A fine 2025 l'Istituto Lepido Rocco di Villorba, in provincia di Treviso, ha vissuto quello che migliaia di altre scuole italiane temono di affrontare prima o poi: un attacco informatico che ha bloccato sistemi, rallentato la didattica, costretto docenti, studenti e famiglie a settimane di disagi. Non è stato l'unico caso del 2025: l'Università Roma Tre ha comunicato un incidente analogo, con servizi giù e una lunga fase di ripristino. E sono solo i casi finiti sui giornali.
I numeri raccontano una storia più ampia, e impressionante. Secondo il monitoraggio di Check Point Research — una delle più autorevoli società di cybersecurity al mondo — nei primi sette mesi del 2025 le scuole italiane hanno subito una media di 8.593 attacchi informatici a settimana per organizzazione, l'82% in più rispetto allo stesso periodo del 2024. La media mondiale del settore education si ferma a 4.356 attacchi settimanali per organizzazione, con un incremento del 41% anno su anno. Significa che, nel 2025, le scuole italiane sono state il bersaglio cyber più colpito al mondo, quasi il doppio della media globale.
Per una famiglia italiana questo dato non è una statistica astratta. È un'informazione concreta su cosa succede ogni giorno ai dati di tuo figlio: il suo nome, la sua data di nascita, gli indirizzi, le pagelle, le certificazioni mediche per DSA o BES, le foto di gite scolastiche. Tutto questo viaggia su sistemi che, in media, vengono attaccati più di mille volte al giorno. Capire cosa significa è il primo passo per scegliere, come genitore, dove far studiare tuo figlio. Ed è il motivo per cui in Metod·IA abbiamo preso una decisione architetturale precisa fin dal primo giorno.
I numeri Check Point: l'Italia, il bersaglio numero uno
Per dare una dimensione, vale la pena confrontare i dati italiani con altri settori critici. Nel periodo gennaio-luglio 2025, sempre secondo Check Point, le scuole sono state il settore più colpito al mondo: 4.356 attacchi settimanali per organizzazione di media globale. Subito dopo: pubblica amministrazione (2.716), telecomunicazioni (2.636), sanità (2.468), hardware (2.095). Tutti settori critici, ma tutti meno bersagliati dell'istruzione.
In Italia il dato sale a 8.593 attacchi settimanali — quasi il doppio della media mondiale, e più del 200% in più rispetto ad altri settori sensibili come la sanità. Non è un caso isolato: il 2025 conferma una tendenza che dura da anni. Gli attacchi seguono un calendario prevedibile, con picchi a settembre, quando la riapertura delle scuole moltiplica utenti, dispositivi e accessi alle piattaforme. I criminali informatici sanno che quel mese le difese sono distratte e i sistemi sotto stress.
Anche il Rapporto EdTech 2026 di Osservatorio Proxima — che abbiamo analizzato in un articolo dedicato — segnala la cybersecurity come una delle priorità non più rinviabili per il settore. Il rapporto richiama anche i dati di ThreatDown by Malwarebytes, che ha contato un aumento del 105% degli attacchi ransomware noti contro il settore education tra il 2022 e il 2023 (da 129 a 265 casi documentati). La traiettoria non sta migliorando.
Perché le scuole sono diventate il bersaglio preferito
Il punto non è che le scuole siano "scoperte" o particolarmente sprovvedute. Il punto è che sono ambienti ad altissima superficie d'attacco, una caratteristica che le rende strutturalmente vulnerabili. Pensa a un istituto medio: migliaia di utenti tra studenti, docenti, personale ATA e famiglie; centinaia di dispositivi personali che si connettono dalla rete scolastica e da casa; software amministrativi spesso datati con cicli di aggiornamento lenti; reti Wi-Fi affollate; password riusate; identità digitali condivise tra registro elettronico, posta elettronica e piattaforme didattiche. Basta un account compromesso per trasformare una distrazione individuale in un problema sistemico.
A questo si aggiunge un secondo motivo, più freddo: i dati delle scuole valgono molto, sul mercato nero. Una scuola superiore custodisce dati anagrafici di centinaia di minori, contatti delle famiglie, indirizzi, documenti, talvolta informazioni sanitarie sensibili. Sono dati che, in mani sbagliate, alimentano truffe, ricatti, furti d'identità ai danni dei genitori. Il valore criminale di un database scolastico è alto, e i meccanismi di difesa sono spesso bassi.
Il vettore di attacco più temuto resta il ransomware: i sistemi vengono cifrati e l'istituzione si trova davanti a un aut-aut — pagare il riscatto o ricostruire tutto da zero. Negli ultimi anni la pratica si è evoluta nella cosiddetta "doppia estorsione": prima i dati vengono rubati, poi cifrati. Se la scuola non paga, i dati vengono pubblicati online. È esattamente quello che è accaduto al Los Angeles Unified School District nel 2022, secondo distretto scolastico più grande degli Stati Uniti: l'ente rifiutò di pagare e i criminali pubblicarono i dati di studenti e famiglie. Un precedente che pesa, anche perché ha mostrato che il rifiuto è una scelta dignitosa ma costosa.
Cosa succede davvero quando una scuola viene attaccata
L'Istituto Lepido Rocco non è un caso astratto. Da quanto emerso a fine 2025, l'attacco ha messo sotto stress servizi e operatività scolastica per settimane, con disagi diretti per studenti e personale: lezioni rallentate, comunicazioni interrotte, registro elettronico inaccessibile, segreteria ferma. Sono i sintomi tipici di un attacco serio in un ambiente educativo, e raccontano un problema che il pubblico spesso non vede: la scuola moderna gira sul digitale. Quando il digitale si ferma, si ferma anche la didattica.
Ancora più indicativo è il caso dell'Università Roma Tre, che nel 2025 ha comunicato pubblicamente un incidente informatico con conseguente fase di ripristino. Le università, rispetto alle scuole, hanno strutture IT più solide e budget maggiori per la cybersecurity. Se viene colpita un'università italiana di prestigio, significa che il rischio è sistemico, non legato all'arretratezza della singola istituzione.
Per le famiglie, l'impatto è triplo. Il primo è di continuità: settimane senza accesso a registro, comunicazioni, materiali. Il secondo è di fiducia: capire cosa è uscito è quasi sempre impossibile a breve termine. Il terzo è di diritti: ai sensi del GDPR, quando dati personali di minori finiscono nelle mani sbagliate, l'istituzione deve notificare al Garante Privacy e alle famiglie. Ma "essere informati che i dati di tuo figlio sono stati rubati" non è un risarcimento: è una notifica. Da quel momento, sei tu a doverti preoccupare.
Una stima utile per capire il costo complessivo arriva dal Cost of a Data Breach Report 2025 di IBM, che indica un costo medio globale di una violazione attorno ai 4,44 milioni di dollari. Per le scuole, dove la posta in gioco non è solo economica ma sociale, l'impatto è ancora più ampio.
NIS2: come l'Europa sta provando a rispondere
Davanti a questi numeri, l'Europa non è rimasta ferma. La direttiva NIS2 (Network and Information Security 2) è il pilastro normativo che alza l'asticella della cybersecurity per molte categorie di organizzazioni essenziali e importanti, dalla sanità ai trasporti, dalla pubblica amministrazione a parte del mondo educativo. Pone obblighi su gestione del rischio, formazione del personale, notifica degli incidenti, supply chain security.
In Italia, NIS2 è stata recepita con il D.Lgs. 4 settembre 2024, n. 138, entrato in vigore il 16 ottobre 2024. L'autorità competente è l'Agenzia per la Cybersicurezza Nazionale (ACN), che gestisce registrazioni e adempimenti. Per molte scuole il quadro non scatta direttamente come per altri settori critici, ma il messaggio di fondo è inequivocabile: la cybersicurezza sta diventando uno standard atteso, non un progetto facoltativo.
Nel dicembre 2024, ACN e Ministero dell'Istruzione e del Merito hanno formalizzato un accordo per portare l'educazione informatica e cibernetica nelle scuole italiane, con iniziative formative dedicate ai docenti nell'anno scolastico 2025/2026. È un passo nella direzione giusta, ma trasformare un accordo ministeriale in pratica quotidiana in 8.000 autonomie scolastiche è uno sforzo che richiederà anni.
In parallelo, l'ENISA — l'agenzia europea per la cybersicurezza — pubblica annualmente il Threat Landscape, che nel 2025 ha analizzato 4.875 incidenti tra luglio 2024 e giugno 2025. Il quadro è inequivocabile: ransomware in cima, attacchi alla disponibilità dei servizi sempre più frequenti, supply chain digitale sotto pressione. Per l'EdTech europeo, il messaggio è chiaro: chi sviluppa strumenti per la scuola deve trattare la sicurezza come un requisito primario, non un'aggiunta successiva.
Cosa puoi chiedere oggi alla scuola di tuo figlio
Mentre la cornice normativa si rafforza e le scuole si attrezzano, c'è qualcosa che puoi fare già da domani come genitore. Sono cinque domande pratiche da porre al dirigente scolastico o al referente per la digitalizzazione del tuo istituto. Non è invadenza: è il tuo diritto, ai sensi del GDPR, di sapere come vengono trattati i dati personali di tuo figlio minore.
Prima domanda: quali piattaforme digitali utilizza la scuola e dove risiedono i dati? I dati di tuo figlio sono su server in Italia? In Europa? Negli Stati Uniti? Le risposte cambiano radicalmente il livello di protezione legale che ottieni.
Seconda domanda: l'informativa privacy degli strumenti digitali è aggiornata e disponibile? Hai diritto di leggerla. Se la scuola non la trova, è un campanello d'allarme.
Terza domanda: la scuola ha un protocollo di risposta agli incidenti informatici? Cosa succede se viene attaccata? Chi avvisa le famiglie, in quanto tempo, con quali informazioni? Una scuola preparata sa rispondere.
Quarta domanda: i docenti hanno ricevuto formazione sulla cybersecurity? Il Rapporto EdTech 2026 ricorda che la maggior parte degli attacchi inizia da una mail di phishing aperta da un utente distratto. Senza formazione, anche il miglior firewall non basta.
Quinta domanda: c'è un sistema di backup dei dati e una procedura di continuità didattica? Se il registro elettronico va giù, esiste un piano B per non perdere giorni di scuola?
Sono cinque domande semplici, ma la qualità delle risposte ti dirà molto sulla maturità digitale dell'istituto. Non per giudicare, ma per fare scelte informate sulle attività digitali a cui tuo figlio partecipa.
L'architettura Zero-PII di Metod·IA: un bersaglio impossibile
In Metod·IA abbiamo guardato questi numeri quando abbiamo iniziato a progettare il sistema, anni fa. La domanda di partenza è stata semplice: come si costruisce uno strumento educativo che funzioni anche nel mondo in cui le scuole sono il bersaglio cyber numero uno? La risposta, contro-intuitiva, è stata: non raccogliendo i dati che fanno gola ai criminali informatici.
Si chiama architettura Zero-PII (zero Personally Identifiable Information) ed è il principio fondante di Metod·IA. Tuo figlio, dentro il sistema, è identificato esclusivamente da un UUID anonimo generato al primo avvio dell'app. Nei nostri sistemi non c'è il suo nome reale. Non c'è il suo cognome. Non c'è la sua email, il suo telefono, il suo indirizzo, il suo codice fiscale, la sua data di nascita, il nome della sua scuola. A presidio di questo principio c'è un PII Scrubber automatico che intercetta e rimuove pattern identificativi (nomi, email, codici fiscali, numeri di telefono) prima che qualsiasi dato venga memorizzato. Se tuo figlio scrive "Mario, mio fratello, mi ha aiutato", il nome viene rimosso prima che il messaggio raggiunga la memoria del sistema.
La conseguenza, dal punto di vista della cybersecurity, è radicale. Un attacco a Metod·IA non può rubare l'identità di tuo figlio, perché in Metod·IA quell'identità non c'è. Non c'è materiale per il ricatto, non c'è merce di valore per il furto d'identità, non c'è informazione vendibile sul dark web. È il principio del security by design portato alle sue estreme conseguenze: il modo più efficace per proteggere un dato è non averlo.
A questa scelta si aggiungono tre presidi tecnici. Tutti i dati risiedono su server AWS in eu-south-1, regione Milano — Italia, sotto la giurisdizione del GDPR e dell'autorità Garante. Crittografia TLS 1.3 in transito e AES-256 a riposo, gli standard più alti oggi disponibili. Conformità a GDPR Art. 8 sui minori e all'AI Act europeo — che abbiamo raccontato in dettaglio in un articolo dedicato.
Non vendiamo questi presidi come funzionalità "extra". Sono il prerequisito per esistere come strumento educativo per minori, nel 2026.
In sintesi
Le scuole italiane, nel 2025, sono diventate il bersaglio cyber più colpito al mondo: 8.593 attacchi a settimana per organizzazione, l'82% in più rispetto all'anno precedente. Casi come l'Istituto Lepido Rocco mostrano che il problema è concreto e ricorrente, non un'ipotesi astratta. La risposta sta arrivando — la direttiva NIS2, l'AI Act, gli accordi tra ACN e Ministero dell'Istruzione — ma la trasformazione richiederà anni.
Per le famiglie, intanto, vale la regola pragmatica: chiedere, verificare, scegliere strumenti progettati per minimizzare i rischi, non per amplificarli. L'architettura Zero-PII di Metod·IA è la nostra risposta al problema: il modo migliore per proteggere i dati di tuo figlio è non raccoglierli in primo luogo. È una scelta progettuale, non una strategia di marketing. È il motivo per cui un attacco al nostro sistema, se mai dovesse riuscire, non potrebbe rubare l'identità di nessun bambino italiano.
Scopri l'architettura di sicurezza di Metod·IA — o leggi la nostra pagina dedicata ai genitori per capire come funziona la protezione dei dati nel nostro sistema di studio.
Fonti: Check Point Research — Cyber Attacks Surge Against Education Sector Ahead of Back-to-School Season; Rapporto EdTech 2026 di Osservatorio Proxima; ENISA Threat Landscape 2025; IBM Cost of a Data Breach Report 2025; D.Lgs. 4 settembre 2024 n. 138 di recepimento della direttiva NIS2; comunicati ufficiali Agenzia per la Cybersicurezza Nazionale.