Un'indagine pubblicata da Ars Technica il 24 aprile 2026 ha sollevato il velo su una vulnerabilità critica che colpisce i portali delle università più prestigiose al mondo. Centinaia di sottodomini istituzionali sono stati dirottati da malintenzionati per ospitare contenuti pornografici e siti di scommesse. Il problema non risiede in sofisticati attacchi hacker, ma in quella che gli esperti definiscono shoddy housekeeping: una gestione negligente dei record digitali.
Il meccanismo principale è il cosiddetto subdomain hijacking tramite dangling DNS. Le università creano spesso sottodomini per progetti temporanei o servizi esterni; quando questi servizi scadono ma il puntamento DNS rimane attivo, gli attaccanti ne prendono il controllo. L'impatto pratico è devastante: i filtri di navigazione spesso non bloccano questi contenuti perché risiedono su domini accademici considerati affidabili, esponendo studenti e personale a rischi di phishing e malware.
In Europa, questa trascuratezza assume una dimensione legale rilevante. La mancata protezione dell'integrità dei domini istituzionali può configurarsi come una violazione dei principi di sicurezza del GDPR, esponendo gli atenei a sanzioni per la scarsa governance dei dati. Per le università italiane, spesso dotate di infrastrutture legacy stratificate, è urgente avviare un audit dei DNS e rimuovere ogni record obsoleto per evitare il declassamento SEO e la perdita di credibilità internazionale.