TL;DR Uno sguardo al sito web QualitaPA promosso dal Dipartimento della Funzione Pubblica, che nel lodevole obiettivo di diffondere strumenti ed esperienze per promuovere la qualità delle organizzazioni pubbliche, dimentica misure di protezione essenziali come l’HTTPS e include strumenti proprietari che tracciano i cittadini.
“Uno bono descurso con retorica piazzata ad uopo, qualcuna frase
dal bon suono e via che se cammina più spediti che mai.”
Nicolò Machiavelli
Qualcuno, su Twitter, l’ha definito come un perfetto esempio di “ossimoro“. In effetti, difficile trovare una definizione più azzeccata al portale “Qualità PA”, promosso dal Dipartimento per la Funzione Pubblica la cui tagline recita “Per un’Amministrazione di Qualità” e si propone come sito “a suo tempo nato per diffondere strumenti ed esperienze per promuovere la qualità delle organizzazioni pubbliche, lungi dall’aver esaurito il suo obiettivo iniziale si presenta oggi con una focalizzazione nuova, coerentemente con le trasformazioni intervenute e con il nuovo assetto di competenze assunte dal Dipartimento della Funzione Pubblica che lo attestano quale attore istituzionale di rilievo in questo ambito.”
1) Niente HTTPS per “QualitaPA”
Iniziamo dall’assenza del protocollo HTTPS: l’intero sito web gira su HTTP, senza alcuna protezione crittografia per l’utente. E no, non è che non va sulla 443 di default: l’HTTPS non è proprio implementato!
Il che è ancor più grave se pensiamo che su tale portale non solo gli utenti possono fare ricerche, trasmettendo in chiaro i dati relativi alla loro richiesta, ma addirittura è prevista una sezione dedicata agli utenti registrati, che inseriscono le loro credenziali in una pagina non protetta da SSL.
Sono diverse le sezioni in cui il cittadino può interagire (ad esempio, attraverso segnalazioni alla pagina “Comunica e Partecipa”), senza beneficiare di alcun tipo di protezione: per un portale istituzionale, è una mancanza da matita blu.
2) Perché tracciare gli utenti con Google Analytics?
L’analisi sulla presenza di tracker che ho effettuato attraverso l’uso di Blacklight (strumento di real-time privacy inspector per i siti web) ha evidenziato la presenza del codice di Google Analytics nelle pagine del portale. Perché un portale istituzionale dovrebbe regalare i preziosi dati dei cittadini al gigante di Mountain View, in cambio delle statistiche di visita delle pagine? E perché un portale istituzionale non sceglie di utilizzare le piattaforme messe a disposizione dall’AgID -Agenzia Italia Digitale- come Web Analytics?
La presenza dello strumento è correttamente indicata nella privacy policy del sito web, esplicitandone il fine:
“Gli Utenti potrebbero ricevere nel corso della navigazione sul Sito cookie di terze parti, ovvero cookie di siti, social network e piattaforme esterne di società terze utilizzati anche per finalità pubblicitarie. Se l’Utente sceglie di ricevere cookie da società terze le comunicazioni che le stesse invieranno in futuro saranno più rispondenti agli interessi dell’Utente.”
e poi, più in dettaglio, nella successiva parte dedicata proprio a Google Analytics:
“I cookie di Google Analytics permettono al Sito di generare i rapporti sulle interazioni dei visitatori con i siti web. Questi cookie vengono utilizzati per memorizzare informazioni che non consentono l’identificazione personale degli utenti.”
Si potrebbe discutere a lungo della frase “non consentono l’identificazione personale degli utenti“: nella privacy policy di Google Analytics si legge chiaramente che “i nostri contratti vietano ai clienti di inviare informazioni che consentono l’identificazione personale a Google Analytics. I clienti devono attenersi a queste best practice per assicurarsi che le informazioni che consentono l’identificazione personale non vengano inviate a Google Analytics.” e sarebbe curioso capire se il webmaster di QualitaPA ha implementato correttamente le “best practice“ indicate per evitare che gli utenti possano, inavvertitamente, inviare PII –Personal Identificable Information– a Google…
Giusto per completezza, nel codice si trova anche il javascript di Google reCaptcha…
Insomma, per concludere, sarebbe stato auspicabile che un portale istituzionale evitasse di tracciare i propri utenti e, se proprio ritiene utile farlo, che utilizzi strumenti sui quali è maggiormente possibile il controllo dei dati raccolti.
3) Uno sguardo al CMS e al codice HTML
Entrando più nel dettaglio, il portale è stato realizzato usando Typo3, un CMS OpenSource. Stando ai risultati ottenuti usando uno strumento di enumerazione (Typo3scan) liberamente disponibile, la versione in uso è la 8.7: siamo ben lontani dalla LTS 10.4.22 o dall’ultima release, la 11.5.4.
Tuttavia, a quanto si legge sul sito web Typo3, le release 8.7 possono godere di un supporto esteso (ELTS) almeno fino al 2023. Il supporto è un elemento essenziale per garantire gli aggiornamenti contenenti le correzioni dalle vulnerabilità che vengono, via via, scoperte nel codice. Aggiornamenti indispensabili, poiché una veloce ricerca tra le vulnerabilità di cui soffrono le release da 8.0 a 8.7, nei suoi diversi componenti, sono diverse.
Per finire, ho fatto una veloce analisi dell’accessibilità e compliance del codice HTML usando uno dei tanto tool disponibili online: il risultato non è dei migliori e, come sospettato, e anche una successiva analisi del codice usando W3C validator evidenza la presenza di almeno 18 errori.
Insomma, per concludere, direi che il portale Qualità PA non ne esce proprio molto bene: per una vetrina web che sembra voler promuovere la qualità dell’amministrazione pubblica, il risultato non mi pare decisamente dei migliori.
Se fino a qualche anno fa il sito web poteva giusto essere considerato una “appendice” all’attività istituzionale, ormai anche le PA devono affrontare la sfida del digital first: è il sito web il primo approdo del cittadino alle istituzioni e agli uffici della PA, luogo virtuale dove si cercano informazioni, soluzioni, procedure e riferimenti. Da due anni, con la pandemia CoVID19 che ha ridotto gli spostamenti al minimo necessario, il sito web e gli strumenti digitali assumono ancora di più il ruolo d’interfaccia privilegiata verso il cittadino: la PA italiana può ancora permettersi di non averlo capito?