Schermate con foto inquietanti e messaggi scritti in turco e in inglese al posto dei voti scolastici. Secondo quanto rende noto la testata online locale “Arezzo Notizie”, questo è quello che hanno visualizzato con loro sorpresa gli studenti di un liceo toscano quando hanno digitato la loro password per accedere come al solito al registro elettronico per verificare il loro andamento scolastico e le attività didattiche sul sito web dell’istituto o attraverso un’app sul telefonino.
Spariti quindi i voti e le note sul comportamento degli studenti che gli insegnanti inseriscono abitualmente nel registro elettronico, e per questo ha fatto subito il giro dei cellulari di centinaia di studenti su Facebook e tramite i vari gruppi di Whatsapp la schermata con il messaggio minaccioso che oscurava il registro elettronico del liceo, che a prima vista faceva pensare ad un attacco di hacker operanti dalla Turchia, anche se le indagini delle forze dell’ordine potrebbero portare a individuare molto più vicino gli autori dell’atto vandalico, non essendo infatti da escludere che la bravata sia stata in realtà commessa da qualche giovane smanettone vicino al circuito scolastico che possa aver approfittato delle vulnerabilità di un sito che peraltro utilizza ancora vecchi protocolli di connessione come l’ “http” invece dell’ “https”, e per questo etichettato come “non sicuro” nella barra degli indirizzi sul browser, con una sensazione di un livello di sicurezza non impeccabile, anche per il fatto che il form dei contatti è irraggiungibile e contrassegnato da un messaggio di errore che impedisce di scrivere al liceo.
Altrettanto evidenti sono le carenze sul piano del rispetto del Gdpr, in quanto l’informativa sulla privacy del sito riporta ancora il riferimento al vecchio art.13 del Dlgs 196 del 2003 invece che quello al Regolamento UE 2016/679 entrato in vigore ormai da un anno, e neanche sono rintracciabili nel documento i punti di contatto del data protection officer, figura obbligatoria per tutte le pubbliche amministrazioni e per le organizzazioni che trattano dati sensibili su larga scala, a cui dovrebbero potersi rivolgere gli studenti per chiedere spiegazioni ed esercitare i diritti che sono loro riconosciuti dalla legge sulla protezione dei dati personali.
Anche se il fatto dovesse infine rivelarsi una spavalda goliardata commessa da qualche giovane che con il computer se la cava bene, rischia quindi di passare delle grane il liceo Vittoria Colonna di Arezzo, sia per le multe che possono arrivare fino a 20 milioni di euro, sia perchè per un evento di “data breach” come quello che ha portato alla sparizione del registro elettronico il Gdpr prevede l’obbligo di notifica entro 72 ore al Garante per la privacy, e l’autorità non potrà evitare di mettere gli occhi sulle violazioni di cui sono state oggetto i dati personali degli studenti e sul livello di conformità e di sicurezza del sito web dell’istituto scolastico.
Fonte: Affaritaliani.it – Nicola Bernardi, presidente di Federprivacy