Note di Matteo

Prenoto un appuntamento CIE sul sito del mio comune:

• Per il pagamento il sito mi offre due opzioni: andare sul sito pagoPA oppure ricevere il PDF per "pagare sul territorio". In realtà il PDF è utile anche per pagare con l'app IO con il codice QR, ma il PDF stesso non menziona l'esistenza dell'app IO per qualche motivo.

• In contemporanea ricevo un messaggio dal comune sull'app IO con scritto "in attesa di pagamento". C'è un link dentro, ma il link mi porta a una pagina di login.

• Pago nell'app IO con il QR e ricevo:
  1. la ricevuta pagoPA via email;
  2. un'email di ricevuta da MyPay, il portale dei pagamenti della provincia di Trento con cui non avevo comunque avuto nessun contatto per questo pagamento;
  3. la ricevuta dentro l'app IO.

In tutto questo sul sito del comune l'appuntamento risulta ancora in "bozza", non confermato, e in attesa di pagamento.

C'eravamo quasi, ma fatta così questa user experience è assurda. Dovevo ricevere il bollettino di pagamento dentro l'app IO e poter pagare da lì, è letteralmente la funzione principale dell'app (e funziona correttamente ad esempio con il pagamento del bollo auto).

EDIT: dopo qualche minuto ricevo conferma via email dell'appuntamento da parte del comune. C'è un allegato con il file .ics per il calendario, ma c'è il fuso orario sbagliato quindi nel calendario finisce due ore dopo l'ora effettiva. Nell'app IO tutto tace. Eh.

La polizia scozzese sta decidendo se usare Microsoft 365 è ok dal punto di vista della privacy, visto che in Regno Unito la legge per la protezione dei dati è molto simile al GDPR (e quindi richiede certe garanzie di trasparenza e valutazioni per il trasferimento dei dati in Paesi terzi) e ci sono regole aggiuntive in caso di dati della polizia.

ComputerWeekly ha scoperto che a prescindere dalla regione scelta i dati possono essere acceduti da personale in 105 Paesi e da 148 sub-processor, tra cui circa 70 non in possesso del requisito di adeguatezza in termini di norme privacy:

According to one list dated 11 November 2024, there are around 70 countries that M365 data could be accessed from that hold no European or UK adequacy for law enforcement data. Outside of the EU and EEA, the UK is the only country with law enforcement data adequacy.

All in all, an analysis of Microsoft’s distributed documentation – conducted by independent security consultant Owen Sayers and shared with Computer Weekly – suggests that Microsoft personnel or contractors can remotely access the data from 105 different countries, using 148 different sub-processors.

The tech giant also refused to disclose its own risk assessments into the transfer of UK policing data to other jurisdictions, including China and others deemed “hostile” in the DPIA documents. This means Police Scotland and the SPA – which are jointly rolling out Office 365 – are unable to satisfy the law enforcement-specific data protection rules laid out in Part Three of the Data Protection Act 2018 (DPA18), which places strict limits on the transfer of policing data outside the UK.

L'app IO è stata scaricata più di 40 milioni di volte, mette a disposizione 370.000 servizi pubblici e ha superato 1 MILIARDO di messaggi inviati dagli enti ai cittadini. Insomma, 1 miliardo di email, messaggi, post-it e notifiche cartacee eliminate in pochi anni. Se non è digitalizzazione questa.

Gabriele Campagnano, dipartimento per la trasformazione digitale.

Il comune di Trento ha iniziato a notificare le multe (della polizia locale, presumo) tramite il sistema SEND (Servizio Notifiche Digitali), che tenta una notifica in formato digitale, cioè con app IO oppure PEC, prima di ricorrere alla raccomandata.

Riporta il TGR che alcuni cittadini pensavano che la notifica via posta fosse una truffa, e riporta Il Dolomiti che girano truffe a nome di PagoPA.

La cosa assurda è che purtroppo il sistema di notifiche digitali SEND ha come dominio ufficiale notifichedigitali.it (indicato anche sulle comunicazioni cartacee) ed è così essenzialmente impossibile distinguere a colpo d'occhio se si tratta di un sito ufficiale. Non costerebbe nulla usare correttamente la TLD gov.it e poi comunicare ai destinatari che si possono fidare proprio perché il dominio termina con .gov.it.

[ qua avrei incollato un'immagine della comunicazione cartacea, ma non ho ancora implementato il sistema di upload su questo sito :) ]

EDIT eccola:

Con 2,4 milioni di firme la petizione dei cittadini del Regno Unito per bloccare la proposta di carta d'identità digitale mi sembra un grande esempio delle diverse sensibilità dei popoli nei confronti dei propri governi.

We think this would be a step towards mass surveillance and digital control, and that no one should be forced to register with a state-controlled ID system. We oppose the creation of any national ID system.

In Regno Unito non esistono le carte d'identità come le conosciamo noi, e quindi questo viene visto come un tentativo di schedare la popolazione. In Italia e presumo nella maggior parte dei paesi europei è invece la normalità che lo Stato conosca già i dati di tutti perché emette i documenti di identità.

Il rischio in Italia è stato preso in considerazione nel momento di introdurre l'identità digitale: anziché centralizzare il sistema, si è scelto il modello SPID dove esistono diversi identity provider tra cui poter scegliere liberamente. Il paradosso è che questo sistema decentralizzato ha mostrato i suoi limiti e ora molti chiedono a gran voce una migrazione (ormai molto probabile) verso CieID, cioè un sistema centralizzato a pieno controllo statale basato sulla carta d'identità elettronica.

Magari è solo questione di abitudini che si creano nel tempo. O magari siamo come popolo in realtà molto selettivi (o ipocriti) nello scegliere quando fidarci dello Stato.