Ogni mattina, 4,5 milioni di utenti accedono a ClasseViva per consultare voti, assenze, comunicazioni scolastiche. Dietro ogni accesso c'è un ecosistema di dati sensibili — anagrafiche di minori, diagnosi mediche nei PEI e PDP, valutazioni, comunicazioni tra docenti e famiglie — che rappresenta uno dei patrimoni informativi più delicati del Paese. E proprio per questo, uno dei più appetibili per il cybercrime organizzato.
I numeri sono inequivocabili. Secondo il rapporto Sophos State of Ransomware in Education 2025, l'82% delle scuole primarie e secondarie a livello globale ha subito almeno un incidente di cybersicurezza tra luglio 2023 e dicembre 2024. Il costo medio di recupero da un attacco ransomware per una scuola ha raggiunto i 2,28 milioni di dollari, il più alto tra tutti i settori economici. In Italia, la situazione è ancora più preoccupante: secondo i dati Check Point riportati da Servicematica, gli attacchi informatici alle scuole italiane sono cresciuti dell'82% rispetto all'anno precedente, con una media di 8.593 attacchi settimanali.
La scuola italiana si trova dunque in una posizione paradossale: custodisce dati tra i più sensibili in assoluto — quelli dei minori — ma dispone spesso di budget IT ridotti, infrastrutture obsolete e personale non adeguatamente formato sulla sicurezza informatica.
Il ransomware resta la minaccia più devastante per le istituzioni scolastiche. Secondo la ricerca ThreatDown by Malwarebytes, gli attacchi ransomware contro le scuole K-12 sono esplosi con un incremento del 92% tra il 2022 e il 2023, passando da 51 a 98 attacchi documentati. I gruppi criminali più attivi — LockBit, Vice Society/Rhysida, CL0P, Medusa e Akira — sono responsabili di circa l'81% di tutti gli attacchi ransomware contro istituzioni educative.
Il meccanismo è brutale nella sua semplicità: i criminali penetrano nei sistemi scolastici, cifrano tutti i dati — registri, archivi, comunicazioni, documenti amministrativi — e chiedono un riscatto per restituirli. Il dato più allarmante riguarda il tasso di pagamento: il 62% delle istituzioni scolastiche colpite ha deciso di pagare il riscatto, con un pagamento mediano di 6,6 milioni di dollari. Per un istituto comprensivo italiano, con un bilancio che raramente supera qualche milione di euro, un attacco di questa portata può significare la paralisi totale.
In Italia, diversi istituti — dall'Università di Tor Vergata al Politecnico di Milano — hanno subito tentativi di intrusione o attacchi riusciti. Ma il fenomeno colpisce anche le scuole più piccole, spesso con conseguenze ancora più gravi proprio per la mancanza di risorse per il recupero.
Se il ransomware è l'arma più distruttiva, il phishing è il cavallo di Troia più utilizzato per penetrare nelle reti scolastiche. Le campagne di phishing mirate al mondo della scuola sono diventate sofisticate: email che imitano comunicazioni ministeriali, portali di login istituzionali contraffatti, documenti falsi che richiedono l'inserimento di credenziali.
Il rapporto Verizon Data Breach Investigations documenta che lo sfruttamento di vulnerabilità come vettore iniziale di attacco è triplicato rispetto all'anno precedente, rappresentando il 14% di tutte le violazioni. Ma il fattore umano resta predominante: oltre il 40% degli incidenti deriva da configurazioni errate dell'autenticazione a più fattori, mentre un terzo degli attacchi sfrutta ancora vecchi script come PowerShell 1.0.
In ambito scolastico, la vulnerabilità è amplificata dalla vastità e frammentazione dell'utenza: docenti, personale ATA, studenti, famiglie — tutti accedono a piattaforme diverse con livelli di consapevolezza informatica molto disomogenei. Un singolo clic su un link fraudolento da parte di un collaboratore scolastico può aprire le porte dell'intero sistema informativo dell'istituto.
Ogni giorno, le scuole italiane gestiscono migliaia di dati sensibili: registri elettronici con voti, piani educativi individualizzati contenenti diagnosi mediche, indirizzi email di genitori e insegnanti, informazioni sanitarie di minori. Secondo l'analisi di Maiora Labs, il dirigente scolastico ha 72 ore dalla scoperta di una violazione per notificare il Garante per la Protezione dei Dati Personali. La differenza tra una gestione corretta e un errore procedurale può tradursi in sanzioni fino a 10 milioni di euro.
I casi reali sono istruttivi. Una scuola che pubblica per errore sul proprio sito web un PEI contenente diagnosi mediche di alunni con disabilità: sanzione del Garante di 20.000 euro, più condanna personale del dirigente dalla Corte dei Conti a rifondere 7.500 euro. Una segreteria che invia una comunicazione a 150 genitori con gli indirizzi in CC anziché in CCN: violazione dei dati personali con obbligo di notifica al Garante. Studenti che accedono al registro elettronico con le credenziali di un docente e modificano i voti: falso in atto pubblico con conseguenze penali.
Questi non sono scenari ipotetici: sono casi documentati dalla giurisprudenza italiana che dimostrano come la cybersicurezza scolastica non sia un problema astratto, ma un rischio concreto con conseguenze legali, economiche e reputazionali devastanti.
Il panorama normativo si è fatto sempre più stringente. Il Regolamento GDPR (2016/679) stabilisce obblighi precisi per le scuole in quanto titolari del trattamento: valutazione del rischio, registro dei trattamenti, nomina del DPO, notifica dei data breach entro 72 ore, misure di sicurezza adeguate.
La Direttiva NIS2 (UE 2022/2555), recepita in Italia con il D.Lgs. 138/2024, ha ampliato significativamente il perimetro della cybersicurezza per la pubblica amministrazione. Come chiarisce l'Agenzia per la Cybersicurezza Nazionale (ACN), gli enti pubblici possono essere designati come "soggetti essenziali" con obblighi specifici: valutazione e gestione del rischio, piani di sicurezza informatica, notifica degli incidenti (pre-notifica entro 24 ore, notifica dettagliata entro 72 ore, relazione finale entro 30 giorni), procedure di continuità operativa e formazione obbligatoria per il personale.
L'articolo 2, paragrafo 5 della NIS2 concede agli Stati membri la facoltà di estendere l'applicazione anche agli istituti di istruzione, in particolare quelli impegnati in attività di ricerca critiche. Le sanzioni per inadempienza sono severe: fino a 10 milioni di euro o il 2% del fatturato per i soggetti essenziali, con responsabilità dirigenziale, disciplinare e amministrativo-contabile per i dipendenti pubblici.
Nonostante il quadro normativo robusto, la realtà quotidiana delle scuole italiane rivela lacune profonde. La formazione sulla cybersicurezza per il personale scolastico resta episodica e spesso limitata a brevi corsi teorici che non incidono sui comportamenti reali. Il programma PA Training NIS2 prevede formazione obbligatoria per gli organi direttivi della pubblica amministrazione, ma la sua penetrazione nel mondo scolastico è ancora limitata.
Il budget IT dedicato alla sicurezza nelle scuole italiane è spesso inesistente come voce autonoma, assorbito nelle spese generali per la manutenzione informatica. Mancano figure professionali dedicate: l'Animatore Digitale, pur meritorio, non ha generalmente competenze specifiche in cybersecurity e si occupa prevalentemente di didattica digitale.
Il Coordinamento Nazionale Docenti della disciplina dei Diritti Umani (CNDDU) ha proposto l'introduzione di una nuova figura professionale: il referente per l'accessibilità e l'inclusione digitale d'istituto. Una proposta che andrebbe estesa anche alla cybersicurezza, creando un presidio permanente in ogni scuola.
Quello che manca, più di tutto, è una cultura diffusa della sicurezza informatica. Troppo spesso le password vengono condivise tra colleghi, i dispositivi personali utilizzati per accedere ai sistemi scolastici senza protezione, gli aggiornamenti software rimandati indefinitamente. Il 95% delle istituzioni educative colpite da ransomware ha riferito che i criminali hanno tentato di compromettere anche i backup, con un tasso di successo del 71%. Questo significa che anche la rete di sicurezza più elementare viene regolarmente neutralizzata.
La soluzione non è tornare alla carta e alla penna, ma adottare piattaforme digitali progettate con la sicurezza al centro. La Segreteria Digitale di Spaggiari gestisce la documentazione amministrativa — incluse le informazioni più sensibili come PEI, PDP e certificazioni — con protocolli di sicurezza certificati, garantendo tracciabilità degli accessi e conformità GDPR. La centralizzazione dei dati su piattaforme professionali riduce drasticamente il rischio di dispersione su chiavette USB, email personali e fogli di calcolo condivisi senza protezione.
ClasseViva, con i suoi 4,5 milioni di utenti giornalieri, implementa sistemi di autenticazione robusti e monitoraggio degli accessi che rappresentano un primo presidio fondamentale contro le intrusioni. Le Aule Virtuali Plus offrono ambienti di apprendimento online protetti, dove le interazioni tra docenti e studenti avvengono in spazi sicuri e monitorati, riducendo l'esposizione a piattaforme esterne non controllate.
La formazione resta l'investimento più efficace. ItaliaScuola.it offre percorsi di aggiornamento specifici per dirigenti scolastici e personale amministrativo sugli adempimenti normativi in materia di protezione dati e sicurezza informatica. Scuola.net mette a disposizione risorse educative sulla cittadinanza digitale che possono sensibilizzare anche gli studenti più giovani ai rischi del cyberspazio.
La protezione dei dati assume una rilevanza ancora maggiore quando si parla dei bambini più piccoli. ClasseViva Infanzia, dedicata al segmento educativo 0-6 anni, gestisce informazioni particolarmente delicate — dalla documentazione sanitaria alle osservazioni pedagogiche — che richiedono il massimo livello di protezione. L'adozione di piattaforme certificate fin dalla prima infanzia costruisce una catena di custodia dei dati che accompagna lo studente lungo tutto il percorso scolastico.
Anche WonderWhat, la piattaforma dedicata all'orientamento e ai PCTO, gestisce dati sensibili legati ai percorsi formativi e professionali degli studenti che necessitano di protezione adeguata, soprattutto in un contesto in cui le informazioni vengono condivise con soggetti esterni come aziende e enti ospitanti.
Non servono budget milionari per innalzare significativamente il livello di sicurezza informatica di una scuola. Ecco cinque azioni concrete che possono fare la differenza già da domani.
Primo: autenticazione a più fattori. Attivare la verifica in due passaggi per l'accesso al registro elettronico e ai sistemi amministrativi è la prima linea di difesa, con costi quasi nulli.
Secondo: backup secondo la regola 3-2-1. Tre copie dei dati, su due supporti diversi, di cui uno offline e fuori sede. Il 71% dei backup scolastici viene compromesso durante gli attacchi ransomware: solo i backup offline restano al sicuro.
Terzo: aggiornamento costante dei software. Molti attacchi sfruttano vulnerabilità note in software non aggiornato. Un piano di aggiornamento mensile di tutti i sistemi non costa nulla e chiude le porte più comuni agli attaccanti.
Quarto: formazione periodica del personale. Non corsi una tantum, ma pillole formative regolari su phishing, gestione delle password, segnalazione degli incidenti. Il fattore umano resta la vulnerabilità numero uno.
Quinto: piano di risposta agli incidenti. Ogni scuola dovrebbe avere un documento chiaro che stabilisca chi fa cosa in caso di attacco informatico, con numeri di telefono, procedure di isolamento dei sistemi e template per la notifica al Garante entro le 72 ore previste dalla legge.
La cybersicurezza non è un problema tecnico riservato agli informatici: è una questione di tutela dei diritti fondamentali di studenti e famiglie. Ogni dato scolastico violato è un pezzo di vita di un minore esposto senza il suo consenso. Ogni attacco ransomware che paralizza una segreteria è un servizio pubblico essenziale che viene meno.
La buona scuola italiana — quella che ogni giorno dimostra di saper innovare, includere, formare — deve essere anche una scuola che protegge. Le piattaforme digitali certificate, la formazione continua e una cultura della sicurezza diffusa a tutti i livelli sono gli strumenti per trasformare la vulnerabilità in resilienza. La sfida è aperta, e il tempo per affrontarla è adesso.