.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Da oltre venticinque anni lavoro nel campo della cybersecurity, aiutando le organizzazioni a prepararsi e a rispondere alle minacce, inclusi gli attacchi ransomware. Conosco le procedure. Conosco gli aggressori. So come si sviluppano questi incidenti. Ma nulla di tutto questo ha avuto importanza nel momento in cui ho scoperto che le informazioni personali di mio figlio erano coinvolte nell’attacco informatico dell’aprile 2026 che ha colpito la piattaforma didattica Canvas.
Nel giro di pochi minuti, mentre assimilavo la notizia, l’analisi tecnica, i quadri normativi e l’esperienza nella gestione degli incidenti hanno lasciato il posto alla paura di un genitore. Non si trattava più di reti informatiche o negoziazioni. Si trattava di un bambino che non aveva mai accettato di essere parte dell’equazione del rischio. È stata la dolorosa consapevolezza che nemmeno una vita intera trascorsa nella cybersecurity può proteggere te — e le piccole persone per cui daresti la vita — dalle conseguenze più personali di questi attacchi. In quell’istante, la professionista della sicurezza informatica ha lasciato spazio a qualcuno di molto simile a Liam Neeson nel film Taken. Non vedevo l’ora di mettere in campo il mio particolare insieme di competenze.
E proprio come il film, che ha poi dato origine a una serie, la comunità della cybersecurity sa fin troppo bene che il dolore non finisce con l’intrusione iniziale. Le conseguenze possono e probabilmente accompagneranno questi ragazzi per tutta la vita.
Ecco cosa è successo
Secondo le informazioni pubbliche disponibili, gli attaccanti associati al gruppo cybercriminale ShinyHunters, che i ricercatori della Sophos Counter Threat Unit™ (CTU) monitorano con il nome GOLD CRYSTAL, avrebbero esfiltrato 3,65 TB di dati da Canvas, coinvolgendo migliaia di organizzazioni. Instructure, la società proprietaria di Canvas, ha dichiarato l’11 maggio di aver raggiunto un accordo volto a impedire la pubblicazione delle informazioni sottratte e di aver ricevuto prove della distruzione dei dati da parte dell’aggressore.
Tuttavia, la storia ci ha insegnato che non possiamo fidarci dei criminali informatici. Sebbene questi sviluppi possano ridurre la probabilità di una divulgazione pubblica immediata, istituti scolastici e universitari (compresi amministratori, personale IT e della sicurezza e altri dipendenti), studenti e genitori devono rimanere vigili rispetto ai rischi indiretti che spesso seguono incidenti di questo tipo, in particolare phishing, impersonificazione e altre forme di social engineering.
Perché il settore dell’istruzione continua a essere un obiettivo privilegiato
Le istituzioni educative sono diventate bersagli sempre più appetibili per gli attaccanti motivati da interessi economici. Scuole e università gestiscono grandi popolazioni di utenti, fanno ampio affidamento su piattaforme cloud di terze parti e mantengono canali di comunicazione considerati affidabili tra amministratori, docenti, studenti e genitori. La quantità di denaro che transita attraverso questi sistemi — per gite scolastiche, donazioni, rette, tasse e molto altro — è paragonabile a quella di piccole banche locali. Anche quando le informazioni rubate sembrano limitarsi a nomi utente, indirizzi email o dati relativi all’iscrizione, tali dati possono comunque avere un elevato valore per gli attaccanti. I cybercriminali non hanno sempre bisogno di password o dati finanziari per lanciare campagne efficaci. A volte il semplice contesto è sufficiente.
Un attaccante che conosca la scuola frequentata da uno studente, i sistemi utilizzati per le comunicazioni e chi riceve le email istituzionali può creare messaggi di phishing estremamente convincenti, progettati per rubare credenziali, aggirare l’autenticazione multifattore (MFA) o indurre le vittime a fornire informazioni sensibili. Questo rischio diventa ancora più significativo quando gli attaccanti hanno già dimostrato una storia consolidata di attività di social engineering.
Il ruolo crescente dell’impersonificazione e del vishing
Mio figlio è cresciuto con la consapevolezza della cybersecurity fin da quando ha imparato a recitare l’alfabeto. Conosce bene il concetto del “non è una questione di se, ma di quando”, mi chiede ancora consiglio prima di cliccare su un link ed è orgoglioso quando riesce a identificare una mail di phishing. Addirittura consiglia ai suoi amici come comportarsi quando ricevono messaggi sospetti. È apparso visibilmente preoccupato quando gli ho raccontato il dato seguente.
All’inizio di quest’anno, i ricercatori Sophos hanno osservato una sofisticata campagna di voice phishing attribuita a GOLD CRYSTAL, nella quale gli attaccanti si spacciavano per personale IT interno o operatori dell’help desk. Le vittime venivano indirizzate verso pagine fraudolente di single sign-on progettate per sottrarre credenziali e token di autenticazione.
Gli attaccanti sanno come sfruttare quella sensazione di apprensione che si prova ogni volta che arriva una telefonata dalla scuola, in quei momenti che precedono la rassicurazione: “Tutto bene con suo figlio, volevamo solo informarla che...”. Questi attacchi sono particolarmente efficaci perché sfruttano la fiducia, non soltanto le vulnerabilità tecniche. Negli ambienti educativi, tali relazioni di fiducia si estendono ben oltre docenti e personale scolastico. I genitori ricevono abitualmente comunicazioni urgenti riguardanti orari, pagamenti, moduli, trasporti, accessi agli account e comunicazioni con gli studenti. Gli aggressori ne sono consapevoli e adattano sempre più frequentemente i propri attacchi per imitare le normali operazioni scolastiche.
A seguito di incidenti come la violazione di Canvas, scuole e università dovrebbero aspettarsi la possibilità di:
- False notifiche di reimpostazione della password
- False richieste di pagamento di rette o contributi
- Email che imitano la dirigenza scolastica
- Prompt MFA malevoli
- Falsi messaggi o telefonate del supporto IT
- Pagine di raccolta credenziali progettate per imitare i portali di accesso scolastici
Sebbene al momento non vi siano prove che i dati sottratti nell’incidente Canvas siano stati divulgati, altre violazioni che hanno colpito istituzioni educative hanno mostrato che le fughe di dati possono verificarsi successivamente. In questi casi, scuole e università dovrebbero prepararsi al modo in cui tali informazioni potrebbero essere utilizzate come arma. Ancora una volta, non è una questione di “se”, ma di “quando”.
Perché i genitori dovrebbero prestare attenzione
Tradizionalmente i genitori non facevano parte della superficie di attacco di un’istituzione educativa; oggi, però, le famiglie interagiscono con le scuole quasi esclusivamente attraverso piattaforme digitali. Sistemi di gestione dell’apprendimento, portali per i genitori, notifiche mobili e strumenti di comunicazione basati sul cloud sono diventati elementi centrali nelle attività educative moderne. Di conseguenza, i genitori ricevono un elevato volume di email e notifiche legittime, creando le condizioni ideali affinché i tentativi di phishing si confondano perfettamente con le comunicazioni autentiche.
Gli attaccanti fanno spesso leva sull’urgenza e sulla familiarità. Un messaggio che sembra provenire da un dirigente scolastico o dal dipartimento IT e che richiede un reset della password o una verifica urgente dell’account può risultare estremamente convincente, soprattutto nei periodi di maggiore attenzione successivi a un incidente reso pubblico. Limitare la portata e l’impatto di un attacco richiede che la popolazione potenzialmente vulnerabile segua delle istruzioni; per questo tali istruzioni devono essere semplici. Il mio distretto scolastico, ad esempio, ha inviato ogni giorno un messaggio ricordando a tutti di rimanere disconnessi da Canvas.
Genitori, studenti e personale scolastico dovrebbero diffidare di richieste non sollecitate di credenziali o informazioni di pagamento, di richieste MFA inattese o di link che rimandano a pagine di accesso. Quando possibile, gli utenti dovrebbero accedere direttamente ai portali scolastici affidabili invece di cliccare sui link contenuti nelle email o nei messaggi di testo. Se disponibile, è consigliabile utilizzare il più moderno e sicuro meccanismo di autenticazione tramite passkey.
Cosa dovrebbero fare ora scuole e università
Le istituzioni educative dovrebbero concentrarsi sulla preparazione agli attacchi successivi piuttosto che presumere che il rischio sia terminato con il contenimento della violazione. Anche quando gli attaccanti affermano che i dati rubati sono stati cancellati, le organizzazioni dovrebbero operare partendo dal presupposto che le informazioni esposte possano comunque circolare negli ecosistemi criminali o essere utilizzate in future campagne di phishing.
Le istituzioni dovrebbero prendere in considerazione le seguenti misure:
Rafforzare i controlli di autenticazione. Ove possibile, le organizzazioni dovrebbero adottare metodi di autenticazione resistenti al phishing, come passkey basate su FIDO o chiavi di sicurezza hardware. I metodi MFA tradizionali basati su SMS o notifiche push sono vulnerabili alle tecniche di social engineering.
Rivedere i processi di help desk e supporto. Gli attaccanti prendono sempre più di mira i canali di assistenza perché si basano su interazioni umane considerate affidabili. Le scuole dovrebbero rivedere le procedure di verifica dell’identità per il reset delle password, il recupero degli account e le funzioni di supporto amministrativo.
Aumentare la consapevolezza rispetto a phishing e vishing. Docenti, personale, studenti e genitori dovrebbero essere informati del fatto che gli attaccanti potrebbero impersonare il personale IT interno o l’amministrazione scolastica. La formazione dovrebbe includere la consapevolezza sui tentativi di voice phishing, sui falsi portali di accesso e sugli attacchi di MFA fatigue.
Monitorare attività sospette legate alle identità digitali. I team di sicurezza dovrebbero monitorare attentamente i sistemi di autenticazione alla ricerca di comportamenti anomali, accessi impossibili per localizzazione geografica, richieste MFA insolite o ripetuti tentativi di login falliti associati agli account istituzionali.
Comunicare in modo proattivo. Una comunicazione trasparente può ridurre significativamente l’efficacia degli attacchi di phishing successivi alla violazione. Le istituzioni dovrebbero valutare l’opportunità di informare le proprie comunità sulle tipologie di truffe più probabili e ricordare agli utenti come vengono normalmente gestite le comunicazioni ufficiali della scuola.
Una lezione più ampia per il settore dell’istruzione
L’incidente che ha coinvolto Canvas evidenzia una realtà più ampia con cui oggi il mondo dell’istruzione deve confrontarsi: gli attacchi informatici non sono più eventi tecnici isolati. Gli attacchi moderni combinano frequentemente furto di dati, estorsione, impersonificazione e social engineering in campagne di lunga durata che proseguono ben oltre il contenimento dell’intrusione iniziale.
Per scuole e università, la resilienza dipende sempre più non solo dalla capacità di prevenire le violazioni, ma anche dalla preparazione delle comunità a riconoscere e contrastare le tecniche di manipolazione che seguono tali incidenti. È una questione personale, da qualunque punto di vista la si osservi.
Per genitori, studenti ed educatori, formazione continua (senza alcun gioco di parole) e vigilanza restano le prime e più efficaci linee di difesa.