Presunto Databreach di Nuvola: cosa c’è di vero?

In riferimento alla notizia pubblicata da alcune testate giornalistiche e altre riviste online relative ad un presunto “Data Breach” che vedrebbe coinvolta la società Madisoft s.p.a attraverso il proprio gestionale Nuvola che offre servizi scolastici come registro Elettronico, Albo Online e Amministrazione trasparente è doverosa una precisazione, visto l’allarme che si è creato.

Così come precisato dalla stessa Madisoft in una nota diffusa qualche giorno fa, il problema evidenziato nell’articolo non è riconducibile ad una vulnerabilità nella sicurezza del registro elettronico bensì ad una errata pubblicazione di documenti eccedenti e non pertinenti da parte di alcune istituzioni scolastiche in Albo Pretorio e in Amministrazione Trasparente.

Così come previsto dal GDPR, il responsabile del Trattamento, venuto a conoscenza di una possibile violazione, ha immediatamente provveduto ad avvisare gli svariati Titolari del trattamento (gli istituti Scolastici) del rischio presente.
Ovviamente, ripetiamo, la violazione riguarda solo quegli istituti che hanno effettivamente pubblicato quei documenti in albo e in AT e non tutte le Istituzioni scolastiche fruitrici del servizio offerto da Madisoft.

L’unico dubbio che permane riguarda la liceità dell’intervento effettuato da Madisoft, la quale, mediante una scansione massiva dei file pubblicati in AT e negli albi, con parole chiave sensibili (es. “carta d’identità”, “patente”, “fiscale”, “CV”), ha provveduto ad un oscuramento/disabilitazione dei file a rischio.

Si consiglia quindi, di effettuare un controllo approfondito dei documenti pubblicati sia in amministrazione trasparente che all’albo, per visionare se ci sono file  contenenti dati particolari; inoltre raccomandiamo di controllare in modo puntuale e rigoroso qualsiasi documento prima di caricarlo online verificandone il contenuto, che siano presenti dati esatti e non eccedenti.