Il registro elettronico, introdotto dal governo Monti, è entrato da questo settembre a far parte della vita delle scuole italiane. Ma forse la novità, che peraltro dovrebbe riguardare solo alcuni istituti, dovrà aspettare ancora un po’ prima di diventare operativa. E diffondersi in modo corretto. L’allarme è arrivato al Corriere da parte di un esperto informatico che, semplicemente, ha voluto dare un’occhiata al nuovo strumento «portato» a casa dalla moglie, insegnante di una scuola media. Il registro elettronico rischia di non essere sicuro: basta un’intrusione, semplice, non da esperto «hacker», da parte di uno studente nel computer del professore perché voti, note, assenze e quant’altro diventino liberamente manipolabili da parte dello studente stesso. Quasi un gioco di ruolo, dalle conseguenze però tutt’altro che piacevoli. Basta un semplice programmino e tre minuti liberi sul pc del docente. Oltre, ovviamente, alla volontà di truffare. La professoressa e il marito, impiegato nella sicurezza informatica di una banca (entrambi preferiscono rimanere anonimi), si sono messi una sera a studiare la novità. Ossia il funzionamento di SissiWeb, uno dei programmi acquistabili dalle scuole (se ne sono dotati circa 1.300 istituti) per mettere i professori in condizione di gestire con il pc la programmazione e le attività didattiche. L’occhio esperto è caduto subito sulla sicurezza del sistema. «Nella descrizione è paragonata a quella di una banca», afferma l’informatico. «E invece non è così: le credenziali che il professore utilizza per accedere al registro elettronico viaggiano in chiaro in Rete». Questo significa semplicemente che nel momento del login — l’inserimento di username e password — le informazioni non sono protette da alcun sistema di criptaggio. La cosa risulta subito evidente, anche nella prova fatta da noi (sul canale Scuola di Corriere.it si possono trovare l’articolo di Martina Pennisi e le schermate dell’intero processo di «furto»). Mentre quando siamo in un ambiente protetto, come quello che usiamo per l’home banking, a margine dell’indirizzo Internet che troviamo nel browser è presente il simbolo di un piccolo lucchetto (che segnala la presenza di un certificato SSL — Secure Sockets Layer — che di fatto «blinda» le informazioni), durante le operazioni su SissiWeb questo lucchetto non è presente. E dunque i dati sensibili per l’accesso possono essere «catturati». Per compiere la malefatta, ossia «mettere le mani» sul registro del prof in formato digitale, è sufficiente che alunno e docente stiano utilizzando la stessa connessione a Internet, ossia per esempio il wi-fi della scuola (come conferma il ministero, le reti scolastiche non sono separate per docenti e studenti). Dopo che l’alunno truffaldino si è dotato di un particolare programma e dopo che ha avuto accesso al pc del docente (anche per pochi minuti), il suo computer diventa una finestra aperta sulle attività di quello che fa il professore sul registro elettronico. La «falla» si può facilmente chiudere tramite, come detto, un protocollo di sicurezza. Una certificazione Verisign, per esempio, quella usata da molti istituti bancari e che è quella in mano alla Axios, l’azienda che sviluppa il programma SissiWeb. Ma perché vada in funzione dev’essere resa operativa sui server che gestiscono l’applicazione del registro elettronico. Cosa che ancora non è stata fatta. E per una volta l’arretratezza informatica delle nostre scuole ha un risvolto positivo: il problema riguarda solo un 10-11% degli istituti, cioè quelli che di fatto hanno una rete wi-fi a disposizione del corpo docente e degli studenti. Ma rimane la brutta sensazione di superficialità che ha portato il registro a perdere l’aurea di «libro proibito» nella sua forma fisica, per diventare una bacheca pericolosamente aperta nella versione digitale.

Federico Cella