Documenti d'identità e dati sensibili conservati nella piattaforma Nuvola indicizzati su Google
Bastava premere “invio” su Google per trovare un archivio inatteso di dati personali indicizzati: carte d’identità, passaporti, patenti, IBAN, contratti di lavoro, curriculum, PEC private e perfino password. Molti documenti rimandano allo spazio web di “Nuvola”, piattaforma utilizzata dalla maggior parte degli istituti scolastici italiani per gestire il registro elettronico, certificata ISO e presente anche sul portale dell’Agenzia per la Cybersicurezza Nazionale.

Piattaforma Nuvola, dati sensibili su Google - Nonostante le garanzie formali sui sistemi di protezione, i documenti individuati risultavano accessibili via web senza autenticazione e indicizzati dai motori di ricerca. Si trattava – secondo quanto si legge su Fanpage.it – di materiali caricati nell’ambito di pratiche scolastiche – documenti di identità completi di dati anagrafici, fotografie e firme – che hanno esposto informazioni personali e, in alcuni casi, dati particolarmente sensibili.
Rischi economici e reputazionali per le scuole - Il caso apre interrogativi non solo sul piano della tutela della privacy, ma anche su quello economico e reputazionale. Le scuole italiane hanno accelerato la digitalizzazione dei processi amministrativi, affidandosi a fornitori privati per la gestione di archivi e comunicazioni. Un’eventuale vulnerabilità sistemica potrebbe tradursi in contenziosi, sanzioni e costi di adeguamento tecnologico, oltre a minare la fiducia di famiglie e personale scolastico. Sul fronte normativo, l’episodio richiama l’attenzione sull’applicazione del GDPR e sui protocolli di sicurezza richiesti ai fornitori di servizi digitali per la pubblica amministrazione.
L’allarme degli esperti sulla protezione dei dati - “Sono dati che per la loro natura sensibile, dovrebbero essere custoditi con la massima attenzione, e poiché la loro diffusione presenta un rischio elevato per i diritti e le libertà delle persone coinvolte”, ha spiegato Nicola Bernandi, presidente di Ferderprivacy, sul suo profilo LinkedIn. “Siamo di fronte a una falla che mette a rischio la privacy dei cittadini e solleva dubbi su come vengano protetti i dati nelle scuole italiane”.
Una questione di accessi e controlli - Ma come è possibile che decine di documenti appaiano indicizzati su Google? Secondo Bernardi, “ogni piattaforma web è come una casa con porte e finestre, e ogni file conservato su un server è potenzialmente accessibile a chiunque abbia una connessione internet. Ciascun punto d’ingresso deve essere dovutamente presidiato, e nei punti di accesso più delicati deve esserci anche una “guardia” che permetta di entrare solo a chi è autorizzato”.
Responsabilità della diffusione - “Se tutti questi documenti sono finiti così alla mercè di tutti, significa che qualcuno ha lasciato le finestre spalancate e le chiavi sulla porta, permettendo a chiunque di accedere, e anche chi doveva vigilare sulla sicurezza non ha evidentemente fatto il suo dovere”, prosegue Bernandi.
Secondo Bernardi sembra trattarsi di un problema di progettazione, perché il GDPR richiede che la protezione dei dati dei software sia integrata fin dalla “by design” e che le impostazioni predefinite garantiscano il massimo livello di tutela “by default”. “Quindi, anche se spesso le diffusioni accidentali di dati sensibili sono causate da operatori maldestri, in questo caso non si possono addossare colpe ai singoli utenti, ma dovrebbe essere piuttosto lo sviluppatore della piattaforma a fornire spiegazioni sui motivi per cui i documenti, oltre a non essere protetti e liberamente accessibili, sono pure reperibili da chiunque faccia una semplice ricerca su Google.”
Fonte: Economy
Nota pubblicata da Fanpage nella giornata del 14 febbraio 2026: "A circa 24 ore di distanza dalla pubblicazione di questo articolo, alcune delle ricerche che esponevano i documenti di cui abbiamo parlato in questo articolo risultano inattive. Digitando le stesse stringhe di ricerca che prima davano risultati ora non si trova più nulla."
Si riporta la replica a Fanpage ai sensi dell'art. 8 della Legge sulla Stampa, la seguente nota di rettifica da parte di Madisoft S.p.A., società titolare della piattaforma "Nuvola".
Con riferimento a quanto riportato nell'articolo, la società Madisoft S.p.A. precisa quanto segue.
La presunta criticità segnalata non riguarda in alcun modo il "registro elettronico", i cui dati didattici restano protetti e non accessibili, ma concerne esclusivamente i moduli "Amministrazione Trasparente" e "Albo Pretorio Online". Questi strumenti sono destinati per legge alla pubblicità legale e alla trasparenza amministrativa.
L'indicizzazione dei documenti pubblicati in tali sezioni da parte dei motori di ricerca non costituisce una "falla" o un'anomalia del sistema. Al contrario, rappresenta il corretto adempimento di un preciso obbligo normativo (art. 9, D.Lgs. 33/2013), che impone alle Pubbliche Amministrazioni di garantire la massima accessibilità e reperibilità dei dati, vietando l'uso di filtri che ne ostacolino l'indicizzazione.
Sotto il profilo della responsabilità, si chiarisce che le Istituzioni Scolastiche operano quali Titolari del trattamento dei dati ai sensi del GDPR, e sono pertanto responsabili delle decisioni sui contenuti da pubblicare e della verifica della loro conformità alla normativa. Madisoft S.p.A. agisce quale Responsabile esterno del trattamento (art. 28 GDPR), fornendo l'infrastruttura tecnologica senza esercitare alcun controllo o potere decisionale sui file caricati dagli operatori scolastici.
L'eventuale presenza online di dati personali non pertinenti, come copie di documenti d'identità, è quindi riconducibile a un errore umano in fase di caricamento da parte degli utenti autorizzati presso le scuole, e non a una vulnerabilità tecnica del software. La piattaforma "Nuvola" è progettata secondo i principi di Privacy by Design e by Default e include specifici sistemi di allerta che avvisano l'operatore prima della pubblicazione, la quale richiede sempre un'azione esplicita e consapevole.
Madisoft S.p.A. contesta pertanto la rappresentazione dei fatti offerta dall'articolo, ritenendola lesiva della propria reputazione commerciale e basata su una ricostruzione tecnicamente e giuridicamente infondata.






