Gentili Dirigenti Scolastici, DSGA e Referenti per la Transizione Digitale,
come Associazione di categoria impegnata nella tutela delle istituzioni scolastiche e nella promozione di un ecosistema digitale sicuro, riteniamo doveroso richiamare l’attenzione delle scuole su un fenomeno che sta emergendo con crescente frequenza.
Ci è stato segnalato che alcuni fornitori, non aderenti ad Assoscuola e privi di rapporti di interoperabilità formalizzati con i produttori dei software gestionali scolastici, stanno promuovendo soluzioni che interagiscono con i sistemi informativi delle scuole mediante modalità tecnicamente e giuridicamente discutibili.
Parliamo, ad esempio, di:
- estensioni del browser (plugin/add-on) installate sui PC degli operatori di segreteria;
- moduli software che “leggono” le informazioni visualizzate nei gestionali attraverso tecniche di acquisizione del contenuto delle pagine web (c.d. DOM scraping);
- sistemi che richiedono credenziali di accesso ai gestionali scolastici o si interpongono tra utente e applicativo per acquisire dati e automatizzare operazioni;
- piattaforme che promettono integrazioni “facili” o “immediate” senza un reale processo di cooperazione applicativa autorizzata (API certificate, tracciati documentati, accordi di interoperabilità).
Tali modalità operative meritano la massima attenzione, poiché possono esporre le scuole a rischi concreti sotto il profilo della sicurezza informatica, della protezione dei dati personali e della continuità operativa.
È opportuno ricordare che le istituzioni scolastiche, in qualità di Titolari del trattamento, sono chiamate a verificare con attenzione la conformità dei fornitori e delle soluzioni adottate.
In particolare, occorre considerare alcuni aspetti fondamentali:
1. Qualificazione dei servizi cloud e sicurezza infrastrutturale
I servizi in modalità SaaS destinati alla Pubblica Amministrazione, e quindi anche alle scuole, devono rispettare i requisiti previsti dal quadro normativo nazionale in materia di qualificazione e sicurezza. L’utilizzo di servizi non adeguatamente qualificati o non trasparenti nelle architetture di trattamento dei dati può comportare rischi significativi in termini di disponibilità, integrità e riservatezza delle informazioni.
A tal fine, si richiama l’attenzione delle scuole sul Catalogo delle Infrastrutture digitali e dei Servizi Cloud qualificati dell’Agenzia per la Cybersicurezza Nazionale (ACN), strumento ufficiale attraverso il quale le Pubbliche Amministrazioni possono verificare se un servizio cloud destinato alla PA risulti qualificato e pubblicato secondo i requisiti previsti dal modello nazionale di sicurezza cloud.
Si evidenzia, inoltre, un aspetto spesso oggetto di equivoci interpretativi: la qualificazione deve riguardare il singolo servizio cloud effettivamente erogato alla Pubblica Amministrazione, e non può ritenersi automaticamente estesa ad altri servizi, moduli, estensioni, applicazioni accessorie o componenti tecnologiche del medesimo fornitore. La presenza di una infrastruttura o di un servizio qualificato non implica, di per sé, che ogni ulteriore funzionalità o applicativo collegato risulti anch’esso qualificato o conforme ai medesimi requisiti. Per tale ragione, è opportuno che le istituzioni scolastiche verifichino puntualmente la presenza nel Catalogo ACN dello specifico servizio utilizzato.
2. Conformità GDPR e minimizzazione del rischio
Qualsiasi soggetto che acceda, anche indirettamente, ai dati presenti nei sistemi scolastici deve operare nel rispetto del Regolamento (UE) 2016/679 (GDPR), con ruoli, responsabilità e misure di sicurezza chiaramente definite.
Una soluzione che acquisisce dati “leggendo” ciò che appare a video, intercettando sessioni di lavoro o replicando contenuti dei gestionali senza un’interoperabilità formalmente autorizzata, pone interrogativi importanti in termini di: legittimità del trattamento, sicurezza del dato, tracciabilità delle operazioni, responsabilità in caso di perdita, alterazione o violazione delle informazioni.
3. Cybersecurity e rischio di compromissione
L’installazione di componenti software terze sui dispositivi della segreteria scolastica (ad esempio plugin del browser) può aumentare la superficie di attacco informatico ed esporre gli ambienti di lavoro a: accessi non autorizzati, furto di dati, vulnerabilità software, possibili intrusioni malevole o compromissioni operative.
Un servizio digitale sottocosto può apparire conveniente nel breve periodo, ma diventare molto oneroso quando emergono problemi di sicurezza, malfunzionamenti, perdita di dati o responsabilità derivanti da trattamenti non conformi.
Assoscuola invita pertanto tutte le istituzioni scolastiche a: verificare sempre la qualificazione e affidabilità dei fornitori, richiedere evidenza delle misure di sicurezza adottate, pretendere interoperabilità documentata, autorizzata e trasparente ed evitare l’installazione di software o estensioni che accedano ai dati dei gestionali senza adeguate garanzie tecniche e giuridiche.
La trasformazione digitale della scuola è un obiettivo importante, ma deve essere perseguito con strumenti affidabili, sicuri e rispettosi delle regole, per tutelare le istituzioni scolastiche, il personale e soprattutto i dati degli studenti e delle famiglie.
Assoscuola resta a disposizione per ogni approfondimento sul tema.
Cordiali saluti
Presidente Assoscuola
Stefano Rocchi