Grave violazione della privacy

Modifica contestata in COINTESTATA

Finalmente ho avuto risposta dal supporto di IO, tutta colpa dell’indirizzo email, assurdo!

Ciao, il problema da te segnalato dipende dal fatto che sia tu che tuo padre avete registrato lo stesso indirizzo e-mail nei rispettivi account SPID. Ciò avviene perché il portafoglio di IO è collegato all’identità digitale attraverso il codice fiscale e, in assenza di questo, tramite la mail registrata in SPID.

Ti invitiamo ad utilizzare indirizzi email personali differenti per ogni account SPID (e anche per ogni utenza di app IO), disattivare tutti i metodi di pagamento attivati per il Cashback, eliminare tutti i metodi di pagamento e successivamente effettuare un logout dall’App IO seguito da un nuovo login per tutti gli utenti che hanno condiviso la mail SPID (cominciando da quelli che hanno cambiato email).

Inoltre, ti ricordiamo che l’uso di SPID e di altri strumenti di autenticazione della propria identità digitale è personale, e nei nostri Termini di Servizio (https://io.italia.it/app-content/tos_privacy.html) spieghiamo chiaramente che è vietato l’utilizzo di IO da parte di terzi diversi dal titolare dell’account o comunque in modo da implicare un uso non personale dell’account stesso.

Inoltre, l’utente è sempre responsabile della sicurezza del proprio account. Per questo motivo, sconsigliamo vivamente di condividere con altri indirizzo e-mail (nonché le credenziali di accesso, quali password e codice di sblocco) per utilizzare la propria identità digitale.

Sì, abbastanza sgradevole quanto è accaduto … per il futuro, se non altro, è per fortuna facile e a costo zero creare un indirizzo email personale da usare in modo esclusivo (a differenza di un nuovo numero di telefono, cellulare separato e relativo credito telefonico).

sottoscrivo ovviamente ogni parola, dubito peraltro che la scelta di considerare la mail un identificativo unico dell’utente l’abbia presa un singolo sviluppatore. Il punto è il solito: chi non lavora non sbaglia mai.
Le mie domande sono diverse … incuriosito da come funziona, sto cercando di approfondire. Ma esiste qualche info, documentazione progettuale, qualcosa che spieghi i principi di funzionamento della app ? l’uso delle API ? chi sovraintende a tutto ciò ? perchè almeno un fenomeno che segue ad alto livello l’architettura software dovrebbe esserci. Dove si trovano tutte queste info ?

esiste qualche info, documentazione progettuale, qualcosa che spieghi i principi di funzionamento della app ? l’uso delle API ?

Ottima domanda, a cui si può dare una risposta stratosferica: il codice sorgente di IO è addirittura open source e disponibile su GitHub.

https://github.com/pagopa/io/blob/master/CONTRIBUTING.it.md
Anche se immagino che questo non possa riguardare le componenti del codice sensibili alla privacy.

Mi ricordo che quando lessi, anni fa, che sarebbe stato così, non ci potevo credere: la PA italiana, che consideravo l’istituzione terrestre peggiore dai tempi dei dinosauri, che segue una indiscutibile best practice a livello progettistico. A studiare GitHub e i vari pulls/branches/issues, chi mastica un po’ di informatica si renderà anche conto di quanto lavoro ci sia dietro IO. Magari questo può significare anche abbiano avuto un po’ troppi bug e sia un indicatore di bassa qualità: lascio il giudizio a chi se ne intende più di me Ma sarebbe appropriato che anche nel grande pubblico ci si accorga che, nonostante i problemi - gravi quanto si vuole -, è tutt’altro che un progetto improvvisato e sviluppato con strumenti informatici od organizzativi desueti. Si dica tutto, ma questo non si può dire.

PS: Per me (che non sono esperto di queste cose) l’uso della mail per identificare gli utenti sembra molto strano; mi meraviglia che sia una pratica accettabile e compatibile con sicurezza e privacy. Non posso credere che non possa essere passata al vaglio di giuristi e che non si siano trovate altre soluzioni migliori (anche dal punto di vista tecnico, oltre che giuridico). Ma lascio il giudizio a chi se ne intende.

Considera che in SPID, in sede di autenticazione, come credenziale di username si usa proprio l’indirizzo email (il codice fiscale è abbinato all’utenza e viene trasmesso, insieme ad altri dati utili, dopo l’autenticazione positivamente effettuata al service provider a cui si vuole accedere).

Questo va benissimo per quanto riguarda l’autenticazione (così come, per dire, io posso usare lo stesso username per fare due account Amazon).
Però non ha invece senso, mi pare, che l’account (cioè: l’utenza SPID) venga identificato tramite lo username. IO dovrebbe identificare l’account SPID, non inferire automaticamente dall’uso della stessa mail che si tratta della stessa SPID o persona!

• Per tornare alla similitudine con Amazon, io potrei fare account diversi tutti con la stessa mail o username, ma se faccio il login con l’account 1 devo vedere solo gli acquisti fatti con l’account 1, e non con gli altri.
• Per usare invece una metafora matematica, l’associazione “data mail x, dammi la relativa utenza SPID” non è una funzione (y = f(x)), perché dato un certo x ho infinite potenziali utenze SPID (è possibile usare la stessa mail per fare più utenze SPID, come i fatti hanno dimostrato). Bisogna usare un’altra x (non so, un qualche codice unico per ogni utenza SPID cosí come il codice fiscale è [in teoria] unico per ogni persona) tale che ogni x identifichi una sola SPID.

Oppure, se l’idea è quella di identificare la persona, non lo SPID (dato che ogni persona ovviamente può fare quanti SPID vuole), allora si usi per esempio direttamente il codice fiscale (se entro con due SPID diverse che però afferiscono allo stesso codice fiscale, allora IO sa che sono la stessa persona e mi mostra le stesse cose).

Boh: di nuovo, lascio agli esperti, ma mi sembra una soluzione semplicistica (e un passo indietro rispetto a decine se non centinaia di anni di giurisprudenza sul tema della certificazione di identità, oltre che a molti anni di studi su identità digitale, cybersecurity e quant’altro) che lo Stato assuma semplicemente che se due log-in con la stessa mail devono essere della stessa persona.

Secondo me sbagli. In un approccio open tutte le componenti critiche rispetto alla sicurezza, quindi per intenderci gli algoritmi, devono essere open per poter essere vagliate e riviste dagli esperti. L’unica parte da non pubblicare sono ovviamente i dati o i token. Quello che intendi tu si chiama security by obscurity ed è universalmente riconosciuto come antipattern.

Qui è sempre più chiaro che si sta criticando una precisa scelta progettuale, che non sarà sanata da un commit ma piuttosto da tavolo tecnico di più alto livello. E questo non riguarda me, mi fermo.

Interessante! Grazie

grazie per la risposta, proverò a darci un occhio. Di programmazione ci capisco, avendo usato in passato vari linguaggi (C, C++, Java, php, Perl, Phyton …) ma è un po’ complesso fare il reverse engineering di quanto si trova in un repository di codice sorgente puro. Serve documentazione di più alto livello che ti spieghi come il software è stato concepito, i suoi blocci logici, chi parla con chi, come sono state affrontate le tematiche di sicurezza, come funziona il sistema PagoPA, come e dove vengono salvate le transazioni, cosa succede per esempio quando pago una multa tramite PagoPA. Il tema è non banale, e soprattutto richiede tempo, una risorsa scarsa e preziosa. E le persone più esperte, quelle che hanno il know how, sono i programmatori stessi, che non hanno pure il tempo di mettersi a scrivere documentazione di medio livello, o di ‘basso livello’ (nel senso di molto dettagliata).

In effetti da qui:
Il Piano Triennale | Trasformazione Digitale (italia.it)

… andando su ‘docs’ in alto a destra, si trova parecchia documentazione ad alto livello, che descrive obiettivi e cose da fare. Insomma mi pare che di lavoro se ne stia facendo, che la strada sia quella giusta, ma ci sia tanto lavoro da fare. E complesso. Ovviamente sui giornali ci finisce solo la “IO app” quando si iscrivono in milioni e qualche problema è normale che ci sia.

Se riesci a capirci qualcosa e hai commenti in proposito, ci fai sapere? Grazie mille!

… tanto per farvi un’idea di quanto sia complicato, qui si descrive nel dettaglio come funziona il sistema PagoPA, che è solo un intermediario di transazioni. Ecco, quando le persone usano le app, non hanno la minima idea di che cosa succeda, ed è normale sia cosi. Come è normale parlare di calcio al bar, e criticare tutti ogni volta che non si vince.

@ricky_76
Scorrendo i vari argomenti ho letto quanto da te scritto e te ne ringrazio.
A mio avviso centri perfettamente il problema. I fruitori di un servizio (tanto più allettante se prevede un vantaggio economico), salvo che per curiosità personale di approfondire un problema, un meccanismo di funzionamento, una propria attitudine ad “entrare” nei meccanismi; i fruitori, dicevo, fruiscono appunto e pretendono che il meccanismo funzioni. Questo ha valenza per tutte le differenti situazioni che vengono loro proposte, offerte, se non addirittura nei rapporti obbligatori tipo gli adempimenti fiscali. Se così non fosse, volendo fare un esempio più grave di quello simpatico che hai fatto tu, si pretenderebbe che le famiglie dei bruciati vivi della ThyssenKrupp di Torino, dovessero farsi carico dei funzionamenti organizzativi aziendali o delle problematiche manutentive. Se questo esempio può apparire troppo estremo possiamo farne decine di altri. basta pensare a quante sono le cose che tutti i giorni ci troviamo a vivere e che funzionano perché altri le fanno (o non le fanno) funzionare. Tornando a noi: è pur vero che progressivamente il sistema va a regime e funziona ma resta, e pare pervicacemente senza la minima risposta, che non c’è controparte accessibile, che ti ascolti, con cui interloquire. Da ciò, a cascata, la difficoltà dei tanti che scrivono nei vari formo di questo forum.

Posso concordare in linea di principio con il tuo discorso, ma tanto per dirne una, nessuno progetta un sistema per 8 milioni di download in due giorni. Tipicamente sfrutti il cloud per poter ‘scalare’ le architetture, con persone che fin da subito hanno progettato i sistemi in un determinato modo, ma gli imprevisti capitano. Su internet e LinkedIn sono bravi tutti a scrivere commenti, ma bisogna capire i dettagli per capire se ci sono inadempienze ed errori gravi, se un sistema è progettato male. Qui è difficile anche solo capire come è fatto il sistema.
L’esempio della Thyssen è corretto, i magistrati quando indagano entrano nei dettagli e provano a capire se ci sono stati errori stupidi o se davvero sia stata una ‘tragica fatalità’. Se ne potrebbero fare molti altri di esempi, da Viareggio (recentemente la cassazione ha stabilito che non è colpa di nessuno, nemmeno dell’ AD … non si capisce cosa prendano milioni se poi non devono nemmeno rispondere indirettamente dell’operato dei loro sottoposti), alle banche che dovrebbero essere controllate da controllori che magari a volte vengono manipolati o semplicemente fanno male il loro lavoro (vedi MPS, le banche dei Vicenza o quella publiese).
‘Io app’ non si paga, la paghi indirettamente con le tasse. Tante ? poche ? bisognerebbe capire come il lavoro è organizzato, chi scrive il codice, quanto li pagano, chi ha fatto i colloqui per capire se sono persone che valgono i soldi che costano. Non mi è chiaro in generale come sia organizzato il lavoro per produrre la IoApp e le digitalizzazioni del paese, ci sono software open prodotti con il tempo libero di programmatori che vogliono contribuire ma non sono pagati ? chi tira le fila ? ci sono tonnellate di documenti, best practice, consigli, procedure cui i comuni dovrebbero attenersi. Poi ti scontri con la realtà, le competenze, la voglia di lavorare di chi ha il posto fisso. Puoi farti un giro anche qui:

[Interconnessione applicativi in uso alla PA]
[La tristissima realtà e una ferocissima soluzione]

… per dare un occhio ai problemi legati alla distribuzione dei servizi nei piccoli comuni. Come fare ? come aiutarli evitando di inventare 8mila volte la stessa costosa ruota ? per inventarla una volta sola devi forzare i comuni a gestire informazioni, dati e processi tutti allo stesso modo. Peccato che poi ogni comune abbia la sua amministrazione, i loro amici che gli vendono i software gestionali che tipicamente hanno interessi diversi rispetto a quello di cui sopra. E che se fanno quello che vogliono, non pagano mai.

Come fare? Partendo dal basso.
Il limite primo di IO, ANPR, SPID eccetera è che non vengono mai consultati e ascoltati coloro che operano sul campo. So che qualcuno dirà che non è vero, che nel progetto pilota XYZ il comune di Culonia ha collaborato e per loro la soluzione era perfetta, ma il parere di UN ente (o due-tre) non può mai bastare, e infatti nel privato si fanno focus group e test con molti più soggetti.
Nella PA no. L’utente interno è visto come il male, il rompiscatole criticone resistente al cambiamento. E poi i progetti immancabilmente falliscono.

@perrcla
però vedi che poi, alla fine, torni sul discorso che chi usufruisce di un servizio non è tenuto, non gli compete (anche come competenza), non è (dovrebbe essere) suo problema il corretto funzionamento di quanto da altri proposto. Che poi non ci si potesse aspettare un vero e proprio plebiscito di attivazioni app IO; mi pare che non sarebbe molto a contatto con la realtà sociale dell’Italia d’oggi chi si meraviglia di questo. Al di la, e non sono pochi, di quella fetta di popolazione che ha un atteggiamento di “rapina” alla prima occasione (quotidianamente siamo informati di falsi ISEE, di pensioni riscosse in nome di persone decedute, di cechi che prendono l’indennità recandosi a riscuotere guidando la macchina, di ecc ecc ecc) non ci voleva molto a capire che la messa in opera di un sistema che, seppur con i suoi limiti, ti “rende” del denaro avrebbe incontrato il favori ed il gradimento di molte persone. Per non parlare d’altri (ci si può sempre sbagliare; sia nel bene che nel male) parlerò di me. Sono un vecchietto (mi definisco “antico” che da un’auera più chic) che vive di una fantastica pensione di (circa perché non è mai uguale) 650€! Ora la mia, di pensione, è particolarmente bassa (quella di vecchiaia) perché le colpe sono solo mie. Ma non è che quelli “regolari” navighino nel benessere (oltretutto è risaputo che contribuiscano al mantenimento, anche economico, dei di loro figli). vabbhè finiamo la menata perché 1 è argomento risaputo 2 il piangersi addosso non mi confà come carattere e come atteggiamento. Tornando all’argomento (così coinvolgo anche @Elena_S e le sue considerazioni). Se mi dai un servizio, e siccome non te lo ordina il medico, è compito tuo il rendere tale servizio affidabile, funzionale, efficiente. Anche per una ulteriore ragione: quando il servizio riguarda i grandi numeri (milioni di utenti) è penoso e triste pretendere la comprensione di chi nulla ti ha chiesto, di chi non sa nemmeno chi sei, e giustificarsi dietro la frase fatta “riguarda pochi casi”. Certo che riguarda pochi casi! infatti siamo qui a parlarne e non nelle strade a mettere in atto una rivolta. Ma resta che se, per fare un esempio laterale, se mi apri una autostrada e non mi fai la manutenzione, non è che puoi dirmi che ci sono problemi di consiglio di amministrazione che non decide, di relazioni sindacali esasperate, di mancanza di fondi, di, di, di…
Poi certo che il discorso e le sue mille sfaccettature sarebbe più ampio. lascio ad altri ulteriori considerazioni. Invece vorrei evidenziare quanto in altra discussione (Problemi Supercashbach) dove si fa riferimento ad un articolo di HDBlog che denuncia 300 (trecento!) operazioni, tra l’altro tutte già accreditate, in dieci gg. Vi invito a riprendere il discorso perché ha dell’incredibile o del delinquenzialmente credibile.
Resto a leggervi, ciao

A proposito di privacy, non c’entra con il discorso che ha originato questo thread ma vi posto il link a questo articolo perchè è scritto veramente bene e ha la privacy al centro, sebbene ne parli a un livello più “alto” e strategico. Trovo interesante soprattutto il fatto che sollevi il tema del conflitto di interessi di vari soggetti che pare collaboreranno con i massimi livelli della nostra PA.
Ogni tanto invidio la Francia e la sua ostinazione a mantenersi Stato sovrano. O almeno il suo provarci sempre. Noi manco facciamo finta di provarci.

Molte sono le stesse critiche che avevo mosso io… condivido appieno.