Guida alla sicurezza digitale per scuole e PA

Contesto e principi della sicurezza digitale

La sicurezza digitale, per scuole e pubbliche amministrazioni, non è più un tema tecnico riservato agli informatici: è una condizione essenziale per garantire continuità dei servizi, tutela dei dati personali e credibilità dell’istituzione. Negli ultimi anni gli attacchi informatici verso enti pubblici, comuni, ASL e istituti scolastici sono aumentati in frequenza e impatto. Anche realtà piccole o con risorse limitate sono diventate bersagli, perché spesso dispongono di sistemi meno aggiornati e procedure non strutturate.

In questo scenario, la sicurezza non può essere affrontata come un insieme di strumenti da acquistare, ma come un processo continuo che coinvolge persone, tecnologie e organizzazione. Ogni scuola e ogni PA gestisce dati sensibili — anagrafica, documenti amministrativi, informazioni sanitarie, dati degli studenti — e questi dati devono essere protetti con attenzione, perché un incidente può bloccare attività didattiche, servizi al pubblico o procedure amministrative per giorni.

Minacce più comuni per scuole e PA

Le minacce che colpiscono il settore pubblico e scolastico sono spesso semplici da eseguire ma molto dannose. Tra le più frequenti ci sono:

• Furto di credenziali, spesso tramite phishing, che permette agli attaccanti di accedere a registri elettronici, PEC, piattaforme cloud o sistemi amministrativi.
• Ransomware, che cifra i dati e blocca completamente l’operatività, richiedendo un riscatto per il ripristino.
• Accessi non autorizzati dovuti a password deboli, account non disattivati o dispositivi non protetti.
• Perdita accidentale di dati, spesso causata da backup assenti o non verificati.
• Uso improprio delle tecnologie, ad esempio condivisione non controllata di documenti o dispositivi personali non configurati correttamente.

Queste minacce non richiedono infrastrutture complesse per essere contrastate: spesso bastano procedure chiare, strumenti di base configurati correttamente e una cultura digitale diffusa tra il personale.

Quadro normativo di riferimento

Scuole e PA operano all’interno di un quadro normativo preciso, che definisce obblighi e responsabilità. I riferimenti principali sono:

• GDPR, che stabilisce come devono essere trattati i dati personali e quali misure di sicurezza devono essere adottate.
• Misure Minime di Sicurezza AgID, che indicano gli standard minimi per la protezione dei sistemi informativi della PA.
• Linee guida dell’Agenzia per la Cybersicurezza Nazionale (ACN), che forniscono indicazioni operative per prevenire e gestire incidenti.

Queste norme non richiedono tecnologie sofisticate, ma chiedono coerenza: sapere quali dati si gestiscono, chi vi accede, come vengono protetti e come si interviene in caso di incidente.

Il modello CIA: confidenzialità, integrità, disponibilità

Alla base della sicurezza digitale c’è un principio semplice ma fondamentale: proteggere i dati e i servizi secondo tre dimensioni.

• Confidenzialità: solo le persone autorizzate devono poter accedere alle informazioni.
• Integrità: i dati devono essere corretti, non alterati e affidabili.
• Disponibilità: i servizi devono essere accessibili quando servono, senza interruzioni.

Ogni misura di sicurezza — dalla MFA ai backup, dalle policy interne alla gestione degli account — serve a rafforzare una o più di queste dimensioni.

Di seguito il VADEMECUM dell’Agenzia per la Cybersicurezza Nazionale:

Governance e responsabilità interne

Una buona sicurezza digitale non nasce dagli strumenti, ma dall’organizzazione. Scuole e PA funzionano grazie a ruoli diversi, ciascuno con responsabilità specifiche: chiarirle è il primo passo per evitare errori, sovrapposizioni o “zone grigie” che spesso diventano vulnerabilità. Una governance chiara permette di sapere chi fa cosa, chi decide cosa, e chi interviene quando qualcosa va storto.

Ruoli principali e responsabilità

Ogni istituzione può avere una struttura leggermente diversa, ma i ruoli chiave sono ricorrenti.

• Dirigente scolastico / Direttore dell’ente — Ha la responsabilità ultima della sicurezza, definisce le priorità, approva le policy e assegna le risorse.
• DSGA / Responsabile amministrativo — Coordina i processi amministrativi, garantisce che le procedure siano rispettate e supervisiona l’uso corretto degli strumenti digitali.
• RUP (Responsabile Unico del Procedimento) — Valuta i fornitori, verifica che i servizi acquistati rispettino i requisiti di sicurezza e che gli SLA siano adeguati.
• DPO (Responsabile della Protezione dei Dati) — Vigila sul rispetto del GDPR, supporta nella valutazione dei rischi e nella gestione dei data breach.
• Amministratore di sistema — Gestisce account, dispositivi, reti, backup e configurazioni tecniche; è il punto di riferimento operativo.
• Docenti, ATA, personale PA — Utilizzano i sistemi e devono rispettare policy, procedure e buone pratiche.
• Fornitori esterni — Devono garantire sicurezza, continuità del servizio e conformità normativa.

Tabella di sintesi dei ruoli

Questa tabella aiuta a visualizzare rapidamente chi è responsabile di cosa.

Come definire una governance sostenibile

Una governance efficace non deve essere complessa: deve essere chiara, documentata e applicabile anche in realtà con risorse limitate.

• Assegnare responsabilità esplicite: ogni ruolo deve avere un documento che descrive cosa deve fare in ambito sicurezza.
• Stabilire un flusso decisionale: chi approva cosa? Chi valuta i rischi? Chi gestisce un incidente?
• Creare un registro dei sistemi e dei fornitori: sapere quali servizi si usano, chi li gestisce e quali dati trattano.
• Formalizzare le policy interne: password, MFA, uso dei dispositivi, gestione degli incidenti.
• Prevedere momenti periodici di revisione: almeno una volta l’anno, o dopo un incidente.
• Garantire continuità operativa: definire sostituti per i ruoli critici (es. amministratore di sistema).

Relazione tra governance e sicurezza operativa

Una governance ben strutturata permette di:

• ridurre gli errori umani, che sono la causa principale degli incidenti;
• evitare che account, dispositivi o servizi restino “orfani” o non gestiti;
• rispondere rapidamente a un incidente, limitando i danni;
• scegliere fornitori affidabili e verificare che rispettino gli standard richiesti;
• dimostrare conformità a GDPR e linee guida nazionali.

Gestione degli account e delle identità

La gestione degli account è uno dei pilastri più importanti della sicurezza digitale in scuole e PA. La maggior parte degli incidenti nasce da credenziali deboli, account non disattivati, ruoli non chiari o accessi concessi troppo a lungo. Una struttura di identità ben progettata permette di sapere chi accede a cosa, per quanto tempo, e con quali privilegi, riducendo drasticamente rischi e complessità.

Architettura degli account: tipologie e criteri

Una gestione efficace parte dalla distinzione tra i diversi tipi di account, ognuno con regole specifiche.

• Account personali — Assegnati a docenti, ATA, dirigenti, personale PA. Devono essere nominativi, non condivisi e legati al ciclo di vita della persona.
• Account di servizio — Utilizzati da applicazioni, dispositivi o automazioni. Non devono essere usati da persone e devono avere privilegi minimi.
• Account temporanei — Per supplenti, consulenti, tirocinanti o tecnici esterni. Devono avere scadenza automatica.
• Account amministrativi — Con privilegi elevati. Devono essere pochi, tracciati e protetti con MFA obbligatoria.

Tabella di sintesi delle tipologie di account

Questa tabella aiuta a definire rapidamente criteri e rischi.

Provisioning e deprovisioning sicuro

Il ciclo di vita degli account è spesso il punto più debole nelle scuole e PA. Una procedura chiara evita account “fantasma” o privilegi eccessivi.

• Creazione (provisioning) — L’account deve essere creato solo su richiesta formale, con ruolo e privilegi definiti.
• Modifica — Cambi di ruolo (es. docente → funzione strumentale) devono aggiornare automaticamente i permessi.
• Disattivazione (deprovisioning) — Alla cessazione del rapporto, l’account deve essere disattivato immediatamente.
• Audit periodici — Almeno ogni 6 mesi, verificare che non esistano account inutilizzati o con privilegi non giustificati.

Password policy: criteri e strumenti

Una password debole o riutilizzata è ancora oggi una delle principali cause di compromissione.

• Criteri minimi: lunghezza adeguata, complessità, nessun riutilizzo.
• Rotazione ragionata: non troppo frequente, ma obbligatoria in caso di sospetto incidente.
• Password manager: consigliati per personale amministrativo e tecnico.
• Divieto di condivisione: nessun account deve essere usato da più persone.

Identity Provider, SSO e federazione delle identità

Per scuole e PA, centralizzare l’identità è un enorme vantaggio: riduce errori, semplifica la gestione e migliora la sicurezza.

• Identity Provider (IdP) — Un sistema centrale che gestisce autenticazione e autorizzazioni.
• Single Sign-On (SSO) — Permette agli utenti di accedere a più servizi con un’unica autenticazione.
• Federazione delle identità — Utile per integrare servizi esterni (registro elettronico, piattaforme didattiche, cloud).

I vantaggi principali sono minori password da gestire, provisioning più rapido e maggiore controllo sugli accessi.

Errori tipici nella gestione degli account

Molti incidenti nascono da errori semplici ma frequenti.

• Account di ex dipendenti ancora attivi.
• Account condivisi tra più persone.
• Password deboli o identiche su più servizi.
• Privilegi amministrativi concessi senza reale necessità.
• Mancanza di MFA sugli account critici.
• Nessun controllo periodico sugli accessi.

Perché questa sezione è cruciale

Una gestione delle identità ben strutturata permette di:

• ridurre drasticamente il rischio di accessi non autorizzati;
• semplificare la vita a docenti e personale amministrativo;
• garantire conformità a GDPR e linee guida nazionali;
• migliorare la resilienza dell’istituzione in caso di incidente.

Autenticazione a più fattori (MFA)

L’autenticazione a più fattori è oggi una delle misure più efficaci e a basso costo per proteggere gli account di scuole e PA. Riduce drasticamente il rischio di compromissione anche quando una password viene rubata, perché richiede un secondo elemento di verifica che l’attaccante non possiede. Per enti con personale eterogeneo, competenze digitali variabili e molti servizi cloud, la MFA è una barriera semplice ma potentissima.

Perché la MFA è indispensabile

La maggior parte degli attacchi che colpiscono scuole e PA sfrutta credenziali rubate tramite phishing o password deboli. La MFA interviene proprio su questo punto debole.

• Blocca l’accesso anche con password rubata — L’attaccante non può completare il login senza il secondo fattore.
• Riduce gli incidenti causati da errori umani — Anche se un utente cade in una truffa, l’account resta protetto.
• Protegge gli account più critici — Dirigenti, DSGA, amministratori di sistema, PEC, registro elettronico.
• È semplice da introdurre — Le soluzioni moderne sono intuitive e non richiedono formazione complessa.

Tipologie di MFA: pro e contro

Ogni istituzione può scegliere la combinazione più adatta in base a competenze, dispositivi disponibili e criticità dei servizi.

Come introdurre la MFA in scuole e PA senza attrito

L’adozione della MFA può essere semplice se gestita con metodo e comunicazione chiara.

• Partire dagli account critici: dirigente, DSGA, amministratore di sistema, PEC, servizi cloud.
• Stabilire una data di attivazione obbligatoria: comunicata con anticipo e supportata da istruzioni semplici.
• Offrire più metodi MFA: app per chi ha smartphone, SMS per chi ha difficoltà, token per ruoli sensibili.
• Creare una mini‑guida interna: 1 pagina con screenshot e passaggi essenziali.
• Prevedere un supporto iniziale: anche solo un’ora dedicata per aiutare chi ha difficoltà.
• Attivare la MFA per gruppi: prima amministrativi, poi docenti, poi studenti (se previsto).

MFA per dirigenti, amministrativi, docenti e studenti

Ogni categoria ha esigenze diverse, e la MFA deve adattarsi senza complicare il lavoro.

• Dirigenti e DSGA — Obbligatoria, preferibilmente con app o token hardware.
• Personale amministrativo — App consigliata; SMS come alternativa.
• Docenti — App o SMS, con istruzioni semplificate.
• Studenti — Da valutare caso per caso; utile per piattaforme cloud, ma va bilanciata con età e privacy.
• Amministratori di sistema — Token hardware FIDO2 obbligatorio per gli accessi privilegiati.

Errori comuni da evitare

L’introduzione della MFA può fallire se non si evitano alcune trappole frequenti.

• Attivare la MFA senza comunicazione preventiva.
• Usare solo SMS come metodo principale.
• Non prevedere codici di backup o procedure di recupero.
• Lasciare account privilegiati senza MFA.
• Non verificare periodicamente che tutti gli utenti l’abbiano attivata.

Perché questa sezione è cruciale

La MFA è una delle misure con il miglior rapporto costo/beneficio: semplice da implementare, efficace contro la maggior parte degli attacchi e facilmente scalabile. Per scuole e PA, rappresenta un passo fondamentale per proteggere identità, servizi cloud e dati sensibili.

Backup e continuità operativa

La capacità di una scuola o di una PA di continuare a funzionare anche in caso di incidente informatico dipende in larga parte da come vengono gestiti i backup. Un ransomware, un guasto hardware, un errore umano o la perdita di un dispositivo possono bloccare attività didattiche e amministrative per giorni. Un sistema di backup ben progettato permette invece di ripristinare rapidamente dati e servizi, riducendo al minimo l’impatto sull’operatività.

Tipologie di backup e quando usarle

Ogni istituzione può combinare più strategie in base alle risorse disponibili e alla criticità dei dati.

• Backup locale — Copia dei dati su dispositivi fisici interni (NAS, dischi esterni). È veloce e utile per ripristini immediati, ma vulnerabile a furti, incendi o ransomware.
• Backup cloud — Copia dei dati su servizi esterni certificati. Garantisce protezione geografica e resilienza, ideale per documenti amministrativi e archivi sensibili.
• Backup ibrido — Combina locale e cloud. È la soluzione più robusta per scuole e PA, perché unisce rapidità e sicurezza.
• Versioning — Mantiene più versioni dello stesso file, utile per recuperare dati corrotti o modificati per errore.

Frequenza, retention e criteri operativi

Una strategia efficace non riguarda solo dove si salva, ma quando e per quanto tempo.

• Frequenza: almeno giornaliera per dati amministrativi e registri elettronici; settimanale per materiali didattici.
• Retention: conservare più versioni nel tempo (es. 30, 60, 90 giorni) per proteggersi da corruzioni lente o attacchi non immediatamente rilevati.
• Separazione: i backup devono essere isolati dal sistema principale per evitare che un malware li comprometta.
• Cifratura: obbligatoria per dati sensibili, soprattutto se salvati in cloud o su dispositivi rimovibili.

Tabella di sintesi delle strategie di backup

Backup dei servizi critici

Alcuni dati e sistemi devono avere priorità assoluta.

• Registro elettronico — Deve essere garantita la possibilità di recuperare voti, presenze, documenti e comunicazioni.
• Documenti amministrativi — Determine, delibere, contratti, contabilità: spesso obbligatori per legge.
• PEC e posta istituzionale — Fondamentali per la validità delle comunicazioni ufficiali.
• Dati sensibili — Informazioni su studenti, personale, disabilità, certificazioni.
• Configurazioni di rete e dispositivi — Senza backup delle configurazioni, un guasto può richiedere giorni di lavoro.

Piano di Disaster Recovery: cosa deve contenere

Un buon piano di continuità operativa non è un documento complesso: deve essere chiaro, sintetico e facilmente applicabile.

• Elenco dei sistemi critici e della loro priorità.
• Responsabili del ripristino con contatti aggiornati.
• Procedure passo‑passo per recuperare dati e servizi.
• Tempi massimi accettabili di fermo (RTO) e perdita dati tollerabile (RPO).
• Posizione dei backup e modalità di accesso.
• Procedure alternative per garantire continuità (es. registri provvisori).

Test periodici e verifiche

Un backup non testato è un backup che potrebbe non funzionare.

• Test trimestrali di ripristino parziale (file singoli).
• Test semestrali di ripristino completo di un servizio.
• Verifica automatica dell’esito dei backup giornalieri.
• Controllo della coerenza tra ciò che si pensa di salvare e ciò che viene realmente salvato.

Checklist operativa per scuole e PA

• Backup giornaliero dei dati amministrativi.

• Backup cloud con versioning attivo.

• Backup locale isolato dalla rete principale.

• Test di ripristino almeno due volte l’anno.

• Documento di Disaster Recovery aggiornato.

• Responsabili e sostituti chiaramente identificati.

• Cifratura dei backup contenenti dati sensibili.

Sicurezza dei dispositivi e delle reti

La sicurezza dei dispositivi e delle reti è il livello più “visibile” della protezione digitale: riguarda computer, tablet, LIM, Wi‑Fi, firewall, aggiornamenti e tutto ciò che permette a una scuola o a una PA di lavorare ogni giorno. È anche l’area dove si concentrano molti incidenti, spesso causati da configurazioni deboli, dispositivi non aggiornati o reti non segmentate. Una gestione ordinata e coerente riduce drasticamente rischi, interruzioni e costi di manutenzione.

Configurazione sicura di PC, notebook, tablet e LIM

Ogni dispositivo utilizzato da personale o studenti deve essere configurato in modo coerente, evitando personalizzazioni casuali o installazioni non controllate.

• Account utente separati: niente account amministrativi per l’uso quotidiano.
• Installazione centralizzata del software: solo applicazioni autorizzate e aggiornate.
• Cifratura del disco: obbligatoria per dispositivi portatili con dati sensibili.
• Blocco automatico dello schermo: dopo pochi minuti di inattività.
• Antivirus/EDR attivo: con monitoraggio e aggiornamenti automatici.
• Limitazione delle periferiche USB: consentite solo se necessarie e controllate.

Gestione centralizzata dei dispositivi (MDM ed endpoint management)

Per scuole e PA, la gestione manuale dei dispositivi è inefficiente e rischiosa. Un sistema di gestione centralizzata permette di applicare configurazioni uniformi, aggiornamenti e controlli da un’unica console.

• MDM per tablet e smartphone: utile per dispositivi didattici o BYOD controllato.
• Endpoint management per PC e notebook: distribuzione software, patch, criteri di sicurezza.
• Inventario automatico: sapere sempre quanti dispositivi ci sono, dove sono e chi li usa.
• Policy coerenti: password, Wi‑Fi, restrizioni, app consentite.

Segmentazione della rete: amministrativa, didattica, ospiti

Una rete unica per tutti è uno dei principali fattori di rischio nelle scuole e negli enti pubblici. La segmentazione permette di isolare traffico e dispositivi, limitando la propagazione di malware e accessi non autorizzati.

• Rete amministrativa: per segreteria, dirigenza, PEC, contabilità, registro elettronico.
• Rete didattica: per docenti e studenti, con accessi limitati ai servizi interni.
• Rete ospiti: per visitatori, con accesso solo a Internet e durata temporanea.
• VLAN e firewall interni: per separare e controllare il traffico tra le reti.

Tabella di segmentazione consigliata

Wi‑Fi sicuro e gestione delle credenziali

Il Wi‑Fi è spesso il punto più esposto, soprattutto in ambienti con molti utenti e dispositivi.

• SSID separati per amministrazione, didattica e ospiti.
• Autenticazione WPA2/WPA3: niente password semplici o condivise.
• Credenziali individuali per personale e studenti, con scadenza periodica.
• Accesso ospiti temporaneo: QR code o voucher con durata limitata.
• Potenza del segnale controllata: evitare che la rete sia accessibile dall’esterno dell’edificio.

Patch management e aggiornamenti

Molti attacchi sfruttano vulnerabilità note e già risolte dai produttori. Il problema è che i dispositivi non vengono aggiornati.

• Aggiornamenti automatici per sistema operativo e software principali.
• Patch critiche applicate entro pochi giorni.
• Verifica centralizzata dello stato degli aggiornamenti.
• Rimozione del software obsoleto che non riceve più supporto.

Checklist operativa per dispositivi e reti

• Dispositivi configurati con account standard, non amministrativi.

• Antivirus/EDR attivo e monitorato.

• Cifratura del disco su notebook e tablet.

• Rete segmentata in amministrativa, didattica e ospiti.

• Wi‑Fi con autenticazione forte e credenziali individuali.

• Aggiornamenti automatici attivi e verificati.

• Inventario aggiornato di tutti i dispositivi.

• MDM/endpoint management per configurazioni centralizzate.

Perché questa sezione è decisiva

La sicurezza dei dispositivi e delle reti è ciò che impedisce a un incidente di trasformarsi in un blocco totale dell’attività. Una rete segmentata, dispositivi aggiornati e configurazioni coerenti riducono enormemente la superficie di attacco e permettono a scuole e PA di lavorare in modo stabile e prevedibile.

Protezione dei dati e conformità GDPR

La protezione dei dati è un obbligo legale e operativo per scuole e PA. Non riguarda solo la privacy, ma la capacità dell’ente di trattare informazioni in modo corretto, sicuro e documentato. La maggior parte dei dati gestiti da istituzioni pubbliche e scolastiche è sensibile o comunque personale: anagrafiche, documenti amministrativi, certificazioni, dati sanitari, informazioni sugli studenti. Una gestione non conforme può portare a violazioni, sanzioni e perdita di fiducia.

Classificazione dei dati trattati

La prima attività consiste nel capire quali dati vengono trattati e con quale livello di criticità.

• Dati personali comuni — anagrafiche, contatti, documenti scolastici.
• Dati particolari (ex sensibili) — disabilità, certificazioni sanitarie, BES/DSA, dati sindacali.
• Dati amministrativi — contratti, determine, contabilità, documenti protocollati.
• Dati didattici — compiti, materiali, valutazioni, comunicazioni scuola‑famiglia.
• Dati tecnici — log di accesso, configurazioni, credenziali.

Una corretta classificazione permette di applicare misure proporzionate e di evitare trattamenti eccessivi o non necessari.

Minimizzazione, conservazione e accesso controllato

Il GDPR richiede che i dati siano trattati solo quando necessario e per il tempo strettamente utile.

• Minimizzazione — raccogliere solo ciò che serve davvero.
• Conservazione — definire tempi chiari (es. documenti amministrativi, registri, comunicazioni).
• Accesso controllato — ogni dato deve essere accessibile solo a chi ne ha bisogno per lavoro.
• Tracciamento degli accessi — utile per audit e per individuare eventuali anomalie.

Registro dei trattamenti e DPIA

Il registro dei trattamenti è obbligatorio per scuole e PA e rappresenta la “mappa” di come vengono gestiti i dati.

• Cosa contiene: finalità, categorie di dati, destinatari, misure di sicurezza, tempi di conservazione.
• Perché è utile: permette di individuare rischi, ridondanze e trattamenti non necessari.
• DPIA (Valutazione d’impatto): richiesta quando un trattamento presenta rischi elevati (es. videosorveglianza, piattaforme cloud con dati sensibili).

Ruolo del DPO e interazione con i fornitori

Il DPO è una figura chiave per garantire conformità e supporto.

• Supervisiona il rispetto del GDPR.
• Consiglia su DPIA, policy e trattamenti complessi.
• Collabora con dirigente, DSGA e RUP nelle scelte tecnologiche.
• Verifica che i fornitori rispettino gli obblighi contrattuali e di sicurezza.

I fornitori devono essere scelti con attenzione, soprattutto quando trattano dati per conto dell’ente (es. registro elettronico, cloud, piattaforme didattiche).

Data breach: obblighi e procedure

Un data breach non è solo un attacco informatico: può essere anche un errore umano, come l’invio di un documento alla persona sbagliata.

• Identificazione rapida dell’incidente.
• Valutazione del rischio per le persone coinvolte.
• Notifica al Garante entro 72 ore se necessario.
• Comunicazione agli interessati quando il rischio è elevato.
• Documentazione dell’incidente nel registro interno.

Tabella di sintesi delle misure GDPR

Perché questa sezione è fondamentale

La protezione dei dati non è solo un obbligo normativo: è un elemento essenziale per la fiducia delle famiglie, dei cittadini e del personale. Una gestione conforme e documentata permette di prevenire incidenti, rispondere in modo efficace e dimostrare trasparenza.

Policy interne e regolamenti operativi

Le policy interne sono il “manuale di bordo” della sicurezza digitale: definiscono regole chiare, comportamenti attesi e responsabilità. Per scuole e PA, avere policy semplici, aggiornate e comprensibili è essenziale per ridurre errori, uniformare le pratiche e dimostrare conformità normativa.

Tipologie di policy essenziali

Le policy non devono essere molte: devono essere chiare e applicabili.

• Acceptable Use Policy (AUP) — Regole sull’uso corretto di PC, rete, email, piattaforme digitali.
• Policy password e MFA — Criteri minimi, obblighi, recupero credenziali, uso dei codici di backup.
• Policy dispositivi e BYOD — Come usare dispositivi personali o scolastici, cosa è consentito installare, come proteggerli.
• Policy gestione incidenti — Chi avvisa chi, come documentare un incidente, tempi di risposta.
• Policy backup e continuità operativa — Frequenza, responsabilità, test periodici.

Cosa deve contenere una policy efficace

Una buona policy è breve, leggibile e operativa.

• Obiettivo — Perché esiste la policy.
• Ambito — A chi si applica (docenti, ATA, studenti, fornitori).
• Regole chiare — Cosa è consentito e cosa no.
• Responsabilità — Chi controlla, chi interviene, chi approva.
• Sanzioni interne — Conseguenze in caso di violazione.
• Aggiornamento — Revisione annuale o dopo incidenti.

Tabella di sintesi delle policy consigliate

Come comunicare e far rispettare le policy

Una policy funziona solo se viene compresa e adottata.

• Linguaggio semplice — Evitare tecnicismi inutili.
• Formati brevi — 1–2 pagine per policy, massimo.
• Diffusione chiara — Intranet, email, bacheca digitale, firma per presa visione.
• Formazione minima — 10 minuti di spiegazione durante collegi o riunioni.
• Applicazione coerente — Le regole devono valere per tutti, senza eccezioni informali.

Perché questa sezione è decisiva

Le policy trasformano la sicurezza da “buona pratica” a procedura condivisa. Senza policy, ogni persona agisce secondo abitudini personali; con policy, l’istituzione agisce in modo uniforme, prevedibile e conforme.

Formazione e cultura della sicurezza

La tecnologia da sola non basta: la maggior parte degli incidenti nasce da comportamenti sbagliati, distrazioni o scarsa consapevolezza. Per scuole e PA, costruire una cultura della sicurezza significa aiutare tutto il personale a riconoscere rischi, adottare buone pratiche e reagire correttamente ai problemi.

Obiettivi della formazione

La formazione deve essere semplice, breve e orientata ai comportamenti quotidiani.

• Riconoscere minacce comuni come phishing, allegati sospetti, link falsi.
• Usare correttamente gli strumenti (password, MFA, dispositivi, Wi‑Fi).
• Sapere cosa fare in caso di incidente e chi avvisare.
• Ridurre errori umani che rappresentano la principale causa di data breach.

Destinatari e contenuti essenziali

Ogni gruppo ha esigenze diverse, ma il messaggio deve essere coerente.

• Docenti — uso sicuro delle piattaforme didattiche, gestione file e condivisioni.
• ATA e personale amministrativo — protezione dei dati, PEC, documenti sensibili.
• Dirigenti e DSGA — decisioni informate, responsabilità, gestione incidenti.
• Studenti — uso consapevole del digitale, riconoscimento dei rischi online.

Strumenti e modalità di formazione

La formazione deve essere leggera e ripetuta nel tempo, non un evento isolato.

• Micro‑formazioni da 10 minuti durante riunioni o collegi.
• Brevi video o slide con esempi concreti.
• Simulazioni di phishing per allenare il riconoscimento dei tentativi fraudolenti.
• Mini‑quiz periodici per mantenere alta l’attenzione.
• Poster o infografiche nelle aree comuni (segreteria, sala docenti).

Come misurare la maturità della cultura digitale

Un miglioramento reale si vede quando:

• diminuiscono gli errori ricorrenti (password deboli, link cliccati, allegati aperti);
• aumenta la segnalazione tempestiva di comportamenti sospetti;
• il personale applica spontaneamente le buone pratiche;
• le simulazioni di phishing mostrano progressi nel tempo.

Perché questa sezione è importante

Una cultura della sicurezza diffusa riduce incidenti, migliora la resilienza dell’ente e rende più efficaci tutte le altre misure tecniche. La formazione è l’investimento con il ritorno più alto e il costo più basso.

Gestione degli incidenti di sicurezza

La gestione degli incidenti è la capacità di una scuola o PA di riconoscere rapidamente un problema, contenerlo e ripristinare i servizi senza panico o improvvisazione. Non serve un reparto IT dedicato: bastano procedure semplici, ruoli chiari e un flusso di comunicazione essenziale.

Cosa si intende per incidente

Un incidente non è solo un attacco informatico. Può essere qualsiasi evento che compromette dati, servizi o dispositivi.

• Accesso non autorizzato o sospetto.
• Ransomware o malware.
• Furto o smarrimento di un dispositivo.
• Invio di documenti alla persona sbagliata.
• Malfunzionamenti che bloccano servizi critici (PEC, registro, rete).

Come riconoscere un incidente

Segnali tipici che devono far scattare l’allerta:

• Password che non funzionano improvvisamente.
• File che risultano cifrati o rinominati.
• Email insolite inviate dal proprio account.
• Rallentamenti anomali o blocchi improvvisi.
• Messaggi di richiesta di riscatto o avvisi sospetti.

Flusso operativo: cosa fare, passo per passo

Una procedura chiara evita errori e perdite di tempo.

1. Segnalazione immediata al referente interno (dirigente, DSGA, amministratore di sistema).
2. Isolamento del dispositivo o dell’account coinvolto per evitare propagazioni.
3. Valutazione rapida del tipo di incidente e dei dati coinvolti.
4. Ripristino tramite backup o procedure tecniche.
5. Documentazione dell’accaduto in un registro interno.
6. Eventuale notifica al DPO e, se necessario, al Garante (entro 72 ore).

Incidenti più comuni in scuole e PA

• Ransomware: blocco totale dei dati, necessità di ripristino da backup.

• Phishing riuscito: compromissione dell’account, invio di email fraudolente.

• Data breach: documenti sensibili inviati o accessibili a persone non autorizzate.

• Guasti hardware: perdita di dati se i backup non sono aggiornati.

Registro degli incidenti

Un registro semplice ma completo aiuta a migliorare nel tempo.

• Data e ora dell’incidente.
• Persona che ha segnalato.
• Tipo di incidente.
• Azioni intraprese.
• Dati coinvolti.
• Misure correttive adottate.

Perché questa sezione è cruciale

Una gestione efficace degli incidenti riduce danni, tempi di fermo e rischi legali. Inoltre permette di imparare dagli errori e migliorare progressivamente la sicurezza dell’istituzione.

Valutazione dei fornitori e dei servizi digitali

La scelta dei fornitori è uno dei punti più delicati per scuole e PA: molti servizi critici (registro elettronico, cloud, piattaforme didattiche, PEC, antivirus, backup) sono esternalizzati. Una valutazione superficiale può portare a problemi di sicurezza, continuità o conformità normativa. Servono criteri chiari, semplici e verificabili.

Criteri essenziali per valutare un fornitore

La valutazione deve essere pratica e basata su elementi oggettivi.

• Sicurezza tecnica — cifratura, MFA, backup, monitoraggio, certificazioni.
• Conformità GDPR — ruolo del fornitore (responsabile del trattamento), misure dichiarate, DPIA se necessaria.
• Continuità del servizio — uptime garantito, piani di disaster recovery, tempi di ripristino.
• Supporto e assistenza — tempi di risposta, canali disponibili, qualità del supporto.
• Trasparenza contrattuale — SLA chiari, penali, responsabilità in caso di incidente.
• Sostenibilità economica — costi prevedibili, assenza di vincoli nascosti, durata contrattuale equilibrata.

Tabella di valutazione rapida

Verifiche periodiche

La valutazione non termina con la firma del contratto: va mantenuta nel tempo.

• Revisione annuale delle misure di sicurezza dichiarate.
• Verifica dei log di servizio (uptime, incidenti, manutenzioni).
• Aggiornamento del registro dei trattamenti se cambiano funzionalità o flussi di dati.
• Controllo delle scadenze contrattuali per evitare rinnovi automatici indesiderati.

Perché questa sezione è importante

Un fornitore affidabile riduce rischi, semplifica la gestione e garantisce continuità. Una scelta sbagliata, invece, può bloccare servizi essenziali o esporre l’ente a violazioni e sanzioni. Valutare con metodo permette di prendere decisioni più sicure e trasparenti.

Strumenti consigliati e buone pratiche operative

Gli strumenti non risolvono tutto, ma aiutano scuole e PA a rendere più semplice e coerente l’applicazione delle misure di sicurezza. L’obiettivo non è “avere tanti software”, ma scegliere pochi strumenti affidabili, facili da gestire e adatti alle risorse disponibili.

Strumenti utili per la protezione degli account

Questi strumenti aiutano a ridurre il rischio di accessi non autorizzati.

• Autenticazione a più fattori (MFA) tramite app come Microsoft Authenticator o Google Authenticator.
• Password manager per personale amministrativo e tecnico, così da evitare password deboli o riutilizzate.
• Identity Provider centralizzato per gestire accessi e ruoli in modo uniforme.

Strumenti per la sicurezza dei dispositivi

Questi strumenti aiutano a ridurre il rischio di accessi non autorizzati.

• Autenticazione a più fattori (MFA) tramite app come Microsoft Authenticator o Google Authenticator.
• Password manager per personale amministrativo e tecnico, così da evitare password deboli o riutilizzate.
• Identity Provider centralizzato per gestire accessi e ruoli in modo uniforme.

Strumenti per backup e continuità operativa

La priorità è avere soluzioni semplici, affidabili e testate.

• Backup cloud con versioning attivo.
• NAS locale per ripristini rapidi.
• Soluzioni ibride che combinano locale e cloud per massima resilienza.

Strumenti per la protezione dei dati

Supportano la conformità GDPR e la gestione ordinata dei documenti.

• Piattaforme cloud certificate per archiviazione e collaborazione.
• Sistemi di controllo degli accessi basati su ruoli.
• Cifratura automatica per file sensibili e dispositivi portatili.

Buone pratiche operative da adottare ogni giorno

Queste abitudini riducono rischi e incidenti senza richiedere investimenti.

• Aggiornare regolarmente dispositivi e software.
• Usare password robuste e MFA su tutti gli account critici.
• Evitare la condivisione di credenziali o dispositivi.
• Salvare documenti solo in spazi autorizzati (non su chiavette personali).
• Segnalare subito comportamenti sospetti o email anomale.
• Verificare periodicamente che i backup funzionino davvero.

Perché questa sezione è utile

Strumenti e buone pratiche permettono di trasformare la sicurezza da “compito tecnico” a routine quotidiana. Con poche scelte mirate, scuole e PA possono ottenere un livello di protezione molto più alto senza complicare il lavoro del personale.

Roadmap operativa per scuole e PA

Una roadmap aiuta a trasformare tutte le misure descritte nel pillar in un percorso concreto, realistico e sostenibile. L’obiettivo è dare priorità, evitare dispersioni e ottenere risultati visibili anche con risorse limitate.

Obiettivi della roadmap

• Mettere ordine nelle attività.

• Concentrarsi sulle misure a maggior impatto.

• Distribuire il lavoro nel tempo.

• Rendere la sicurezza un processo continuo, non un progetto una tantum.

Roadmap 30 giorni: mettere in sicurezza l’essenziale

In questo primo periodo si interviene sui punti più critici e facili da implementare.

• Attivare la MFA per dirigenti, DSGA, amministrativi e account privilegiati.
• Verificare e aggiornare la password policy.
• Controllare che i backup esistano, funzionino e siano isolati.
• Segmentare almeno in modo minimo la rete (amministrativa vs didattica).
• Disattivare account inutilizzati o non più necessari.
• Diffondere una mini‑policy sull’uso corretto degli strumenti digitali.

Roadmap 60 giorni: consolidare e organizzare

In questa fase si passa da interventi urgenti a misure strutturali.

• Implementare un sistema di gestione centralizzata dei dispositivi (MDM o endpoint management).
• Aggiornare o creare le policy interne (AUP, password/MFA, BYOD, incidenti).
• Avviare una formazione breve per docenti e ATA (10–15 minuti).
• Mappare i fornitori e aggiornare il registro dei trattamenti.
• Definire un piano di incident response semplice e condiviso.
• Attivare il versioning nei backup cloud.

Roadmap 180 giorni: maturità e miglioramento continuo

Qui si lavora sulla resilienza a lungo termine.

• Testare il Disaster Recovery con un ripristino completo.
• Introdurre token hardware per gli amministratori di sistema.
• Completare la segmentazione della rete con VLAN e firewall interni.
• Effettuare una valutazione dei fornitori con criteri strutturati.
• Realizzare simulazioni di phishing per misurare la consapevolezza del personale.
• Aggiornare annualmente policy, registro trattamenti e procedure.

Indicatori di maturità

Una scuola o PA può considerarsi “in sicurezza” quando:

• tutti gli account critici hanno MFA attiva;
• i backup sono testati e funzionanti;
• la rete è segmentata;
• esistono policy chiare e applicate;
• il personale riconosce email sospette e segnala incidenti;
• i fornitori sono valutati e documentati;
• esiste un piano di continuità operativa aggiornato.

Perché questa roadmap è utile

Permette di passare dalla teoria alla pratica senza sovraccaricare l’organizzazione. Ogni fase produce benefici immediati e prepara il terreno per la successiva, creando un percorso di sicurezza sostenibile e misurabile.