La protezione del settore Education, che include scuole di diverso ordine e grado, è una grande sfida per la cybersecurity: custodiscono quantità enormi di dati sensibili, dipendono da partner esterni per quanto riguarda  la fornitura e la gestione dell’intera infrastruttura IT e affrontano minacce sia esterne (provenienti da gruppi ransomware motivati da fini economici) sia interne (determinate da attività messe in atto da studenti particolarmente curiosi o talentuosi che tentano di hackerare compagni e docenti inconsapevoli).

Non si può nascondere la realtà: affrontare queste problematiche è difficile. Ma per le scuole, non è una scusa. Una sola violazione può avere conseguenze sulla vita di un bambino.

Target principali

All’inizio dell’anno scorso una violazione dei dati ha messo in luce in modo allarmante la vulnerabilità delle istituzioni educative. Durante il data breach delle Chicago Public Schools (CPS) sono state rubate informazioni di oltre 700.000 studenti ed ex studenti e pubblicate nel dark web. Rubare dati come data di nascita, documento d’identità e numero di assicurazione sanitaria difficilmente portano a furti d’identità, ma sicuramente sono elementi fondamentali per attuare attacchi di social engineering mirati a ottenere ulteriori informazioni sensibili.

Sabrina Curti, Marketing Director di ESET Italia

Incidenti simili purtroppo non sono episodi isolati. Secondo il Verizon Data Breach Investigations Report 2025, il settore educativo è diventato estremamente vulnerabile: su 1.075 incidenti, 851 hanno comportato la divulgazione di dati, principalmente a scopo finanziario. L’indagine UK Cyber Security Breaches Survey 2025 ha rilevato che nel Regno Unito, tra agosto e dicembre 2024, una scuola su tre nel settore dell’istruzione superiore ha subito un attacco almeno una volta a settimana.

Questo dimostra che le scuole sono diventate obiettivi primari per i cybercriminali, perché gestiscono dati molto più preziosi di quelli conservati nella maggior parte dei database aziendali.

Dati più sensibili di qualsiasi ufficio del Personale

Chi pensa che le scuole conservino solo nomi e voti sbaglia. Le informazioni custodite includono:

• dati medici come allergie, farmaci o stato vaccinale
• dettagli su assicurazioni sanitarie o sociali
• negli USA, anche i numeri di previdenza sociale dei genitori
• informazioni sull’affidamento
• contatti di emergenza
• valutazioni psicologiche o supporti scolastici
• dati dei finanziatori

In altre parole, le scuole custodiscono dati personali di minori e giovani adulti e informazioni private dei genitori, oltre ai dettagli delle transazioni finanziarie. Questi dataset sono un tesoro per furti di identità, frodi o estorsioni.

Quanto possano essere gravi le conseguenze, è diventato chiaro con il caso Blackboard. Nel 2018, un diciottenne, Dill Demirkapi, ha scoperto alcune vulnerabilità in un sistema scolastico di terze parti utilizzato da Blackboard che avrebbero potuto consentire l’accesso a oltre cinque milioni di dati sensibili, incluse password, date di vaccinazioni, foto, resoconti comportamentali e saldi sui conti mensa.  Fortunatamente, le ‘falle’ non sono state sfruttate, quindi non si è verificata alcuna violazione effettiva dei dati.

Outsourcing come rischio

Poche scuole realizzano infrastrutture IT proprietarie e spesso si affidano a servizi cloud, piattaforme di apprendimento o registri digitali esterni. Operativamente efficace, la scelta introduce rischi significativi.

Molte istituzioni non sanno dove sono fisicamente archiviati i dati e mancano di competenze per valutare gli standard di sicurezza dei fornitori. Firmano contratti senza requisiti di testing o garanzie e hanno poca trasparenza su chi può accedere e a quali dati. Eppure, una sola vulnerabilità in un sistema esterno può compromettere milioni di record sensibili.

Reti poco segmentate e rischi nascosti

Molte scuole presumono che il proprio sistema informatico sia composto da reti separate – studenti da un lato, amministrazione dall’altro. Ma la realtà è spesso diversa. Wi-Fi aperti agli studenti e sistemi amministrativi sono separati solo sulla carta; lavagne interattive e dispositivi IoT operano sulla stessa rete dei laptop dei docenti. L’accesso remoto è spesso esposto pubblicamente e password deboli sono comuni. Nel caso Blackboard, Demirkapi ha violato una password per accedere al database peggiore di ‘1234’.

Anche docenti che lavorano da casa senza VPN o autenticazione a più fattori aumentano l’esposizione.

Cosa devono fare le scuole

La buona notizia è che molti dei punti deboli identificati possono essere corretti con uno sforzo ragionevole:

1. Segmentazione rigorosa della rete – Separare tecnicamente la rete a cui accedono gli studenti da quella dedicata alla parte amministrativa attraverso l’adozione di firewall, VLAN e sistemi di monitoraggio. Nessuna “back door” deve esistere tra le due.
2. Gestione coerente dei dispositivi – Patch e sicurezza degli endpoint sono fondamentali per la protezione di lavagne interattive, tablet, stampanti e sistemi di accesso. Ogni device connesso costituisce un potenziale punto d’ingresso nella rete scolastica.
3. Accesso RDP sicuro o disabilitato – Il Remote Desktop Protocol rappresenta uno dei principali vettori degli attacchi ransomware; il che significa che se l’RDP non può essere evitato, va reso accessibile solo tramite VPN e protetto da autenticazione multifattore.
4. Requisiti chiari per i fornitori – Aggiornamenti regolari, penetration test, sistemi di crittografia e certificazioni ISO 27001 devono essere sempre richiesti.
5. Approccio Zero Trust – L’approccio Zero Trust si basa sul principio “fidarsi mai, verificare sempre” e considera ogni utente una possibile minaccia. A causa delle specificità dell’ecosistema scolastico, potrebbe essere difficile adottare tutte le regole previste da un approccio Zero Trust considerato in senso lato, ma alcune risultano essere comunque applicabili. Per esempio: adozione di password forti, definizione di privilegi minimi e micro-segmentazione della rete per evitare movimenti laterali.
6. Sensibilizzare i docenti – La base per un’efficace politica di cybersicurezza comincia dalle persone: i docenti devono saper riconoscere eventuali attacchi di phishing, devono sapere creare password forti e sicure, segnalare eventuali incidenti di security e usare i dispositivi correttamente. La cybersecurity è un impegno condiviso, non è solo un compito demandato al personale IT.

Proteggere i nostri bambini proteggendo i loro dati

I bambini non possono difendere le proprie identità digitali, non sono consapevoli se i loro dati siano stati compromessi. Questa responsabilità ricade invece sui dirigenti scolastici, docenti, responsabili IT e decisori politici. Proteggere i dati dei bambini significa proteggere il loro futuro.