Reddito di Cittadinanza: i bug del nuovo sito istituzionale

Bug nel sito istituzionale del reddito di cittadinanza. A rischio i dati di milioni di persone

Sono bastate solo poche ore agli esperti informatici per trovare i primi bug nel nuovo sito istituzionale del reddito di cittadinanza che comprometterebbero la privacy di milioni di cittadini

Il portale presentato, lo scorso 4 febbraio, dal Ministro del Lavoro e delle Politiche Sociali Luigi Di Maio e dal Premier Conte scatena le prime polemiche sul mancato rispetto del GDPR e la conseguente violazione della privacy degli italiani che invieranno la propria richiesta  tramite il suddetto canale.

Quali sono le falle

Il blogger ed esperto di analisi e protezione dei dati, Matteo Flora, analizzando il codice sorgente del portale istituzionale l’ha definito letteralmente “fuorilegge”. Il sito risulterebbe assolutamente inadeguato allo scopo per cui è stato predisposto. Il sito a detta del blogger è una “striminzita paginetta di “placeholder” che a nulla serve se non a dare una “casa” al progetto quando sarà finalizzato”. Come se ciò non bastasse analizzando il codice sorgente, l’esperto informatico ha scoperto numerosi problemi relativi alla gestione dei dati personali e della privacy, specialmente alla luce del GDPR.

L’informativa privacy di fatto è inesistente, il link sul portale del reddito di cittadinanza rimanda semplicemente a quella predisposta per il sito del Ministero del Lavoro. Questa pratica è scorretta ed espressamente contraria a quanto stabilito nel regolamento europeo sulla privacy, secondo cui ogni sito deve avere una propria privacy policy e non può appoggiarsi a quella degli altri. Flora, ironizza “come se sul sito del vostro medico la Privacy Policy portasse al padrone di casa che abita in un differente edificio”.

Inoltre, il blogger sempre analizzando il codice sorgente, ha scoperto che il font utilizzato dal sito istituzionale appartiene alla libreria di Google. In altre parole, il sito del reddito di cittadinanza è stato costruito includendo dei codici creati da Google nella sua struttura. Inserire i suddetti font nell’impalcatura del sito permetterebbe a Google di entrare in possesso di tutti i dati personali inseriti nel sito. Secondo le direttive predisposte dal colosso informatico, infatti, ogni volta che un sito utilizza i font della LibreriaGoogle, il motore di ricerca agirebbe a tutti gli effetti un ‘Data controller’, e per questo avere accesso ai dati sensibili inseriti all’interno della piattaforma. Non è un caso che questo escamotage è stato messo appunto poco prima dell’entrata in vigore del GDPR, con una nota diramata precisamente il 17 aprile 2018. Infine, l’ultimo problema riguarda l’utilizzo di MicrosoftAzure, come cloud per la distribuzione dei video tutorial.  Anche questo sistema raccoglierebbe, questa volta per conto di Microsoft, i dati personali di chi naviga sul portale del reddito di cittadinanza. Entrambi i meccanismi di raccolta dati agirebbero senza che gli utenti del portale ne vengano informati e conseguentemente senza il rilascio del consenso al trattamento dei dati.

Conclusioni

In conclusione sono molti i dubbi sollevati dall’esperto informatico e che stanno alimentando il dibatto tra i siti che si occupano di tecnologia. Sono stati dei semplici errori commessi da principianti? Oppure dietro l’utilizzo in modo illecito dei componenti superflui sul sito e l’omissione di una corretta informativa sulla privacy fanno parte di un progetto più grande? Infine, perché regalare a due enti terzi, per giunta residenti in paesi extra-europei, i dati personali di milioni di cittadini?

Benedetta Greco