Una indagine di Fanpage ha denunciato che con una semplice ricerca su Google sono accessibili carte di identità, passaporti, patenti, codici IBAN, contratti di lavoro, curriculum, email e pec private e pure qualche password.

La fonte è Nuvola, una piattaforma di registro elettronico utilizzata da molte scuole italiane, con tanto di certificazioni ISO e una pagina dedicata sul portale dell’Agenzia per la Cybersicurezza Nazionale (ACN).

Nonostante le misure di sicurezza standard, infatti, è stata riscontrata una vulnerabilità tecnica che ha permesso l'indicizzazione su Google di migliaia di documenti riservati caricati sul registro Nuvola.

Madisoft, azienda ideatrice e sviluppatrice del registro elettronico, ha precisato che i disagi denunciati non dipendono in alcun modo dal loro prodotto. Infatti, secondo quanto riportato da Fanpage.it, una configurazione errata delle cartelle ha reso pubblici file che dovevano rimanere privati.
Il problema nasce da un errore nella gestione della trasparenza amministrativa. Molti istituti hanno caricato documenti nell'area "Albo Online" o in cartelle condivise senza disabilitare l'indicizzazione per i motori di ricerca. Di conseguenza, file che dovrebbero essere accessibili solo tramite link diretto sono diventati risultati di ricerca pubblici.

Questo ha permesso ai motori di ricerca come Google di scansionare e rendere ricercabili:

  • Documenti di identità: Scansioni di carte d'identità e codici fiscali di docenti, personale ATA e, in alcuni casi, genitori o studenti.
  • Contratti e atti amministrativi: Documenti che contengono indirizzi di residenza, IBAN e dati sensibili sul rapporto di lavoro.
  • Graduatorie non oscurate: Liste con dati personali completi pubblicate senza i dovuti accorgimenti per la privacy. 


 Se temi che i tuoi documenti siano tra quelli indicizzati, puoi effettuare delle verifiche mirate su Google utilizzando i cosiddetti "dorks" (comandi di ricerca avanzata) per la ricerca specifica per sito.
Digita nella finestra di Google il comando site:nuvola.madisoft.it "tuo nome e cognome" per vedere se compaiono file a te intestati.
 
Cosa fare se trovi i tuoi dati?
Se la tua carta d'identità è stata pubblicata online dalla scuola o attraverso i canali del Ministero dell'Istruzione e del Merito (MIM), ti trovi di fronte a una grave violazione della privacy (data breach) che permette diverse forme di tutela legale.

Certamente è opportuno:

  1. Contattare la Scuola: In qualità di Titolare del Trattamento, la scuola deve rimuovere immediatamente il file o correggerne i permessi. Invia una comunicazione al Responsabile della Protezione Dati (DPO) della scuola segnalando il data breach.
  2. Richiedere la rimozione a Google: Puoi utilizzare lo strumento Risultati che ti riguardano di Google per richiedere la rimozione di informazioni di contatto personali o documenti di identità dai risultati di ricerca.
  3. Richiedere la rimozione agli altri motori di ricerca, come Bing (Microsoft), Yahoo e DuckDuckGo (focalizzato sulla privacy), Yandex (popolare in Russia), 

 
Inoltre, puoi presentare un modello di reclamo al Garante Privacy per richiedere il blocco del trattamento e la rimozione dei dati. È gratuita e serve a sollecitare un controllo dell'Autorità sulla condotta della scuola o del Ministero.
Il Garante può infliggere sanzioni pecuniarie alla scuola (recentemente sono state emesse multe da 4.000 euro per casi simili). 
 
Se la diffusione del documento ti ha causato un danno (economico o morale, come il rischio di furto d'identità), puoi agire in sede civile ai sensi dell'art. 79 del GDPR e dell'art. 152 del Codice Privacy, per citare la scuola o il MIM per ottenere il risarcimento dei danni. Dovrai - però - dimostrare il danno subito, mentre il titolare del trattamento (la scuola/MIM) dovrà provare di aver fatto tutto il possibile per evitare l'evento.