Non è la prima volta che un portale della Pubblica Amministrazione si è dimostrato accessibile a tutti o attaccabile sebbene dichiarasse che l’accesso fosse consentito solo con username e password. Già a febbraio di quest’anno Anonimous era riuscito a “bucare” il server online del Ministero della Sanità e accedere agli elenchi delle persone sieropositive, poi pubblicati mascherando i nomi per non danneggiare le vittime della mancata protezione.
Occorre preoccuparsi perché la forzata ondata di dematerializzazione voluta dai vari governi per far sembrare la Pubblica Amministrazione moderna e ufficialmente per ridurre la carta (ma ciascun soggetto interessato – compresi tanti uffici della Pa – stampa la propria copia cartacea) sta coinvolgendo ambiti sempre più ampi e delicati, dai registri elettronici con i dati di milioni di minorenni al processo telematico che coinvolge dati giudiziari, alle ricette farmacologiche, analisi diagnostiche e certificati medici scambiati online.
Il primo problema nasce dalla sicurezza indotta nell’utente dalla frase: “Le informazioni scambiate con questo sito sono protette” che appare mentre accanto alla barra di navigazione compare il simbolo del lucchetto. Il problema è che, al di là dello scambio effettivamente protetto, i dati sono memorizzati sul server cui si ha accesso, che non necessariamente ha adeguate protezioni e quasi mai prevede programmi di criptatura (che rendono i dati illegibili a chi non abbia la chiave di decrittazione). Ciò comporta che informazioni che si credevano riservate siano alla mercé di hacker e cracker o di tecnici autorizzati a manutenere il sistema ma non necessariamente alla gestione delle informazioni.
Una ulteriore preoccupazione nasce dal fatto che questi siti hanno pagine dinamiche che utilizzano script. Questi possono essere oggetto di attacchi (detti XSS, Cross Site Scripting) mirati fra l’altro alla cattura delle credenziali dell’utente. Questi attacchi difficilmente sono individuabili durante la connessione da chi non abbia dotato il proprio Pc di programmi che consentano di segnalare la presenza di script, vietarli o abilitarli solo temporaneamente.
Nelle caselle di posta istituzionale di alcune amministrazioni, poi, le pagine sono accessibili anche dopo che si è chiusa la sessione mediante l’opzione “esci” cliccando un paio di volte sulla freccia che permette di tornare indietro di una pagina. Altre volte invece non si riesce ad entrare nonostante le credenziali siano corrette.
C’è pure il problema del sovraccarico del sito in momenti di punta, come la partecipazione in massa ad operazioni che abbiano una certa scadenza o l’attività quotidiana dei medici di famiglia che spesso solo dopo attese lunghissime riescono a compilare i certificati di malattia per i loro assistiti. Questo crea molti disagi (eliminabili con un adeguato dimensionamento del sistema) e, visto quanto sopra, induce a chiedersi se gli unici effetti di questa forzata informatizzazione debbano essere negativi.
Potrei continuare, ma appare ovvio che la Pa non fosse preparata a questa ondata di “dematerializzazione” spesso imposta ad utenti e impiegati pubblici. Inoltre ci si potrebbe legittimamente chiedere quali siano i criteri di scelta delle softwarehouse incaricate della gestione dei servizi informatici statali.
Fra l’altro riuscire a capire sui vari portali chi siano le ditte che li hanno progettati o li gestiscono è quasi impossibile (a differenza che nei siti dei privati), mentre in nome della trasparenza il cittadino-utente dovrebbe poterne verificare agevolmente l’affidabilità, nonché quanto costi allo Stato (quindi anche a lui) quel sistema.