Come è ormai abitudine in questa rubrica, cominciamo da una storia.
La storia
Mario è titolare, insieme al suo socio Saverio, di una ditta di pavimentazioni stradali. Mario ha intenzione di partecipare a una gara d’appalto indetta dal Comune Frìttole per la pavimentazione delle strade comunali, per cui si reca negli uffici competenti per richiedere tutte le informazioni necessarie. Perché si sa, le procedure sono sempre, in questi casi, molto complesse.
Immaginatevi la sua faccia quando gli dicono che tutta la documentazione sarà considerata in regola solo se redatta sulla pergamena prodotta dalla ditta Vitellozzo & Co. “È più sicuro”, afferma con convinzione l’impiegato, “e comunque qui a Frìttole si è sempre fatto così”. ” E adesso dove la trovo?” pensa Mario. La pergamena – di uno specifico produttore, per giunta! – non si usa più da tempo immemore, né sa dove procurarsela. Amareggiato se ne torna a casa. Deciderà con Saverio se investire tempo e denaro alla ricerca di un simile vetusto strumento che userebbe solo per partecipare alle gare d’appalto a Frìttole.
“Ma in che anno siamo?” pensa tra sé e sé. “Siamo davvero nel 1400?”
La realtà
In realtà c’è poco da ridere: a parte gli elementi di questa storia volutamente spinti all’estremo per sottolineare meglio certi concetti, qualcosa di molto simile succede realmente, nel 2015, in Italia.
Com’è noto, le imprese che hanno rapporti di lavoro con enti pubblici devono dimostrare di essere in regola con la vigente normativa antimafia, realizzando una serie di adempimenti burocratici. Forse è meno noto che da alcuni anni esiste un sistema informatico con cui le imprese possono fornire alle prefetture tutte le certificazioni richieste utilizzando un computer connesso a internet. Ancor meno nota, soprattutto a chi non la deve utilizzare, è la procedura che queste imprese devono utilizzare per accedere al cosiddetto Sistema di Certificazione Antimafia (Si.Ce.Ant.).
La procedura è descritta in questo documento, un file PDF di 16 pagine scaricabile dal sito della Prefettura. Ma basta leggere la prima pagina per ritrovare molti dei temi descritti nella storia.
Primo: la complessità della procedura
In sintesi bisogna:
- installare un software (proprietario, compatibile solo con sistemi operativi Windows) per la creazione di una VPN;
- accedere a un sito web con nome utente (assegnato dalla prefettura) e password (inviata via e-mail);
- cambiare la password di cui al punto precedente;
- procedere alla generazione di un certificato digitale e di un PIN per l’accesso alla VPN inserendo una OTP (una password usa-e-getta) ricevuta via SMS;
- connettersi alla VPN usando il software precedentemente installato, il certificato digitale e il PIN di accesso precedentemente generati;
- una volta connessi alla VPN, aprire la pagina web che permette l’accesso alle funzionalità del sistema di certificazione mediante nome utente (v. punto 2) e password (v. punto 3).
Sia chiaro: non abbiamo finito con le certificazioni, siamo solo entrati nel sistema o, per dirla nel linguaggio usato nelle istruzioni, abbiamo solo “certificato la postazione utente”. Significa che d’ora in poi dobbiamo usare sempre e solo questo computer per accedere al sistema di certificazione. Ora ve li immaginate i nostri Mario e Saverio, che di mestiere asfaltano strade, alle prese con questa procedura così macchinosa e inutilmente complicata? Davvero il crimine organizzato si contrasta in questo modo? Davvero la questione non può essere gestita con strumenti tecnici più semplici, almeno per l’utente, ad esempio simili a quelli con cui si gestiscono le transazioni bancarie on-line?
Secondo: i requisiti di sistema
Le istruzioni dicono testualmente:
La postazione presenta la seguente configurazione:
- S.O. Windows 7
- Browser Internet Explorer 9 o 10
- Nel caso di IE11 è necessario accedere in modalità compatibilità.
- Il browser IE deve essere a 32 bit.
Secondo le istruzioni, l’accesso al sistema è precluso ai possessori di computer Apple (quindi con sistema operativo Mac OS X), o di computer con sistema operativo di tipo GNU/Linux o Chrome OS, e persino ai possessori di computer con versioni di Microsoft Windows successive a Windows 7 (quindi 8, 8.1 e 10), cioè chiunque abbia acquistato un PC, seppur con sistema operativo Microsoft, dopo il 2012.
Inoltre è necessario usare un ben preciso browser (Microsoft Internet Explorer) di una ben precisa versione (la 9, nota per essere stata annunciata nel 2009 e rilasciata, dopo molte beta nel 2011. Ma va bene anche la 10. Per la 11 ci sono degli accorgimenti da adottare), e solo la versione 32 bit. Si stima la percentuale di utenti di internet utilizzatori delle versioni suddette di IE non superi ad oggi il 13% (Fonte). Viene anche da chiedersi, considerato il grado medio di alfabetizzazione informatica del nostro Paese, quanti “internauti” effettivamente conoscono il nome del browser che stanno usando, ed eventualmente la versione. Ma questa è un’altra storia.
Come se non bastasse l’obbligo ad usare la tipologia di sistema operativo notoriamente più sensibile ai danni da virus e malware e, con questo, un browser che non eccelle in sicurezza (non fosse altro che per la sua obsolescenza), bisogna anche “abbassare al minimo le protezioni del browser per i siti attendibili” ed eventualmente a “disabilitare temporaneamente il sistema antivirus o aggiungere un’eccezione”, cioè viene chiesto di abbassare ulteriormente la soglia di sicurezza fino alla disabilitazione dell’antivirus. Cosa accadrebbe se i siti da visitare avessero problemi di sicurezza lo lascio all’immaginazione del lettore.
Terzo: la tecnologia usata
A pagina 3 della guida viene finalmente data la motivazione dei requisiti esposti poc’anzi:
“Si sottolinea che è necessario utilizzare, come browser, Internet Explorer in quanto le operazioni rinvenibili sul sopraindicato portale richiedono l’impiego della tecnologia Active X”.
Chi non sa cosa sia ActiveX (si scrive senza lo spazio inserito nelle istruzioni. Sperando che sia solo un refuso…) può farsi aiutare da Wikipedia. La versione italiana dice:
“ActiveX (dall’inglese Active eXtension, Estensione Attiva) è una tecnologia annunciata nel 1996 dalla Microsoft destinata agli sviluppatori e creata per poter estendere le potenzialità e le funzioni di un’applicazione”.
La versione inglese, invece, è più precisa:
“ActiveX is a deprecated software framework created by Microsoft…”.
Cioè ActiveX è una piattaforma software obsoleta, disapprovata, deprecata, talmente deprecata che nemmeno Microsoft la implementerà più nei suoi nuovi browser (ragione per cui per poterla utilizzare ancora bisogna usare vecchie versioni dell’unico browser che la supporta pienamente). Senza scendere troppo in inutili dettagli, la ragione di tanta disapprovazione risiede essenzialmente nell’intrinseca pericolosità della tecnologia: in soldoni ActiveX permette al browser di eseguire codice che ha possibilità di accesso all’intero sistema. Se il codice fa buone cose, come nel caso del Si.Ce.Ant., bene; ma ActiveX è usato anche per veicolare codice malevolo, virus, malware. Cose brutte, insomma, che fanno tanti danni nei computer. Ma l’utente non sa cosa fa il codice, deve solo fidarsi della sua provenienza e sperare che il sistema da cui proviene sia sufficientemente sicuro da non poter essere, per esempio, violato da malintenzionati per sostituire il codice buono con codice malevolo. Per questo sono state previste le protezioni nel browser che, se attive, di fatto impediscono l’esecuzione di codice ActiveX (per questo viene chiesto di disattivarle), e per questo molti antivirus si allarmano a prescindere ogni volta che codice ActiveX viene scaricato (per questo viene chiesta la disattivazione temporanea).
Un altra ragione non secondaria che fa di ActiveX una tecnologia deprecated è la sua dipendenza dal sistema operativo. Può essere usata praticamente solo su sistemi operativi Microsoft (e neanche tutti, come abbiamo visto). Si tratta quindi di una tecnologia chiusa e poco affidabile, che la Pubblica Amministrazione (dove la troviamo invece molto in voga) farebbe bene ad abbandonare prima possibile, cosa che in realtà sarebbe dovuta accadere da molto tempo.
La potenza è nulla senza controllo
Così recitava un vecchio spot pubblicitario. Deve averlo avuto bene in mente l’estensore della procedura che stiamo analizzando, tanto da voler fornire un sistema di controllo davvero infallibile al termine della fase di generazione del certificato digitale:
N.B:Per controllare che il certificato sia stato scaricato con successo, verificare che la lunghezza del file .aid presente nella cartella C:\Users\*USERNAME*\AppData\Roaming\arcot\ids sia di circa 9k.
Direi che per ora è circa tutto.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.techeconomy2030.it/2016/01/04/sistema-certificazione-antimafia-non-ci-resta-piangere/&media=https://www.techeconomy2030.it/wp-content/uploads/2016/01/closed.jpg&description=Il Sistema di Certificazione Antimafia presenta qualche "piccolo problema": ce ne parla Marco Alici){kind=link}
Egregio Ingegnere Marco Alici, mi chiamo Franco Zimmitti e sono il funzionario responsabile dell’Ufficio Antimafia della Prefettura di Forlì-Cesena.
Mi sento in dovere di intervenire perché il suo articolo, al di là dei pareri sulla tecnologia e sul software utilizzati, che possono essere più o meno condivisi, evidenzia palesemente che Lei non è a conoscenza né della procedura né del sistema di certificazione antimafia.
Deve sapere che tale procedura NON è ad uso del privato che deve partecipare ad una gara d’appalto o che deve fare un contratto con la Pubblica Amministrazione/Stazione Appaltante; bensì a quest’ultima.
Infatti la “complessa” procedura di certificazione della postazione e la successiva consultazione della Banca Dati Si.Ce.Ant. per l’acquisizione della certificazione antimafia NON spetta ai poveri Mario e Saverio i quali possono anche NON essere a conoscenza che la P.A. ha richiesto una certificazione antimafia alla Prefettura competente nei loro confronti. Se si fosse soffermato a leggere anche le disposizioni generali ed informative – e non solo il manualino tecnico – si sarebbe reso conto che tale procedura corre in capo alla Stazione Appaltante alias Ente Pubblico alias Pubblica Amministrazione la qualè è,in linea di massima, dotata di personale tecnico informatico in grado di gestire tranquillamente tale procedura.
Nei casi in cui tale personale fosse assente (piccoli comuni), noi stessi delle Prefetture ci siamo resi disponibili ad assisterli nella procedura di certificazione della postazione. Inoltre va anche detto che questa procedura è da effettuare solo la prima volta quando la postazione deve essere certificata, mentre per la consultazione e le richieste quotidiane l’accesso alla banca dati Si.Ce.Ant è possibile tramite qualunque Browser con una procedura che non è poi molto distante da quella utilizzata oggi da qualunque utente perl’Home banking.
La certificazione antimafia NON può essere richiesta da un privato nè può essere rilasciata ad un privato, ma è ad uso esclusivo della PubblicaAmministrazione che ne deve fare richiesta direttamente alla Prefettura competente (oggi anche tramite il Si.Ce.Ant.) quando contratta con i privati.
Mi permetta di aggiungere che dopo 33 anni di amministrazione è la prima volta che riscontro la realizzazione di un sistema informatico così efficiente che realmente permetterà di ridurre ENORMEMENTE i tempi, ma anche la procedura per il rilascio della certificazione antimafia.