Note di Matteo

Si avvicina il momento in cui si potranno pagare i tributi attualmente pagabili con F24 anche con pagoPA. Finalmente.

A ogni carattere che scrivo, questo:

La nuova app Trenitalia sembra bella, ma crasha nella pagina più importante cioè "I miei viaggi", dove ci sono i biglietti.

Apri il sito Trenitalia e il testo "CIRCOLAZIONE REGOLARE SULLA RETE ALTA VELOCITÀ" inizia a scorrere al contrario quindi non vedi mai il testo completo se non stai attento:

La nuova vulnerabilità di Linux Copy Fail è stata scoperta con uno strumento di penetration testing che usa l'AI:

Theori said that it discovered the vulnerability after its researcher, Taeyang Lee, found surface area in the crypto subsystem (specifically, splice() hands page-cache pages and scatterlist page provenance) had been underexplored. Using its AI-powered Xint code security tool, the researchers then found the bug after about an hour of scan time. The company said it has also developed an exploit that uses CopyFail to break out of Kubernetes containers.

Dice un altro ricercatore:

Some have also raised concerns about us releasing the exploit publicly. We have experience writing N-day exploits and know that monitoring git commits for fixes is common practice in offensive security. Attackers were likely already aware and exploiting this within the a few days after the kernel fix landed. With AI coding tools today, turning a CVE plus commit into a working exploit happens in hours anyway.

Grande differenza rispetto al passato, si muove tutto più velocemente.

Non uso più Windows ma notevole il nuovo Win+R di Windows 11:

Faster than before: Perf was top-of-mind when rewriting Run, and with a 94ms median time-to-show time it’s faster than ever before (more on how we got there below)!

• The existing dialog median time-to-show is 103ms
• The browse button has very low usage. 0.0038% of users have clicked that button with a sample of 35 million.
• Validated users do use the dialog to paste text from the clipboard, then copy it again without running anything to scrub text formatting.

Canonical (Ubuntu) sotto attacco DDoS con i servizi online che non funzionano da ieri proprio mentre la vulnerabilità Copy Fail è stata svelata ed è per ora unpatched. L'attacco è stato rivendicato da "Islamic Cyber Resistance in Iraq – 313 Team".

~ ❯ dig ubuntu.com
; <<>> DiG 9.20.22 <<>> ubuntu.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5065
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;ubuntu.com.			IN	A

;; ANSWER SECTION:
ubuntu.com.		38	IN	A	185.125.190.20
ubuntu.com.		38	IN	A	185.125.190.21
ubuntu.com.		38	IN	A	185.125.190.29

;; Query time: 9 msec
;; SERVER: 8.8.8.8#53(8.8.8.8) (UDP)
;; WHEN: Fri May 01 14:38:59 CEST 2026
;; MSG SIZE  rcvd: 87

~ ❯ curl -I https://ubuntu.com
curl: (56) Recv failure: Connection reset by peer

~ ❯ ipinfo 185.125.190.20
Core
- IP           185.125.190.20
- Anycast      false
- Hostname     website-content-cache-1.ps5.canonical.com
- City         London
- Region       England
- Country      United Kingdom (GB)
- Currency     GBP (£)
- Location     51.5085,-0.1257
- Organization AS41231 Canonical Group Limited
- Postal       E1W
- Timezone     Europe/London

È iniziato il nuovo round di assegnazione delle nuove gTLD. L'ultimo era stato nel 2012. Le candidature costano 227mila dollari e resteranno aperte dal 30 aprile al 12 agosto. In autunno sapremo la lista.

OpenAI spiega (via theverge) che ha dovuto inserire un'istruzione nel prompt di GPT-5.5 in Codex per impedire che nelle risposte comparissero troppo frequentemente riferimenti o battute sui goblin. La spiegazione è che un "tic di stile" della personalità "nerdy" è "uscito" e ha contaminato anche il modello in generale. Mi sembra però indicativo del fatto che non abbiamo ancora idea (e forse non ce l'avremo mai) di come e perché gli LLM funzionano, al di là di tentativi e correzioni continue.

The rewards were applied only in the Nerdy condition, but reinforcement learning does not guarantee that learned behaviors stay neatly scoped to the condition that produced them. Once a style tic is rewarded, later training can spread or reinforce it elsewhere, especially if those outputs are reused in supervised fine-tuning or preference data.

Leggo cose buone su RWX, nuova piattaforma di CI/CD pensata per velocizzare i processi nell'era dell'AI engineering, con parallelizzazione automatica, esecuzione delle pipeline prima del commit e altre ottimizzazioni.

Big tech, dipendenze e tribunali. Lungo, interessante e documentato articolo sui punti di vista attuali della scienza sugli effetti dei social network sulla salute mentale. La conclusione che inaspettatamente si sta confermando con gli studi più recenti è che l'effetto negativo sulla salute mentale non è dovuto ai social perché gli effetti misurati sono solitamente minimi:

Viviamo in una condizione di stress persistente — lavorativo, economico, esistenziale — che il capitalismo contemporaneo produce quotidianamente e per la quale cerchiamo sollievo momentaneo nello scrolling, esattamente come le generazioni precedenti cercavano sollievo nella televisione spazzatura. Il design della piattaforma conta, certo, ma conta meno delle condizioni materiali di vita. E riconoscerlo significherebbe spostare il bersaglio dalle scelte di design di Zuckerberg alle scelte politiche che rendono le nostre vite così stressanti da farci desiderare la fuga. Ma questo, evidentemente, è un discorso che non conviene a nessuno — né alle piattaforme, né ai loro accusatori.

Questa tesi è contraria a quella dominante nell'ultimo decennio, oggetto di molti libri e documentari (es. The Social Dilemma) e della recente sentenza negli USA, secondo cui il problema sia invece il design dei social studiati per creare questa forma di dipendenza. Sarà proprio per questo motivo che a primo impatto questa teoria sembra ben poco convincente. Eppure gli effetti del TikTok di turno sull'attenzione a me sembrano palesi e quindi mi sembra strida un po' con la realtà che vediamo attorno.

Contento però di aver sentito questo recap del punto di vista scientifico. Food for thought.

Alessio Butti, mentre consolida l'uso del sito del dipartimento per la trasformazione digitale come megafono per diffondere praticamente solo le sue frequenti interviste in cui ripete sempre le stesse cose, ora dice, parlando di connettività in fibra:

Rimediamo ai disastri ereditati dagli altri governi

Insomma è sempre colpa di quella di prima, anche dopo una legislatura intera. Anche quando quelli prima erano loro stessi (governo Draghi, sostenuto anche dalla destra).

Anche quando il nuovo bando di gara che dovrebbe risolvere i problemi ha non solo gli stessi difetti dei precedenti, ma ne ha pure di nuovi e incomprensibili. Ma tanto non sarà sua responsabilità difendere i risultati.

Chiude Tiscali News dopo lo spezzettamento di quel poco è rimasto di Tiscali, a 28 anni dalla fondazione.

Il prossimo 30 aprile, come riportato dall'Ansa, cesseranno ufficialmente le pubblicazioni di Tiscali News, il portale d'informazione nato alla fine degli anni Novanta. [...] La chiusura coinvolge dodici giornalisti. Secondo quanto ricostruito da Adnkronos, la prospettiva per la redazione è l'uscita dal perimetro aziendale: dieci professionisti hanno già optato per l'esodo incentivato, lasciando l'azienda dal 5 maggio, mentre per i restanti due si prospetta la cassa integrazione.

Il piano di ristrutturazione di Tesselis poggia sulla cessione del ramo B2C (consumer), che comprende i servizi web, la mail e i marchi. L'acquirente individuato è Canarbino Spa, gruppo attivo nel settore energetico, la cui offerta è attualmente oggetto di una procedura competitiva che scadrà proprio il 30 aprile.

Incredibile la crescita di GitHub recente. La quantità di codice scritta non è probabilmente mai stata così alta.

This exponential growth does not stress one system at a time. A pull request can touch Git storage, mergeability checks, branch protection, GitHub Actions, search, notifications, permissions, webhooks, APIs, background jobs, caches, and databases. At high scale, small inefficiencies compound: queues deepen, cache misses become database load, indexes fall behind, retries amplify traffic, and one slow dependency can affect several product experiences.

Our priorities are clear: availability first, then capacity, then new features. We are reducing unnecessary work, improving caching, isolating critical services, removing single points of failure, and moving performance-sensitive paths into systems designed for these workloads. This is distributed systems work: reducing hidden coupling, limiting blast radius, and making GitHub degrade gracefully when one subsystem is under pressure. We’re making progress quickly, but these incidents are examples of where there’s still work to do.

Un esito frequente delle richieste di pubblicazione di open data (come previsto dalla legge) è l'assenza di risposta da parte dell'amministrazione pubblica interpellata. È successo anche in questo caso segnalato da onData in merito ai dati statistici sulle firme per i referendum:

I dati che presentiamo in questa newsletter li abbiamo estratti noi. Ma quei dati dovrebbero già essere pubblici. È stato richiesto formalmente.

Il 10 dicembre 2025 l’associazione onData ha inviato al Ministero della Giustizia — tramite PEC — una richiesta di pubblicazione in formato aperto dei dati sulle raccolte firme, ai sensi dell’art. 5 del D.Lgs. 36/2006 (Riutilizzo dell’informazione del settore pubblico). Non una richiesta di accesso documentale per uso privato: una richiesta di rendere i dati disponibili a tutta la collettività, con licenza aperta e in formato leggibile meccanicamente.

Il Ministero non ha risposto.

L’11 gennaio 2026 onData ha presentato ricorso alla Commissione per l’accesso ai documenti amministrativi. Il 18 febbraio ha segnalato l’inadempimento anche al Difensore civico per il digitale (AgID), organo deputato a vigilare sull’apertura dei dati pubblici.

Il 31 marzo 2026 la Commissione si è pronunciata (decisione n. 3.110). La risposta è tecnica ma significativa: la Commissione ha dichiarato la propria incompetenza, non perché la richiesta di onData fosse sbagliata, ma perché il silenzio del Ministero — in materia di riutilizzo dei dati — non equivale a un diniego. Si tratta di un “silenzio-inadempimento”, non di un “silenzio-rifiuto”: una distinzione sottile ma decisiva, che sposta il rimedio possibile dal ricorso alla Commissione al ricorso al Tribunale Amministrativo Regionale (TAR), ai sensi dell’art. 117 del Codice del processo amministrativo.

Vale la pena di notare un dettaglio: nella sua relazione tecnica, il Ministero ha riconosciuto che pubblicare i dati sarebbe fattibile — ma non ha mai adottato un provvedimento formale, né in senso positivo né negativo. Il silenzio continua.

onData è ancora in attesa della risposta del Difensore civico per il digitale, ma nel frattempo i dati continuano a non essere pubblici.

Questo elenco di "fit" di un candidato in un'azienda è molto interessante. È quasi un framework per definire che cosa ci si aspetta da un ambiente di lavoro:

Independence vs. Collaboration: This covers both how you work and how you make decisions. Some companies need people who pick up a problem, run with it, and come back with a solution. Others expect you to bring the team along at every step. These often go together: companies that want you to work solo also tend to want you to make calls on your own, and companies that want collaborative work also want group buy-in on decisions.

If every story you tell involves going off and building something alone, consensus-driven companies will worry you’ll steamroll people or make choices that won’t stick. Flip it around: if every story involves checking with the group before you act, companies that prize individual ownership will wonder whether you can make a decision without a meeting.

Speed vs. Thoroughness: Startups often need rapid experimentation, where you ship MVPs and iterate based on feedback, while companies in healthcare or finance require careful validation before any release. This tension also shows up in how teams think about code quality: some organizations will happily spend extra weeks on clean architecture, while others want a working solution on deadline even if the code needs cleanup later. Whereas stories about methodical testing might bore a startup, your “ship it and fix it” examples could terrify a medical device company.

Excellence vs. Pragmatism: Some organizations value technical excellence and clean architecture above all else. Others need pragmatic solutions that ship on deadline even if imperfect. Focusing on perfect code fails at deadline-driven companies, just as accepting technical debt everywhere fails at companies maintaining critical infrastructure.

Innovation vs. Stability: Some roles require creating new solutions and challenging existing approaches, while others need you to maintain and optimize proven systems. If you say that you’re constantly reinventing established processes, teams that value stability will not consider you a good fit. Conversely, stories that show you only follow existing patterns will disappoint teams that are looking for creative problem-solving

Direct vs. Diplomatic: Some cultures prize radical candor and want you to say exactly what you think. Others value maintaining harmony and face-saving communication. If you are too blunt, you will not fit in well at a relationship-focused company. If you are not direct enough, you will not like working at a company that values “disagree and commit.”

Data vs. Intuition: Some companies require data to justify every decision (”data-driven” cultures), while others trust experienced judgment and move on gut feel. Showing that you make decisions based on instinct does not impress analytical companies, and telling a company that values experienced judgment that you conduct three A/B tests to choose a button color will get you struck off their list.

Specialist vs. Generalist: Large companies often want deep experts who master one domain, while smaller companies need people who are comfortable wearing multiple hats. Know which sort of company you are walking into.

(Learnings from conducting ~1,000 interviews at Amazon)

Ennesima horror story con GoDaddy in GoDaddy Gave a Domain to a Stranger Without Any Documentation. Una lista di altre horror story in questo post.

Il system prompt del nuovo AI playlist generator di Spotify (non c'è in Italia):

È di gennaio quindi forse non aggiornato ma questi sono i limiti presunti dei piani in abbonamento di Claude:

Il costo è molto più basso rispetto a usare le API direttamente, anche se va considerato che anche le API hanno probabilmente un grosso margine quindi non è chiaro se il tutto sia sostenibile per Anthropic.

Chi poteva farlo se non Meta?

And when an employee asked if it’s possible to opt out, Meta’s CTO replied that it is not: every US-based engineer will have their keystrokes logged, mouse movements captured, and work tracked.