Note di Matteo

Ecco il catalogo delle API della pubblica amministrazione (api.gov.it), parte del piano interoperabilità, che dovrebbe permettere a comuni, regioni ed enti varie di ottenere dati sul cittadino (es. certificazione ISEE) in modo automatico senza doverli chiedere al cittadino ogni volta.

TIL PagoPA si è stufata di stare dietro ai bonus e ha fatto una piattaforma chiamata PARI per permettere alle varie pubbliche amministrazioni di distribuire bonus tramite l'app IO.

È quasi pronto IT Wallet nell'app IO, un passo ulteriore rispetto a Documenti su IO, come avevo scritto.

(da varie PR della repository GitHub)

Piattaforma incentivi BEV parte 2 (qui parte 1):

1. hanno letteralmente sbagliato una sottrazione:

Il sistema calcolava il prezzo finale della vettura detraendo l’ammontare dell’incentivo più Iva, tassando cioè impropriamente il bonus e determinando un errore contabile formale.

2. un controllo probabilmente pensato per non andare in negativo o qualcosa di simile in realtà bloccava erroneamente lo sconto in molti casi:

Per la cronaca, il sistema prevedeva anche un meccanismo di blocco applicato in modo erroneo, e poi eliminato, che impediva di finalizzare un voucher se il prezzo finale di acquisto della vettura incentivata fosse inferiore all’ammontare del bonus ricevuto, eventualità assai probabile con un contributo di 11 mila euro applicato all’acquisto di una utilitaria elettrica.

(Gazzetta)

La nuova piattaforma usa e getta (già usata e già gettata) per gli incentivi auto elettriche, costruita di fretta in poche settimane, ha impedito di presentare delle domande perché non considerava correttamente gli accenti nei cognomi:

[...] il sistema ha bloccato la generazione del voucher a causa di un problema legato all’inserimento della targa nel campo richiesto. Nonostante questa fosse stata digitata correttamente. Il tutto documentato tramite screenshot realizzati durante la procedura. Dopo un’analisi dell’agenzia pratiche-auto e della Motorizzazione, si è ipotizzato che il problema potesse essere legato alla mancanza dell’accento sulla lettera “i” finale del mio cognome nel libretto di circolazione.

(Vaielettrico)

Azure ha problemi, l'app IO ha problemi, i documenti offline non funzionano. C'è già una PR di fix, "rare condition".

Le email di risposta dell'assistenza TreC+ (fascicolo sanitario elettronico della provincia di Trento) arrivano da supporto.trec@dedagroup.it:

Ma c'è un Reply-To verso easyredmine@dedagroup.it, per cui se nel client email si preme "rispondi" si risponde a quest'ultimo indirizzo email.

Spoiler: l'indirizzo email non esiste. L'email torna indietro come bounce subito dopo, e il messaggio di rimbalzo finisce però in spam perché il dominio ha una policy DMARC di reject ma il messaggio non è autenticato con DKIM né è presente un record SPF.

Authentication-Results: phl-mx-07.messagingengine.com;
    dkim=none (no signatures found);
    dmarc=fail policy.published-domain-policy=reject
      policy.applied-disposition=quarantine
      policy.evaluated-disposition=reject
      policy.override-reason=local_policy policy.arc-aware-result=fail
      (p=reject,d=quarantine,d.eval=reject,override=local_policy,arc_aware_result=fail)
      policy.policy-from=p header.from=dedagroup.it;
    iprev=pass smtp.remote-ip=92.242.172.106 (mail.dedagroup.it);
    spf=none smtp.mailfrom="" smtp.helo=mail.dedagroup.it

CIE arrivata in tre giorni (!). Ma il processo di attivazione di CieID è da migliorare. Grande confusione di domini come ho già scritto, interfacce incoerenti tra loro, icone schiacciate, app che non funziona con i password manager, zero integrazione con IO, ecc.

Le specifiche per la fototessera CIE secondo il mio comune:

definizione immagine di almeno 400 dpi, dimensione del file di massimo 500KB e formato del file “JPG”;

Tutte informazioni inutili tranne l'unica cosa rilevante cioè la risoluzione e l'aspect ratio (a meno che non si aspettino che le persone sappiano che DPI indica punti per pollice e si mettano a fare la conversione).

Prenoto un appuntamento CIE sul sito del mio comune:

• Per il pagamento il sito mi offre due opzioni: andare sul sito pagoPA oppure ricevere il PDF per "pagare sul territorio". In realtà il PDF è utile anche per pagare con l'app IO con il codice QR, ma il PDF stesso non menziona l'esistenza dell'app IO per qualche motivo.

• In contemporanea ricevo un messaggio dal comune sull'app IO con scritto "in attesa di pagamento". C'è un link dentro, ma il link mi porta a una pagina di login.

• Pago nell'app IO con il QR e ricevo:
  1. la ricevuta pagoPA via email;
  2. un'email di ricevuta da MyPay, il portale dei pagamenti della provincia di Trento con cui non avevo comunque avuto nessun contatto per questo pagamento;
  3. la ricevuta dentro l'app IO.

In tutto questo sul sito del comune l'appuntamento risulta ancora in "bozza", non confermato, e in attesa di pagamento.

C'eravamo quasi, ma fatta così questa user experience è assurda. Dovevo ricevere il bollettino di pagamento dentro l'app IO e poter pagare da lì, è letteralmente la funzione principale dell'app (e funziona correttamente ad esempio con il pagamento del bollo auto).

EDIT: dopo qualche minuto ricevo conferma via email dell'appuntamento da parte del comune. C'è un allegato con il file .ics per il calendario, ma c'è il fuso orario sbagliato quindi nel calendario finisce due ore dopo l'ora effettiva. Nell'app IO tutto tace. Eh.

La polizia scozzese sta decidendo se usare Microsoft 365 è ok dal punto di vista della privacy, visto che in Regno Unito la legge per la protezione dei dati è molto simile al GDPR (e quindi richiede certe garanzie di trasparenza e valutazioni per il trasferimento dei dati in Paesi terzi) e ci sono regole aggiuntive in caso di dati della polizia.

ComputerWeekly ha scoperto che a prescindere dalla regione scelta i dati possono essere acceduti da personale in 105 Paesi e da 148 sub-processor, tra cui circa 70 non in possesso del requisito di adeguatezza in termini di norme privacy:

According to one list dated 11 November 2024, there are around 70 countries that M365 data could be accessed from that hold no European or UK adequacy for law enforcement data. Outside of the EU and EEA, the UK is the only country with law enforcement data adequacy.

All in all, an analysis of Microsoft’s distributed documentation – conducted by independent security consultant Owen Sayers and shared with Computer Weekly – suggests that Microsoft personnel or contractors can remotely access the data from 105 different countries, using 148 different sub-processors.

The tech giant also refused to disclose its own risk assessments into the transfer of UK policing data to other jurisdictions, including China and others deemed “hostile” in the DPIA documents. This means Police Scotland and the SPA – which are jointly rolling out Office 365 – are unable to satisfy the law enforcement-specific data protection rules laid out in Part Three of the Data Protection Act 2018 (DPA18), which places strict limits on the transfer of policing data outside the UK.

L'app IO è stata scaricata più di 40 milioni di volte, mette a disposizione 370.000 servizi pubblici e ha superato 1 MILIARDO di messaggi inviati dagli enti ai cittadini. Insomma, 1 miliardo di email, messaggi, post-it e notifiche cartacee eliminate in pochi anni. Se non è digitalizzazione questa.

Gabriele Campagnano, dipartimento per la trasformazione digitale.

Il comune di Trento ha iniziato a notificare le multe (della polizia locale, presumo) tramite il sistema SEND (Servizio Notifiche Digitali), che tenta una notifica in formato digitale, cioè con app IO oppure PEC, prima di ricorrere alla raccomandata.

Riporta il TGR che alcuni cittadini pensavano che la notifica via posta fosse una truffa, e riporta Il Dolomiti che girano truffe a nome di PagoPA.

La cosa assurda è che purtroppo il sistema di notifiche digitali SEND ha come dominio ufficiale notifichedigitali.it (indicato anche sulle comunicazioni cartacee) ed è così essenzialmente impossibile distinguere a colpo d'occhio se si tratta di un sito ufficiale. Non costerebbe nulla usare correttamente la TLD gov.it e poi comunicare ai destinatari che si possono fidare proprio perché il dominio termina con .gov.it.

[ qua avrei incollato un'immagine della comunicazione cartacea, ma non ho ancora implementato il sistema di upload su questo sito :) ]

EDIT eccola:

Con 2,4 milioni di firme la petizione dei cittadini del Regno Unito per bloccare la proposta di carta d'identità digitale mi sembra un grande esempio delle diverse sensibilità dei popoli nei confronti dei propri governi.

We think this would be a step towards mass surveillance and digital control, and that no one should be forced to register with a state-controlled ID system. We oppose the creation of any national ID system.

In Regno Unito non esistono le carte d'identità come le conosciamo noi, e quindi questo viene visto come un tentativo di schedare la popolazione. In Italia e presumo nella maggior parte dei paesi europei è invece la normalità che lo Stato conosca già i dati di tutti perché emette i documenti di identità.

Il rischio in Italia è stato preso in considerazione nel momento di introdurre l'identità digitale: anziché centralizzare il sistema, si è scelto il modello SPID dove esistono diversi identity provider tra cui poter scegliere liberamente. Il paradosso è che questo sistema decentralizzato ha mostrato i suoi limiti e ora molti chiedono a gran voce una migrazione (ormai molto probabile) verso CieID, cioè un sistema centralizzato a pieno controllo statale basato sulla carta d'identità elettronica.

Magari è solo questione di abitudini che si creano nel tempo. O magari siamo come popolo in realtà molto selettivi (o ipocriti) nello scegliere quando fidarci dello Stato.