Come è ormai abitudine in questa rubrica, cominciamo da una storia.

La storia

Mario è titolare, insieme al suo socio Saverio, di una ditta di pavimentazioni stradali. Mario ha intenzione di partecipare a una gara d’appalto indetta dal Comune Frìttole per la pavimentazione delle strade comunali, per cui si reca negli uffici competenti per richiedere tutte le informazioni necessarie. Perché si sa, le procedure sono sempre, in questi casi, molto complesse.

Immaginatevi la sua faccia quando gli dicono che tutta la documentazione sarà considerata in regola solo se redatta sulla pergamena prodotta dalla ditta Vitellozzo & Co. “È più sicuro”, afferma con convinzione l’impiegato, “e comunque qui a Frìttole si è sempre fatto così”. ” E adesso dove la trovo?” pensa Mario. La pergamena – di uno specifico produttore, per giunta! – non si usa più da tempo immemore, né sa dove procurarsela. Amareggiato se ne torna a casa. Deciderà con Saverio se investire tempo e denaro alla ricerca di un simile vetusto strumento che userebbe solo per partecipare alle gare d’appalto a Frìttole.

“Ma in che anno siamo?” pensa tra sé e sé. “Siamo davvero nel 1400?”

La realtà

In realtà c’è poco da ridere: a parte gli elementi di questa storia volutamente spinti all’estremo per sottolineare meglio certi concetti, qualcosa di molto simile succede realmente, nel 2015, in Italia.

Com’è noto, le imprese che hanno rapporti di lavoro con enti pubblici devono dimostrare di essere in regola con la vigente normativa antimafia, realizzando una serie di adempimenti burocratici. Forse è meno noto che da alcuni anni esiste un sistema informatico con cui le imprese possono fornire alle prefetture tutte le certificazioni richieste utilizzando un computer connesso a internet. Ancor meno nota, soprattutto a chi non la deve utilizzare, è la procedura che queste imprese devono utilizzare per accedere al cosiddetto Sistema di Certificazione Antimafia (Si.Ce.Ant.).

La procedura è descritta in questo documento, un file PDF di 16 pagine scaricabile dal sito della Prefettura. Ma basta leggere la prima pagina per ritrovare molti dei temi descritti nella storia.

Primo: la complessità della procedura

In sintesi bisogna:

installare un software (proprietario, compatibile solo con sistemi operativi Windows) per la creazione di una VPN; accedere a un sito web con nome utente (assegnato dalla prefettura) e password (inviata via e-mail); cambiare la password di cui al punto precedente; procedere alla generazione di un certificato digitale e di un PIN per l’accesso alla VPN inserendo una OTP (una password usa-e-getta) ricevuta via SMS; connettersi alla VPN usando il software precedentemente installato, il certificato digitale e il PIN di accesso precedentemente generati; una volta connessi alla VPN, aprire la pagina web che permette l’accesso alle funzionalità del sistema di certificazione mediante nome utente (v. punto 2) e password (v. punto 3).

Sia chiaro: non abbiamo finito con le certificazioni, siamo solo entrati nel sistema o, per dirla nel linguaggio usato nelle istruzioni, abbiamo solo “certificato la postazione utente”. Significa che d’ora in poi dobbiamo usare sempre e solo questo computer per accedere al sistema di certificazione. Ora ve li immaginate i nostri Mario e Saverio, che di mestiere asfaltano strade, alle prese con questa procedura così macchinosa e inutilmente complicata? Davvero il crimine organizzato si contrasta in questo modo? Davvero la questione non può essere gestita con strumenti tecnici più semplici, almeno per l’utente, ad esempio simili a quelli con cui si gestiscono le transazioni bancarie on-line?

Secondo: i requisiti di sistema

Le istruzioni dicono testualmente:

La postazione presenta la seguente configurazione:

S.O. Windows 7

Browser Internet Explorer 9 o 10

Nel caso di IE11 è necessario accedere in modalità compatibilità.

Il browser IE deve essere a 32 bit.

Secondo le istruzioni, l’accesso al sistema è precluso ai possessori di computer Apple (quindi con sistema operativo Mac OS X), o di computer con sistema operativo di tipo GNU/Linux o Chrome OS, e persino ai possessori di computer con versioni di Microsoft Windows successive a Windows 7 (quindi 8, 8.1 e 10), cioè chiunque abbia acquistato un PC, seppur con sistema operativo Microsoft, dopo il 2012.

Inoltre è necessario usare un ben preciso browser (Microsoft Internet Explorer) di una ben precisa versione (la 9, nota per essere stata annunciata nel 2009 e rilasciata, dopo molte beta nel 2011. Ma va bene anche la 10. Per la 11 ci sono degli accorgimenti da adottare), e solo la versione 32 bit. Si stima la percentuale di utenti di internet utilizzatori delle versioni suddette di IE non superi ad oggi il 13% (Fonte). Viene anche da chiedersi, considerato il grado medio di alfabetizzazione informatica del nostro Paese, quanti “internauti” effettivamente conoscono il nome del browser che stanno usando, ed eventualmente la versione. Ma questa è un’altra storia.

Come se non bastasse l’obbligo ad usare la tipologia di sistema operativo notoriamente più sensibile ai danni da virus e malware e, con questo, un browser che non eccelle in sicurezza (non fosse altro che per la sua obsolescenza), bisogna anche “abbassare al minimo le protezioni del browser per i siti attendibili” ed eventualmente a “disabilitare temporaneamente il sistema antivirus o aggiungere un’eccezione”, cioè viene chiesto di abbassare ulteriormente la soglia di sicurezza fino alla disabilitazione dell’antivirus. Cosa accadrebbe se i siti da visitare avessero problemi di sicurezza lo lascio all’immaginazione del lettore.

Terzo: la tecnologia usata

A pagina 3 della guida viene finalmente data la motivazione dei requisiti esposti poc’anzi:

“Si sottolinea che è necessario utilizzare, come browser, Internet Explorer in quanto le operazioni rinvenibili sul sopraindicato portale richiedono l’impiego della tecnologia Active X”.

Chi non sa cosa sia ActiveX (si scrive senza lo spazio inserito nelle istruzioni. Sperando che sia solo un refuso…) può farsi aiutare da Wikipedia. La versione italiana dice:

“ActiveX (dall’inglese Active eXtension, Estensione Attiva) è una tecnologia annunciata nel 1996 dalla Microsoft destinata agli sviluppatori e creata per poter estendere le potenzialità e le funzioni di un’applicazione”.

La versione inglese, invece, è più precisa:

“ActiveX is a deprecated software framework created by Microsoft…”.

Cioè ActiveX è una piattaforma software obsoleta, disapprovata, deprecata, talmente deprecata che nemmeno Microsoft la implementerà più nei suoi nuovi browser (ragione per cui per poterla utilizzare ancora bisogna usare vecchie versioni dell’unico browser che la supporta pienamente). Senza scendere troppo in inutili dettagli, la ragione di tanta disapprovazione risiede essenzialmente nell’intrinseca pericolosità della tecnologia: in soldoni ActiveX permette al browser di eseguire codice che ha possibilità di accesso all’intero sistema. Se il codice fa buone cose, come nel caso del Si.Ce.Ant., bene; ma ActiveX è usato anche per veicolare codice malevolo, virus, malware. Cose brutte, insomma, che fanno tanti danni nei computer. Ma l’utente non sa cosa fa il codice, deve solo fidarsi della sua provenienza e sperare che il sistema da cui proviene sia sufficientemente sicuro da non poter essere, per esempio, violato da malintenzionati per sostituire il codice buono con codice malevolo. Per questo sono state previste le protezioni nel browser che, se attive, di fatto impediscono l’esecuzione di codice ActiveX (per questo viene chiesto di disattivarle), e per questo molti antivirus si allarmano a prescindere ogni volta che codice ActiveX viene scaricato (per questo viene chiesta la disattivazione temporanea).

Un altra ragione non secondaria che fa di ActiveX una tecnologia deprecated è la sua dipendenza dal sistema operativo. Può essere usata praticamente solo su sistemi operativi Microsoft (e neanche tutti, come abbiamo visto). Si tratta quindi di una tecnologia chiusa e poco affidabile, che la Pubblica Amministrazione (dove la troviamo invece molto in voga) farebbe bene ad abbandonare prima possibile, cosa che in realtà sarebbe dovuta accadere da molto tempo.

La potenza è nulla senza controllo

Così recitava un vecchio spot pubblicitario. Deve averlo avuto bene in mente l’estensore della procedura che stiamo analizzando, tanto da voler fornire un sistema di controllo davvero infallibile al termine della fase di generazione del certificato digitale:

N.B:Per controllare che il certificato sia stato scaricato con successo, verificare che la lunghezza del file .aid presente nella cartella C:\Users\*USERNAME*\AppData\Roaming\arcot\ids sia di circa 9k.

Direi che per ora è circa tutto.