Il 3 dicembre la Fondazione Agnelli ha parlato chiaro: per la prima volta, i licei romani hanno superato quelli milanesi. È una notizia che fa bene al cuore della Capitale, ma mentre tutti festeggiano guardando l’indice FGA (la media dei voti e dei crediti universitari), da ingegnere che vive nelle sale macchine delle scuole da anni, io guardo un altro dato. Un dato che non finisce sui giornali, ma che è la vera cartina al tornasole di un istituto che funziona.
Parlo dell’igiene digitale e della governance dei dati.
C’è una correlazione diretta, quasi spietata, tra l’eccellenza didattica e l’ordine organizzativo. Una scuola che svetta in classifica non è solo una scuola con bravi professori di greco o matematica. È una macchina complessa dove i registri elettronici, le piattaforme cloud e le comunicazioni scuola-famiglia girano come un orologio svizzero.
Perché, parliamoci chiaro: non puoi formare l’eccellenza se in segreteria regna il caos normativo.
Il mito dell’hacker col cappuccio (e la realtà della segreteria distratta)
Quando parlo di sicurezza nelle scuole, vedo spesso i Dirigenti Scolastici immaginare scenari da film: attacchi ransomware, hacker russi, firewall che esplodono. La realtà, purtroppo, è molto più banale e insidiosa.
Nei miei anni di attività sul campo, gli incidenti più gravi che ho gestito non sono nati da “attacchi sofisticati”. Sono nati da errori sistemici:
- La buona fede mal riposta: Dirigenti che pubblicano sul sito web istituzionale gli elenchi degli alunni ammessi, convinti di fare trasparenza, esponendo invece nomi e cognomi al mondo intero.
- Il disastro del campo “A:”: Docenti o segreterie che inviano convocazioni massive inserendo gli indirizzi email dei genitori in chiaro nel campo “A:” invece che in copia nascosta (“CCN:”). In un secondo, avete trasformato una comunicazione di routine in una diffusione illecita di dati personali a terzi non autorizzati.
- Dati sensibilissimi in vetrina: Convocazioni per i Gruppi di Lavoro Operativo (GLO) inviate a tutta la classe, che rivelano indirettamente (ma inequivocabilmente) la disabilità di uno studente.
Il Garante per la Protezione dei Dati Personali non accetta la scusa “non lo sapevo”. Le sanzioni per le scuole arrivano, e fanno male: da 2.000 a 20.000 euro per errori che nascono quasi sempre dalla mancanza di procedure, non dalla tecnologia.
Cybersecurity 2026: le tre ondate che stanno per colpirvi
Mentre festeggiamo i risultati del 2025, il mondo è già cambiato. Se pensate che il GDPR sia solo burocrazia, vi state preparando a un 2026 molto doloroso. Ci sono tre fronti critici che vedo emergere con prepotenza e che distingueranno le scuole “top” da quelle che finiranno nei guai legali.
- La sicurezza operativa (non bastano i firewall)
L’Agenzia per la Cybersicurezza Nazionale ha segnalato più volte piattaforme di e-learning come Moodle come ad alto rischio se non aggiornate. Una scuola eccellente non si limita a installare il software; implementa l’autenticazione forte (SPID/CIE), verifica i contratti con i fornitori esterni e si assicura che le nomine a Responsabile del Trattamento non siano carta straccia, ma vincoli reali.
- Il Cyberbullismo è un problema di dati
Le nuove linee guida e il Decreto 166/2025 impongono responsabilità precise. Non basta fare la predica in aula magna. Serve una procedura ingegnerizzata: come si documenta l’episodio senza violare la privacy della vittima? Come si richiede la rimozione ai social network? Se non avete un protocollo scritto, siete scoperti.
- Il campo minato del Sexting
Questa è l’area più delicata. Il confine tra una “bravata” adolescenziale e la produzione/diffusione di materiale pedopornografico (perché di questo si parla, codice penale alla mano) è sottilissimo. Le scuole si trovano schiacciate tra l’obbligo di denuncia e la tutela psicologica del minore. Qui l’approccio non può essere improvvisato: serve coordinare l’aspetto legale, tecnologico ed educativo.
L’approccio “Ingegneristico” alla serenità
Cosa hanno in comune le scuole che dominano le classifiche? Hanno trasformato l’obbligo normativo in un vantaggio competitivo.
Non hanno “comprato la privacy”. Hanno adottato procedure. Sanno che la protezione dei dati non è un costo, ma una componente strutturale dell’eccellenza. Hanno capito che per garantire l’accesso sicuro al registro elettronico a 1.500 famiglie serve rigore, non improvvisazione.
La checklist del lunedì mattina
Non serve rivoluzionare l’istituto in un giorno. Ma come esperto che ha visto cosa succede quando le cose vanno male, vi consiglio di fare queste 5 verifiche lunedì mattina appena arrivate in ufficio.
Se rispondete “NO” a più di due domande, è il momento di preoccuparsi.
| Area di Rischio | Domanda di Controllo |
| Sito Web | Abbiamo verificato che negli ultimi 6 mesi non siano stati pubblicati elenchi con nomi di studenti in chiaro (es. classi prime, libri di testo)? |
| Il personale di segreteria ha una procedura scritta che vieta l’uso del campo “A:” per invii massivi a genitori? | |
| Fornitori | Abbiamo le nomine a Responsabile del Trattamento (art. 28 GDPR) firmate per il fornitore del Registro Elettronico e della piattaforma Cloud? |
| Password | I docenti cambiano password ogni 3-6 mesi o usano ancora “scuola2023”? |
| Incidenti | Se domani mattina un genitore segnala una foto rubata che gira su WhatsApp, c’è una persona specifica che sa esattamente cosa fare entro 1 ora? |
Un ultimo avvertimento
L’AI Act europeo e le nuove policy delle piattaforme come ChatGPT stanno introducendo nuove categorie di rischio. Il 2026 non aspetta.
L’eccellenza non è un caso, è un sistema. E in un sistema digitale, se non sei sicuro, non sei eccellente. Sei solo fortunato.
E la fortuna, come sappiamo, prima o poi finisce.
