È pomeriggio. Hai finito le lezioni, magari stai sistemando il registro elettronico o controllando le comunicazioni interne. Apri la posta istituzionale e trovi un messaggio che sembra ufficiale.
- Logo del MIM.
- Tono formale.
- Un avviso di sicurezza.
“È stato rilevato un tentativo di accesso anomalo al tuo account da IP estero.”
Il cuore fa un mezzo salto. IP estero? Accesso anomalo? E poi quella frase finale: entro 24 ore l’account sarà temporaneamente sospeso.
Nel mondo scuola, oggi, l’account istituzionale non è un dettaglio: è lavoro, comunicazioni, piattaforme, circolari, documenti, credenziali collegate. L’idea di perderlo anche solo per un giorno crea immediatamente pressione.
Ed è esattamente su questa pressione che si basa questa nuova campagna di phishing.
L’email che sembra del Ministero (ma non lo è)
Il messaggio utilizza intestazione e logo del MIM – Ministero dell’Istruzione e del Merito – in modo credibile. Il layout è semplice, pulito, istituzionale. Nulla di vistosamente “strano”.
Il testo è questo:
Gentile utente,
è stato rilevato un tentativo di accesso anomalo al tuo account da IP estero.
Per ragioni di sicurezza, ti invitiamo a cliccare il seguente link.
Se la verifica non verrà completata entro 24 ore, il tuo account sarà temporaneamente sospeso.
A una prima lettura, tutto sembra plausibile. Nessun errore grossolano. Nessuna grafica amatoriale. Nessuna richiesta esplicita di denaro.
Ed è proprio questo il punto: non è una truffa “rumorosa”. È una truffa silenziosa, costruita con cura.
Se però ci fermiamo un attimo, emergono già alcuni segnali importanti.
Il messaggio inizia con un generico “Gentile utente”. Nessun nome, nessun riferimento alla scuola di appartenenza, nessun dato identificativo. Per un sistema che dovrebbe aver rilevato un accesso anomalo specifico, è una comunicazione sorprendentemente impersonale.
Poi c’è l’elemento dell’urgenza: 24 ore. La scadenza breve serve a impedire la riflessione. Quando c’è fretta, il pensiero critico si abbassa.
Ma il dettaglio che smaschera tutto è un altro.
Il link che tradisce la truffa
A prima vista, il messaggio invita a cliccare su un semplice “link”. Nulla di strano. Ma basta fare un gesto semplicissimo: passare il mouse sopra il collegamento senza cliccare.
Ed ecco cosa appare.
L’indirizzo non punta a un dominio istituzionale del Ministero. Non è un dominio governativo ufficiale. Non è un indirizzo riconducibile in modo chiaro al MIM.
Anzi, presenta un dettaglio subdolo:
“istunzione” invece di “istruzione”.
Due sole lettere fuori posto.
Questo tipo di tecnica si chiama typosquatting. I truffatori registrano domini quasi identici a quelli ufficiali, modificando una lettera, invertendone due o inserendo un piccolo errore che l’occhio tende a non notare.
Il nostro cervello legge le parole nel loro insieme, non lettera per lettera. Se la forma generale è corretta, il significato passa comunque. È un meccanismo cognitivo sfruttato consapevolmente.
Inoltre, il Ministero utilizza domini istituzionali ufficiali legati al circuito governativo. Un dominio “quasi uguale” non è un dominio ufficiale.
E questo basta già a classificare il messaggio come tentativo di phishing.
Come funziona l’attacco, passo dopo passo
Il meccanismo è semplice ma efficace.
- Ricevi la mail.
- Ti spaventi per l’accesso anomalo.
- Clicchi per “mettere in sicurezza” l’account.
A quel punto vieni reindirizzato a una pagina che replica graficamente il portale del Ministero. Logo, colori, form di accesso. Tutto familiare.
Inserisci email istituzionale e password.
Da quel momento le credenziali non sono più solo tue.
I dati finiscono direttamente ai truffatori, che possono:
- accedere alla tua casella di posta istituzionale;
- tentare reset password su altri servizi collegati;
- inviare nuove email di phishing usando il tuo account;
- cercare documenti o informazioni sensibili;
- diffondere ulteriormente la truffa all’interno della scuola.
Nel contesto scolastico questo può diventare particolarmente pericoloso, perché l’account istituzionale è spesso collegato a più piattaforme: registro elettronico, ambienti cloud, comunicazioni interne, talvolta anche servizi amministrativi.
Non è solo una password: è una porta di accesso.
Perché questa truffa colpisce proprio il personale scolastico
Ci sono almeno tre motivi.
Il primo è l’autorità. Il MIM è un ente centrale, percepito come legittimo e incontestabile. Se arriva una comunicazione “di sicurezza”, la tendenza è fidarsi.
Il secondo è la complessità digitale del mondo scuola. Docenti e personale ATA gestiscono più credenziali, più piattaforme, più scadenze. L’idea che qualcosa possa essere stato compromesso non è irrealistica.
Il terzo è la pressione operativa. La parola “sospensione” genera un danno immediato e concreto: impossibilità di lavorare, di comunicare, di accedere agli strumenti quotidiani.
Questa non è solo tecnologia. È ingegneria sociale.
I segnali che devono far scattare l’allarme
Se ci fermiamo un attimo a rileggere il messaggio, emergono elementi chiari.
- La comunicazione è generica.
- Non contiene dati personali.
- Non riporta riferimenti verificabili.
- Crea urgenza.
- Nasconde un link sotto una parola neutra.
- Punta a un dominio non istituzionale.
Un ente pubblico non chiede mai di inserire credenziali tramite un link ricevuto in email. Le comunicazioni ufficiali non impongono scadenze minacciose di poche ore senza ulteriori canali di verifica.
E soprattutto: un dominio quasi corretto non è un dominio corretto.
Cosa fare se ricevi questa email
La prima cosa è semplice: non cliccare.
- Non rispondere al messaggio.
- Non scaricare eventuali allegati.
- Segnala immediatamente l’email al referente informatico della scuola o al tecnico incaricato.
- Puoi anche inoltrarla alla Polizia Postale come segnalazione di phishing.
Poi elimina il messaggio.
Condividere l’informazione internamente è fondamentale. Se l’hai ricevuta tu, probabilmente l’hanno ricevuta anche altri colleghi.
Cosa fare se hai già cliccato e inserito la password
Qui bisogna agire rapidamente, senza panico ma con decisione.
- Cambia immediatamente la password dell’account istituzionale.
- Modifica anche eventuali password uguali o simili utilizzate su altri servizi.
- Attiva l’autenticazione a due fattori, se disponibile.
- Contatta il referente tecnico o la segreteria per verificare eventuali accessi anomali.
Prima si interviene, minore è il rischio.
La lezione più importante
Questa truffa non funziona perché è tecnicamente sofisticata. Funziona perché sfrutta la fretta, l’autorità e la paura di restare bloccati.
La sicurezza digitale, oggi, non è solo una questione informatica. È una competenza professionale trasversale, soprattutto nel mondo della scuola.
Basta un secondo in più. Un passaggio del mouse sul link. Una verifica in più.
E una sola lettera sbagliata può fare la differenza tra un falso allarme e un account compromesso.
Se hai ricevuto questa email, raccontalo nei commenti: capire quanto è diffusa aiuta tutta la comunità scolastica.
Condividi questo articolo nei gruppi docenti, nei collegi, nelle chat di istituto: più persone sono informate, meno questa truffa può funzionare.
E se vuoi restare aggiornato su nuove minacce informatiche che colpiscono il mondo scuola, iscriviti alla newsletter: ti avviserò appena emergono nuove campagne di phishing o vulnerabilità da conoscere.
Nel digitale, la prima difesa è l’informazione.
Commenta per primo