“Quiz in anticipo”: qualcuno ha provato ad hackerare il sistema per scoprire le domande dei test di Medicina

Prima una mail nella casella di un tecnico informatico: “Aggiornamento urgente piattaforma esami – verifica credenziali”. Il mittente sembra affidabile, il logo è quello giusto, la lingua è curata. Mancano poche ore alla seconda tornata delle prove del nuovo semestre filtro di Medicina. Un clic sbagliato, e le domande di Chimica, Fisica e Biologia potrebbero circolare prima del via. Ma quel clic non arriva. I tecnici non abboccano. Poco dopo, scatta la denuncia. È la storia che chiama in causa Cineca, la Procura di Bologna, gli studenti di tutta Italia e il primo grande stress test di una riforma che ha mandato in soffitta il vecchio quiz nazionale.

Un fascicolo in Procura e due filoni d’indagine

Il consorzio interuniversitario Cineca — che ha gestito per conto del Ministero dell’Università e della Ricerca gli esami del semestre aperto — ha segnalato alle autorità “ripetuti tentativi” di phishing avvenuti nei giorni precedenti le prove, con l’obiettivo di carpire in anticipo i quesiti. Nella stessa denuncia rientra un secondo filone: la presunta diffusione di fake news sulla regolarità degli esami, attribuita ad alcuni studi legali. La Procura di Bologna ha aperto un’inchiesta; la Polizia postale è al lavoro per risalire alla filiera delle email e alla loro origine. Per ora, un punto fermo: i tecnici non hanno ceduto e i test non risultano compromessi.

Cosa si voleva ottenere e cosa è successo davvero

L’ipotesi investigativa più probabile e che qualcuno abbia cercato di “agganciare” personale in grado di accedere ai sistemi che custodivano le batterie di quesiti standardizzati per i due appelli nazionali: 20 novembre 2025 e 10 dicembre 2025. Il vettore: messaggi verosimili, costruiti per indurre a inserire credenziali o aprire allegati malevoli. Il risultato? Fallito. Non emergono evidenze che le domande — o le risposte — siano state sottratte o circolate prima delle prove. È un dettaglio non banale: tutela la validità del primo semestre filtro e riduce il rischio di contenziosi di massa. Resta però l’allarme: i tentativi ci sono stati e si sono mossi a ridosso delle date-chiave.

Il nuovo sistema: cos’è il “semestre filtro”

Dal 2025/2026 il tradizionale test d’ingresso a crocette è stato sostituito da un semestre a iscrizione libera con tre insegnamenti cardine e prove nazionali uniformi. La selezione scatta dopo: chi supera le soglie entra nella graduatoria nazionale e accede al secondo semestre di Medicina, Odontoiatria o Veterinaria; gli altri confluiscono nei corsi affini o possono ripetere l’esperienza, entro limiti definitori. 

Le prove del semestre filtro si sono tenute in due finestre: primo appello il 20 novembre 2025 e secondo appello il 10 dicembre 2025. Ogni studente ha affrontato tre esami — Chimica e propedeutica biochimica, Fisica, Biologia — con modalità uniformi: 31 quesiti per ciascuna prova (15 a scelta multipla e 16 a completamento), 45 minuti di durata, pausa di 15 minuti tra un esame e l’altro. La soglia di idoneità era fissata a 18/30 per ogni materia. I risultati sono stati pubblicati su Universitaly entro il 3 dicembre (primo appello) e il 23 dicembre (secondo appello).

Secondo i dati riepilogati dopo l’uscita della graduatoria nazionale — diffusa tra 8 e 12 gennaio 2026 a seconda dei canali informativi — gli idonei complessivi sarebbero 25.387: 22.688 per Medicina, 1.535 per Veterinaria, 1.072 per Odontoiatria. Gli esami registrati sono stati 50.859 al primo appello e 45.789 al secondo.

Come funziona la catena di sicurezza

Il consorzio Cineca — polo pubblico dell’IT accademico, con sede nell’area metropolitana di Bologna — ha curato l’infrastruttura tecnologica e la logistica digitale del processo per conto del MUR. Parliamo dello stesso soggetto che gestisce piattaforme nazionali (tra cui Universitaly per le procedure di accesso), sistemi informativi per atenei e comparti della pubblica amministrazione, oltre a uno dei maggiori centri di supercalcolo europei. La sua macchina comprende policy di sicurezza, infrastrutture segregate e canali ufficiali per la segnalazione di vulnerabilità. Anche su sistemi non direttamente legati agli esami, le linee guida interne ribadiscono la responsabilità nel custodire credenziali, aggiornare software e segnalare crisi. Un contesto che aiuta a comprendere perché gli attacchi di social engineering puntino spesso sulla componente umana.

Perché il phishing ha “funzionato” solo a metà

Il phishing è la versione digitale della truffa del finto incaricato: l’attaccante si traveste da ente legittimo, replica grafica e tono, spinge la vittima a cliccare su un link o aprire un allegato. L’obiettivo, in casi come questo, non è piantare bandierine nei server centrali — molto più complessi da violare — ma sottrarre credenziali a un operatore con diritti legittimi e scalare accesso dall’interno. Gli elementi noti dell’indagine suggeriscono che i messaggi fossero orchestrati nei giorni precedenti al secondo appello, quando la pressione era massima, la reperibilità elevata e l’attenzione più vulnerabile. È un classico del fattore umano: non serve bucare la cassaforte, basta carpire il codice al portatore. Qui, però, la catena non si è spezzata.

Accanto ai tentativi di phishing, Cineca ha segnalato un presunto inquinamento informativo: notizie infondate sulla validità degli esami e sull’omogeneità delle procedure, rilanciate, secondo la denuncia, anche da alcuni studi legali a caccia di clienti per eventuali ricorsi. Questo fronte non è secondario: alimentare l’idea di un sistema “truccato” può produrre sfiducia negli studenti, pressione sugli atenei e contenzioso seriale. Tocca ora agli inquirenti stabilire se, dove e come siano state superate le soglie della diffamazione o della pubblicità ingannevole.