Cyberattacco al ministero dell’Istruzione francese: rubati i dati di 243mila dipendenti, docenti

Un attacco informatico ha colpito il ministero dell’Istruzione francese e ha messo a rischio i dati personali di circa 243.000 dipendenti, in gran parte insegnanti. La violazione, individuata a marzo 2026, riguarda il sistema di gestione del personale “Compas”, una piattaforma usata per pratiche e amministrazione delle risorse umane.

Non è solo una fuga di dati “da ufficio”: quando finiscono in rete indirizzi e numeri di telefono, la vita reale entra nel mirino. Per chi lavora a scuola – già esposto a tensioni e conflitti, come accade anche in Italia – il salto è immediato: dal profilo amministrativo alla persona rintracciabile, contattabile, potenzialmente intimidibile.

Il ministero ha confermato l’intrusione e ha avviato le procedure con le autorità competenti francesi. Intanto, un campione delle informazioni sarebbe comparso su siti di rivendita, un segnale che spesso anticipa campagne di truffe mirate.

Cosa è successo: l’intrusione del 15 marzo nel sistema “Compas”

L’accesso fraudolento risale al15 marzo 2026e ha preso di miraCompas, strumento HR utilizzato per gestire diverse categorie di personale, inclusi docenti in formazione e tirocinanti della scuola primaria e secondaria. L’incidente è stato rilevato solo alcuni giorni dopo dai team di sicurezza del ministero: un dettaglio pesante, perché più tempo resta aperta una porta, più dati possono uscire senza fare rumore.

Secondo le informazioni diffuse, l’attacco sarebbe passato dalla compromissione di unaccount esterno: in pratica, non serve “sfondare” un sistema se si ottengono le credenziali giuste. È lo schema classico: phishing, password riutilizzate, accessi concessi a partner o fornitori con controlli meno stringenti.

Il ministero ha sospeso l’accesso a Compas e ha avviato verifiche su altri sistemi per evitare propagazioni. Sul fronte istituzionale, sono state coinvolteAnssi(l’Agenzia nazionale francese per la cybersicurezza, equivalente per ruolo all’Agenzia per la Cybersicurezza Nazionale in Italia) e laCnil(l’autorità francese per la privacy, paragonabile al Garante italiano). È stata avviata una procedura di denuncia a Parigi.

Quali dati sono stati sottratti: identità, contatti e periodi di assenza

Il perimetro dichiarato riguarda243.000 personesu tutto il territorio francese. I dati esfiltrati includononome e cognome,indirizzo postale,numero di telefonoeperiodi di assenza(senza indicazione del motivo). Presi singolarmente possono sembrare “informazioni di contatto”, ma insieme diventano un pacchetto pronto per colpire in modo credibile.

Nel materiale sottratto rientrerebbero anche elementi legati alla catena di supervisione: identità e numeri professionali di tutor e referenti, e – secondo quanto riportato – anche linee fisse di lavoro. Non sono contatti privati, ma possono rendere molto più convincenti chiamate e messaggi-trappola: “La contatto dal rettorato per una pratica del suo tirocinante”, la frase che abbassa le difese.

Il ministero ha precisato chenon risultano coinvolti dati sanitarie che le assenze non riportano la causale. È una limitazione importante, ma non elimina il rischio: indirizzo e telefono bastano per costruire truffe su misura e pressioni mirate.

Un campione dei dati sarebbe stato pubblicato online da un soggetto che si presenta con lo pseudonimo“Hexdex”. In questi casi l’estratto serve spesso come “prova” per vendere il resto, accelerando la circolazione e l’uso criminale delle informazioni.

I rischi concreti per docenti e personale: phishing, furti d’identità e localizzazione

Il primo pericolo è ilphishing mirato. Con nome, numero e indirizzo, un truffatore può inviare SMS o email che sembrano autentici: finta richiesta di aggiornamento del fascicolo HR, convocazioni, messaggi di assistenza Compas. Un clic può trasformare una fuga di dati in un furto di account, e poi in un effetto domino su posta elettronica e servizi interni.

Il secondo rischio è l’usurpazione d’identità: attivazioni di servizi, tentativi di raggiro “da finto operatore”, consegne deviate, pratiche avviate con dati reali. Non è automatico, ma la disponibilità di informazioni già ordinate riduce tempi e costi per chi attacca, aumentando il numero potenziale di vittime.

C’è poi un aspetto più delicato, nel mondo scuola: lalocalizzazione. Sapere che il proprio indirizzo può circolare cambia la percezione di sicurezza. Per alcuni insegnanti – specie in contesti socialmente tesi – è un carico ulteriore, simile alle preoccupazioni che in Italia emergono quando dati personali finiscono in mani sbagliate o quando si alza il livello di conflittualità con famiglie e territorio.

Infine, attenzione alle truffe “ibride”: un SMS che porta a una telefonata, e poi a un interlocutore che si spaccia per ufficio amministrativo. La presenza di contatti professionali di tutor e stagisti rende più facile costruire storie credibili e manipolatorie.

Perché la PA resta esposta: l’anello debole degli account compromessi

Il punto centrale, in questa vicenda, è l’ipotesi dell’account esternousato come grimaldello. È un promemoria brutale: la sicurezza non è solo firewall e antivirus, è gestione dell’identità digitale, dei permessi e dei controlli sugli accessi di partner e fornitori.

Il fatto che l’intrusione sia stata scoperta solo il19 marzo– diversi giorni dopo l’accesso iniziale – apre un tema di monitoraggio: un attaccante prudente può imitare comportamenti legittimi e far uscire dati a piccoli blocchi, senza far scattare subito allarmi.

Il caso arriva in un contesto in cui anche altre istituzioni pubbliche francesi sono state colpite di recente, alimentando l’idea di una fragilità strutturale. Sistemi HR spesso datati, interconnessi e difficili da aggiornare convivono con esigenze operative quotidiane: un mix che, se non governato, diventa terreno fertile per incidenti ripetuti.

Ora la domanda, per i dipendenti coinvolti, è cosa cambierà davvero: autenticazione più forte, limiti all’export dei dati, registri di accesso più efficaci, revisione dei privilegi, audit sugli account esterni. Senza misure concrete, il copione rischia di ripetersi.

Cosa possono fare subito i dipendenti coinvolti: difese pratiche e segnali da non ignorare

Primo: considerare che quei dati possono essere usati per contattarvi. Quindi massima prudenza su messaggi che citanoCompas, “regolarizzazioni”, rimborsi o urgenze amministrative. Niente clic su link: verificate passando da canali ufficiali già noti (siti istituzionali, numeri in rubrica, centralini).

Secondo: mettere in sicurezza gli account personali. Cambiate le password riutilizzate, attivate ladoppia autenticazionedove disponibile e controllate accessi sospetti. Se dovete scegliere una priorità, partite dalla casella email: è la chiave con cui si resettano molte altre credenziali.

Terzo: osservare i segnali deboli. Telefonate inattese, lettere strane, richieste di pagamento, notifiche di account mai creati. Con un indirizzo postale, alcune truffe passano anche dalla carta. Conservate prove (screenshot, numeri chiamanti, buste) e segnalate tutto secondo le procedure interne.

La partita, non è solo individuale: serve una risposta organizzata, con indicazioni rapide e semplici su come riconoscere comunicazioni autentiche e come verificare un contatto. È lì che si misura la capacità di un’istituzione di reggere l’urto, non solo di raccontarlo dopo.