L’assurdità del click-day di Inail

20 giugno 2017 / Lifestyle / 268 visualizzazioni
2 commenti
Scritto da  

Ho avuto modo di partecipare al bando Clickday 2017 di Inail e mi è venuto l’amaro per il sistema medievale che usano per la distribuzione di denaro pubblico.

Il ClickDay di Inail è un bando che permette alle imprese di ricevere dei contributi a fondo perduto per migliorare il livello di salute e sicurezza nei luoghi di lavoro. Fin qui niente da dire.

Il problema di questo programma è il sistema ideato per la distribuzione del denaro. Si tratta di un sistema che premia chi ha il dito più veloce. Invece di fare sorteggi che impiegano grosse perdite di tempo, il denaro viene distribuito ai più veloci che compilano la pagina di adesione.

Tramite mail viene comunicato l’indirizzo della pagina di benvenuto, dove a partire da un certo orario comparirà il link della pagina dove dovrete inserire dei dati.

Immagine 1

La pagina di sotto (Immagine 2) è inizialmente “vuota”, ma dall’orario stabilito presenta dei campi da compilare

Immagine 2

Nel campo 1 va inserito il codice di partecipazione dell’azienda. Nel campo 3 va inserito il captcha (2) per evitare la partecipazione ai bot, e poi c’è il tasto Invia.

Le cose straordinarie di queste due pagine (Immagine 1 e Immagine 2) sono

  1. Il servizio è basato su un sito senza https (ssl), quindi non rispettano i protocolli standard di sicurezza del trasferimento dei dati. Chiunque può rintracciare i dati che andate ad inserire all’interno del form di partecipazione;
  2. Quello che dovrebbe essere un captcha, in questo caso la scritta UMEFY, di cui dovevano essere trascritti solo i primi 4 caratteri per poter passare il test umano, è in realtà una scritta statica cablata nella pagina. Ho provato ad inserire il codice di partecipazione più volte e il codice di verifica era sempre lo stesso.

Un codice captcha dovrebbe generarsi all’apertura della pagina, ed essere diverso per ogni utente che deve riempire il form di partecipazione. Se il codice è cablato vuol dire che uno script sarebbe in grado di compilarlo al posto di una persona in tempo record, assicurandosi il denaro.

Per dimostrare quello che dico vi mostro un pezzo di codice della pagina che ho estratto dal sorgente

<label for="f17:p07">* Inserire il codice identificativo </label>
<br/>
<input value="" maxlength="65" size="69" type="text" name="f17:p07" id="f17:p07" autocomplete="off" onblur="invia();"/>
<br/>
<br/>
<strong>* Digitare i primi quattro caratteri</strong> tra&nbsp;parentesi&nbsp;(UMEFY)<label for="f17:e11">&nbsp;nel campo</label>
<br/>
<input value="" maxlength="4" size="15" type="text" name="f17:e11" id="f17:e11" autocomplete="off" />
<br/>
<br/>
<span style="color:white;background-color:#D40000;"/>
<br/>
<input type="submit" value="Invia" name="f17:sub" id="f17:sub"/>

Ma le assurdità non sono finite qui. Alla pressione del tasto Invia non viene mostrato nessun riferimento. Non viene mostrato un numero di protocollo dell’operazione, la tempistica impiegata per inserire i dati, se chi ha compilato il form è riuscito o meno ad accedere al finanziamento pubblico. Niente.

Immagine 3

La pagina mostrata sopra (Immagine 3) dovrebbe contenere tutte le informazioni già descritte, insieme al pulsante per la stampa del pdf contenente la ricevuta del protocollo assegnato.

Per creare una pagina come quella mostrata si impiegano 10 minuti se si è lenti, e per com’è composta non è detto che dietro ci sia agganciata una reale funzione che memorizza i dati che abbiamo appena inserito.

NON STO ACCUSANDO NESSUNO

Sia chiaro che non sto accusando di frode o di imbroglio, l’unica cosa che intendo dire è che nel 2017 per distribuire denaro pubblico viene utilizzata una pagina web, caricata su un computer con condivisione in rete e senza certificato SSL, il ché è assurdo.

La sicurezza prima di tutto, specialmente quando per “sicurezza” si intende trasparenza nell’assegnazione di denaro pubblico.

Condividi se l'articolo ti è piaciuto, ci aiuterai a crescere
  • Simone

    Se non ti è uscito “il tempo” è perchè qualcun’altro ha inserito quel codice piu velocemente di te. A me, ad esempio, il tempo è uscito

    • Ciao Simone, il tempo non è uscito, ciò nonostante ci siamo classificati vincendo il bando.