenti non sta semplicemente violando una normativa: sta tradendo la fiducia delle famiglie che le affidano ciò che hanno di più prezioso.

Cosa possono fare le scuole oggi, con le risorse disponibili

Nell’attesa di una strategia nazionale coordinata e di investimenti adeguati, le scuole italiane possono e devono adottare alcune misure fondamentali di protezione, molte delle quali hanno costi limitati o addirittura nulli. L’autenticazione a più fattori per l’accesso al registro elettronico e ai sistemi amministrativi rappresenta la prima linea di difesa e costa pochissimo da implementare. Gli esperti intervistati ripetutamente sottolineano che la mancanza di MFA rende le scuole bersagli molto più facili[8]. Anche se un criminale riesce a rubare una password attraverso un attacco di phishing, non potrà accedere ai sistemi senza il secondo fattore di autenticazione, tipicamente un codice temporaneo inviato al telefono dell’utente autorizzato o generato da un’app dedicata.

I backup regolari dei dati rappresentano un’assicurazione essenziale contro gli attacchi ransomware. Il rapporto Sophos documenta che il novantacinque percento delle istituzioni educative colpite da ransomware ha riferito che i cybercriminali hanno tentato di compromettere i loro backup durante l’attacco, con un tasso di successo del settantuno percento per il settore lower education[6]. Questo rende le scuole particolarmente vulnerabili perché anche quando hanno backup, questi vengono spesso compromessi insieme ai dati principali.

Un backup efficace deve essere conservato offline, su supporti fisici disconnessi dalla rete o su cloud storage con protezione immutabile, in modo che un attacco ransomware non possa criptare anche le copie di sicurezza. Si tratta di una pratica che richiede disciplina e organizzazione, ma non necessariamente budget elevati. La regola del tre-due-uno è considerata lo standard minimo: tre copie dei dati, su due tipi diversi di supporti, con una copia conservata offline o offsite.

La formazione del personale è forse l’investimento più importante e meno costoso che una scuola possa fare in materia di cybersecurity. Il dato Verizon che il sessantotto percento delle violazioni coinvolge l’elemento umano[7] dimostra quanto sia critico questo aspetto. Organizzare sessioni regolari di sensibilizzazione sulla sicurezza informatica, anche solo di un’ora al trimestre, può ridurre drasticamente il rischio che insegnanti e personale amministrativo cadano vittima di attacchi di phishing o altri schemi di ingegneria sociale.

Queste sessioni devono essere pratiche e concrete, mostrando esempi reali di email di phishing che prendono di mira le scuole, spiegando come riconoscere link sospetti e fornendo istruzioni chiare su cosa fare in caso di dubbio. L’obiettivo non è trasformare gli insegnanti in esperti di sicurezza informatica, ma fornire loro gli strumenti cognitivi per riconoscere le situazioni potenzialmente pericolose e sapere quando chiedere aiuto. Il fatto che il venti percento degli utenti riesca a identificare e segnalare phishing durante le simulazioni[7] dimostra che la formazione funziona.

L’aggiornamento regolare dei software è un’altra misura fondamentale spesso trascurata per mancanza di consapevolezza piuttosto che di risorse. Molti attacchi ransomware sfruttano vulnerabilità note in software non aggiornato. Il report Verizon documenta che lo sfruttamento di vulnerabilità come vettore iniziale di attacco è triplicato rispetto all’anno precedente, rappresentando il quattordici percento di tutte le violazioni[7]. I sistemi operativi, i browser web, i programmi di posta elettronica devono essere mantenuti sempre aggiornati all’ultima versione di sicurezza disponibile. Nelle scuole italiane, dove spesso si utilizzano computer datati per mancanza di fondi per sostituirli, questo rappresenta una sfida particolare, ma esistono soluzioni open source e gratuite basate su Linux che possono offrire livelli di sicurezza adeguati anche su hardware meno recente.

Le scuole dovrebbero anche implementare politiche chiare di sicurezza informatica, documentate e comunicate a tutto il personale. Queste politiche dovrebbero coprire aspetti come la gestione delle password (lunghezza minima, complessità, frequenza di cambio), l’uso di dispositivi personali per accedere a sistemi scolastici, le procedure di segnalazione di incidenti sospetti, e le responsabilità di ciascun ruolo nella protezione dei dati. Una politica ben scritta e comunicata efficacemente può prevenire molti degli errori umani che portano a violazioni di sicurezza.

Il ruolo cruciale dei genitori e delle famiglie

I genitori italiani devono diventare parte attiva della soluzione alla crisi di cybersecurity educativa, non solo vittime passive del problema. Hanno il diritto, anzi il dovere, di chiedere al dirigente scolastico quali misure di sicurezza informatica sono state implementate per proteggere i dati dei loro figli. Durante le riunioni del consiglio d’istituto, la cybersecurity dovrebbe diventare un punto fisso all’ordine del giorno, non un argomento relegato alla fine come varie ed eventuali, discusso frettolosamente quando tutti sono stanchi e desiderosi di tornare a casa.

I genitori hanno il diritto di sapere se la scuola implementa l’autenticazione a più fattori per i sistemi che gestiscono i dati dei loro figli. Hanno il diritto di chiedere con quale frequenza vengono eseguiti i backup dei dati e dove vengono conservati. Hanno il diritto di sapere se il personale riceve formazione regolare sulla sicurezza informatica e se esiste un piano di risposta agli incidenti nel caso in cui si verifichi un attacco. Queste non sono domande tecniche complicate: sono richieste legittime di trasparenza su come l’istituzione protegge informazioni sensibili affidate alla sua custodia.

Le famiglie possono anche contribuire sensibilizzando i propri figli sull’importanza della sicurezza digitale fin dalla più tenera età. Anche bambini di scuola elementare possono imparare concetti base come l’importanza di non condividere le password con nessuno, inclusi gli amici, come riconoscere messaggi sospetti online, e perché è fondamentale informare immediatamente un adulto di fiducia se qualcosa sembra strano o preoccupante nella loro esperienza digitale. Questa educazione digitale familiare si integra con quella che dovrebbe essere fornita a scuola, creando una cultura della sicurezza che protegge i ragazzi non solo nell’ambito scolastico ma in tutta la loro vita digitale, dai social media ai videogiochi online.

I comitati genitori potrebbero organizzare incontri con esperti di cybersecurity, invitare rappresentanti dell’Agenzia per la Cybersicurezza Nazionale o della Polizia Postale per spiegare concretamente i rischi e le buone pratiche. Alcune scuole italiane hanno già sperimentato con successo questi incontri informativi, creando una maggiore consapevolezza collettiva e spingendo l’istituto a investire maggiormente in sicurezza informatica. Quando i genitori dimostrano di avere questa sensibilità e di considerare prioritaria la protezione dei dati dei loro figli, i dirigenti scolastici e gli amministratori comunali ascoltano con maggiore attenzione e sono più propensi a trovare risorse per migliorare la sicurezza.

Verso un futuro digitalmente sicuro per le nostre scuole

La vulnerabilità delle scuole italiane agli attacchi informatici riflette in modo cristallino le nostre priorità come società e il valore che attribuiamo concretamente alla protezione dei dati dei minori. Finché considereremo la cybersecurity educativa come un optional piuttosto che come un diritto fondamentale alla privacy dei nostri figli, continueremo a permettere che informazioni sensibili su bambini e ragazzi vengano esposte, rubate e commercializzate sui mercati illegali digitali.

La soluzione a questa crisi richiede innanzitutto un cambio di paradigma culturale prima ancora che tecnologico. Il governo italiano deve stanziare fondi specifici e adeguati per la cybersecurity scolastica nel prossimo bilancio dello Stato. Non parliamo di cifre astronomiche che metterebbero in crisi i conti pubblici: anche solo cento milioni di euro all’anno, ripartiti strategicamente tra le istituzioni scolastiche, potrebbero fare una differenza enorme nella capacità di difesa del sistema educativo nazionale. Il modello texano, con i suoi cinquantacinque milioni di dollari dedicati[11], dimostra che investimenti mirati e ben strutturati possono trasformare significativamente il panorama della sicurezza scolastica.

Le regioni e gli enti locali devono coordinare i loro sforzi, evitando duplicazioni inutili e creando economie di scala attraverso centrali regionali di acquisto per soluzioni di cybersecurity. Questo permetterebbe di negoziare prezzi migliori con i fornitori e garantire standard uniformi di protezione su tutto il territorio nazionale. I fornitori di tecnologia che vendono alle scuole italiane dovrebbero essere obbligati a fornire prodotti sicuri per design, con aggiornamenti di sicurezza garantiti per anni e supporto tecnico incluso nel prezzo, non come optional costoso.

La domanda non è se un attacco informatico possa colpire la scuola frequentata dai nostri figli, ma quando accadrà. I dati globali lo dimostrano inequivocabilmente: con l’ottantadue percento delle scuole americane colpite in diciotto mesi[3], con un aumento del novantadue percento degli attacchi K-12[2], con costi medi di recupero che superano il milione di dollari[4,6], la minaccia è concreta, presente e in crescita. L’Italia non può permettersi di rimanere indietro mentre altri paesi europei investono massicciamente nella protezione digitale delle loro scuole. I dati dei nostri bambini, la continuità della loro istruzione, la fiducia nel sistema educativo pubblico sono tutti in gioco in questa partita cruciale.

La sicurezza informatica scolastica non è più un lusso per scuole d’élite con budget generosi, ma un diritto fondamentale di ogni studente italiano, da Nord a Sud, dalle grandi città metropolitane ai piccoli comuni montani e alle isole. Ogni bambino che entra in una scuola italiana dovrebbe poter contare sullo stesso livello di protezione dei suoi dati personali, indipendentemente dalla ricchezza del comune in cui vive o dalla lungimiranza del suo dirigente scolastico.
Il tempo dell’indifferenza è definitivamente finito.

Ogni giorno che passa senza adeguate protezioni è un giorno in cui esponiamo i nostri figli a rischi evitabili, a violazioni della privacy che potrebbero avere conseguenze per anni o decenni. La responsabilità è collettiva e distribuita: del governo che deve stanziare i fondi necessari e creare un quadro normativo chiaro, del Ministero dell’Istruzione che deve coordinare le iniziative e stabilire standard minimi obbligatori, dell’Agenzia per la Cybersicurezza Nazionale che deve includere le scuole nel perimetro di protezione nazionale, dei dirigenti scolastici che devono dare priorità alla sicurezza nelle scelte di spesa, degli insegnanti che devono formarsi e vigilare quotidianamente, dei genitori che devono pretendere trasparenza e protezione adeguata.

Solo unendo gli sforzi e lavorando insieme possiamo costruire un sistema scolastico italiano davvero sicuro nell’era digitale, dove i nostri figli possano imparare e crescere senza che i loro dati personali diventino merce di scambio per criminali informatici senza scrupoli. La strada è tracciata dai modelli internazionali di successo, i dati sono chiari sulle dimensioni del problema, le soluzioni sono note e tecnicamente realizzabili. Manca solo la volontà politica e sociale di fare della cybersecurity scolastica una priorità nazionale. È tempo di agire, prima che sia troppo tardi per troppi dei nostri bambini.