Una campagna di phishing studiata nei dettagli per tentare di mettere le mani, illegalmente e in anticipo, sulle domande dei test di ammissione ai corsi universitari di Medicina e Chirurgia. È quanto hanno scoperto gli investigatori del Centro operativo per la sicurezza cibernetica Emilia-Romagna della Polizia Postale, che hanno denunciato una ragazza di 21 anni con le accuse di sostituzione di persona e tentato accesso abusivo a sistema informatico.

L’indagine, coordinata dal Servizio Polizia postale e per la sicurezza cibernetica di Roma, è partita dopo la denuncia presentata dai rappresentanti del consorzio interuniversitario che gestisce le piattaforme informatiche utilizzate per i test di accesso alle facoltà mediche. Un settore particolarmente delicato, perché custodisce dati sensibili e soprattutto materiale riservato che, se trafugato, potrebbe compromettere la regolarità delle selezioni universitarie.

Secondo quanto ricostruito dagli investigatori, la giovane avrebbe organizzato una vera e propria operazione di ingegneria sociale digitale. Non un attacco informatico sofisticato da film hollywoodiano, ma una tecnica molto più concreta e spesso efficace: fingere di essere qualcun altro per convincere le vittime a consegnare spontaneamente credenziali e informazioni riservate.

La 21enne avrebbe infatti predisposto false comunicazioni email costruite appositamente per sembrare provenienti da figure istituzionali legate all’organizzazione dei test universitari. Messaggi apparentemente credibili, con loghi, linguaggio formale e riferimenti amministrativi realistici, inviati con l’obiettivo di ingannare i destinatari e ottenere accessi indebiti ai sistemi informatici del consorzio.

L’obiettivo finale sarebbe stato uno solo: entrare in possesso in anticipo dei quesiti dei test di Medicina, uno dei percorsi universitari più competitivi in Italia, dove ogni anno migliaia di candidati si contendono pochi posti disponibili. Un mercato della pressione psicologica e della corsa al punteggio che da tempo rappresenta terreno fertile anche per tentativi di truffa, fughe di notizie e commercio illecito di materiale d’esame.

Le indagini tecniche condotte dagli specialisti della Polizia Postale hanno però permesso di risalire rapidamente all’identità della presunta responsabile. Gli investigatori hanno tracciato connessioni, dispositivi, account e flussi telematici fino ad arrivare a una studentessa fuori sede domiciliata a Roma, iscritta però a una facoltà diversa da Medicina.

La giovane è stata sottoposta a perquisizione domiciliare. Durante l’operazione gli agenti hanno sequestrato diversi dispositivi informatici che saranno ora analizzati per verificare l’eventuale presenza di ulteriori elementi utili all’inchiesta: email utilizzate per il phishing, credenziali sottratte, documenti preparatori o eventuali contatti con altre persone coinvolte.

L’episodio riaccende i riflettori sulla crescente vulnerabilità del sistema universitario agli attacchi cyber. Oggi la quasi totalità delle procedure accademiche – iscrizioni, graduatorie, test, pagamenti e archivi – passa attraverso piattaforme digitali. Un’enorme quantità di dati che attira non solo hacker professionisti, ma anche studenti disposti a tutto pur di ottenere un vantaggio competitivo.

E ancora una volta emerge un dato che gli esperti della sicurezza informatica ripetono da anni: spesso il punto debole non è il sistema tecnologico, ma il fattore umano. Le campagne di phishing funzionano proprio perché sfruttano fiducia, fretta e abitudini quotidiane. Basta una email apparentemente autentica, un link cliccato senza attenzione o una password inserita nel posto sbagliato per aprire la porta a intrusioni e furti di dati.

Le accuse contestate alla ragazza sono pesanti. La sostituzione di persona punisce chi si spaccia fraudolentemente per altri al fine di ottenere vantaggi o arrecare danni, mentre il tentato accesso abusivo riguarda il tentativo di entrare illegalmente in sistemi informatici protetti. Resta ora da chiarire se la giovane abbia agito da sola oppure se vi siano altri soggetti coinvolti nella vicenda.

Nel frattempo la Polizia Postale invita università, enti pubblici e utenti privati a mantenere alta l’attenzione contro le truffe informatiche, verificando sempre l’autenticità delle comunicazioni ricevute e diffidando da email che richiedano credenziali, accessi urgenti o informazioni sensibili. Perché dietro un semplice messaggio di posta elettronica può nascondersi un tentativo di intrusione capace di mettere a rischio interi sistemi digitali.