Poco tempo fa, uscendo per fare colazione, ritrovo una graziosa multa per divieto di sosta davanti casa mia: 42 euro secchi, la giornata cominciava subito bene. L’avviso di cortesia adagiato sul parabrezza recitava “pagando entro 10 giorni potrete usufruire di una riduzione del 30%” quindi l’importo da pagare scendeva a 29,40 euro. Felice come una pasqua per questo sconto che, unito al cash-back governativo, mi avrebbe fatto quasi dimezzare la cifra, mi dirigo alla tabaccheria vicino casa per pagare la multa telematicamente con la carta di credito. Fatta la fila, la tabaccaia mi dice che quel tipo di bollettino postale, il modello <451>, non si può pagare tramite il circuito Lottomatica, e che devo andare alla Posta.

Rassegnato, mi avvio verso l’ufficio postale, dove però trovo un fila di circa trenta metri, proprio per via della rincorsa allo SPID necessario ad ottenere il favoloso cash-back del governo.

Piccola parentesi: anche io feci la fila alla posta per ottenere lo SPID qualche mese prima, sconcertato dal fatto che la procedura richiedesse l’autenticazione “de visu” seppure avessi utilizzato la mia CIE (carta d’identità elettronica) per richiedere lo SPID, per la quale mi ero già autenticato di persona all’ufficio comunale, ricevendo tanto di codice PUK spedito metà via internet e metà per posta cartacea (ed unito assieme da nastro adesivo). Quindi per lo SPID non è stata sufficiente la CIE per la quale ero già stato autenticato (mi presero anche le impronte digitali), e dovetti esibire la carta di identità elettronica fisicamente alla sportello postale assieme alla mia faccia.

Sconsolato, me ne ritorno a casa con l’idea di provare a pagare la multa tramite il mio home banking. Arrivato nel mio studio inizio le procedure di autenticazione per entrare nell’home banking: codice utente, password, e doppia autenticazione. Scelgo la 2FA tramite notifica push su smartphone. La notifica però stenta ad arrivare, così riprovo un paio di volte, ma niente. Alla fine scelgo l’autenticazione tramite il vecchio dispositivo token, e quello grazie a Dio ancora funziona. Entro nell’home banking, compilo il bollettino postale online modello <451>, immetto di nuovo il codice token per autorizzare il bonifico, immetto un secondo codice numerico monouso generato automaticamente dal sistema (e siamo già a 4 codici inseriti per un’operazione), ma proprio quando sto per esultare, compare un messaggio pop-up che recita “Attenzione, il pagamento su questo c/c postale potrebbe non andare a buon fine“. Nel frattempo era sopraggiunta quasi ora di pranzo. Decido di rinunciare al pagamento della multa, per riprovarci successivamente. Ma inevitabilmente mi dimentico.

Mi ricordo casualmente della multa da 42 euro, che pendeva ancora sulla mia testa come una spada di Damocle, soltanto dopo un paio di settimane dopo il lieto evento, e quindi con i saldi del 30% ormai sfumati. Rassegnato ma rasserenato dalla ormai non più necessaria fretta del pagamento, decido di prendermela comoda, rimandando a quando scemeranno le file per lo SPID. Ma nei giorni seguenti, le file alla Posta non accennano a scemare. Decido così di riprovare con l’home banking, ma stavolta telefono prima all’ufficio della Polizia municipale del mio comune per chiedere informazioni. All’ufficio contravvenzioni mi dicono di non sapere se il pagamento online su C/C postale sia fattibile, e nel dubbio mi dettano a voce un IBAN bancario su cui poter fare il bonifico, Ma… si dimenticano di dettarmi le iniziali alfabetiche “IT” dell’IBAN. Noto la stranezza, ma l’home banking non mi da errori riguardo l’IBAN immesso, però mi chiede di inserire il codice internazionale SWIFT. Rimango spiazzato, e provo a cercare lo SWIFT della banca in questione su internet, ma senza successo.

Nel frattempo l’home banking mi ha disconnesso per inattività, quindi devo ri-loggarmi con la doppia autenticazione, ma la verifica tramite notifica push sullo smartphone dell’app della banca continua a dare problemi. Provo uno, due, tre volte… alla fine il codice arriva, ma nel momento della verifica, l’home banking si blocca e mi dice che ho sbagliato troppe volte il codice di verifica, e per motivi di sicurezza devo compiere alcune procedure di autenticazione con il codice fiscale ed altri dati personali per poter tornare nuovamente operativo.

Per farla breve, passerà un’altra ora (ne erano già passate diverse) prima che riesca ad entrare nuovamente nell’home banking e pagare la multa di 42 euro sull’IBAN corretto, intermezzata da altre telefonate agli uffici comunali.

Questa disavventura, che ha come protagonisti principali la mia sbadataggine e i potenti mezzi digitali che, alle soglie del 2021, sono in mano alla pubblica amministrazione e alle banche, non ha però un lieto fine.

Infatti, come ciliegina sulla torta, alcuni giorni fa mi arriva il verbale di notifica della multa, corredato da ben due bollettini da 44,40 e da 57,00 euro. Sul verbale c’è scritto che ho sessanta giorni di tempo per pagare, ma se pago entro 5 giorni dalla data della notifica posso usufruire di uno sconto del 30% (evviva!) della multa iniziale di 42 euro, e cioè 29,40 euro più 15,00 euro per le spese di notifica (come non detto): totale 44,40 euro. Chiamo subito gli uffici comunali preposti che mi dicono che ancora a loro non risulta pagata la multa, e mi chiedono di inviargli la ricevuta del bonifico via email. Dovrò comunque pagare la differenza rispetto al bollettino di 44,40 euro (comprensivo delle spese di notifica) e quindi dovrò fare un altro bonifico integrativo di 2,40 euro.

Durante questa avventura,, ogni volta che ho utilizzato il mio computer portatile Microsoft, mi sono autenticato senza neanche accorgermene attraverso il sistema biometrico di riconoscimento facciale Windows Hello, che offre da anni un alto standard di sicurezza. Ma perché non lo usano anche per far pagare le multe?

Quello che voglio dire è che oggi, molto spesso, i processi di digitalizzazione messi in atto dalla pubblica amministrazione e dal settore privato per facilitare il cittadino (o il cliente) finiscono per sortire l’effetto contrario.

Uno dei nodi più difficili da sciogliere è quello della sicurezza e della Two-factor authentication (2FA), o Strong Customer Authentication (SCA), che sarà obbligatorio in Europa a partire dal 31 dicembre 2020 per tutte le transazioni online. La rincorsa degli istituiti di pagamento e della pubblica amministrazione a questo tipo di autenticazione ha portato – secondo lo scrivente – a situazioni al limite del paradossale e con un grado di complessità molto elevato, come quelli della disavventura raccontata in questo articolo.

Le troppe procedure richieste per accedere a servizi di pagamento digitali, spesso ibridate con il vecchio canale analogico che continua a sopravvivere (bollettini cartacei, dettature telefoniche, file alla Poste per autenticarsi) possono portare ad un sovraccarico cognitivo che somiglia molto a quella saturazione della nostra “capacità di canale” di cui parlava Alvin Toffler nel suo libro “Lo choc del futuro” nel 1970. Secondo Toffler il sovraccarico cognitivo è una conseguenza di un sovraccarico sensoriale, quando la situazione in cui ci troviamo ci riversa addosso troppe sensazioni, ma potremmo aggiungere anche troppi media. Marshall McLuhan qualche anno prima aveva già associato in modo enciclopedico il rapporto tra media e sensi, parlando anche di saturazione dell’occhio e dell’orecchio. Oggi potremmo aggiungere a questi sensi anche quello del tatto, poiché siamo passati dall’era elettrica a quella digitale, e quindi al tattile dei nostri touch screen.

Il balzo in avanti alla digitalizzazione innescato dalla pandemia del Covid-19, sta creando alcune situazioni di forte stress. Un esempio sono i sistemi di autenticazione SCA, a volte troppo complessi per l’utente informatico medio. Viviamo in un mondo digitale dove la password più usata è ancora “12345678”, le persone cercano la semplificazione, ed impiegare alcuni minuti per accedere ad un servizio digitale, utilizzando dispositivi elettronici come smartphone e token, può diventare un’impresa stressante. Soprattutto se consideriamo che ogni banca richiede univoche procedure di autenticazione. Nell’ipotesi di avere un conto su due banche, ed uno alle Poste, dovremmo disporre di ben 9 codici identificativi, considerando utenza+password+2FA. Un numero esagerato.

Il futuro sembra risiedere nel fattore biometrico dei processi di autenticazione, quella che alcuni già chiamano la 3FA (Three-factor authentication) ovvero la possibilità di utilizzare come fattore di autenticazione qualcosa che è proprio dell’utente, un “carattere fisico“: scansione della retina, riconoscimento vocale, impronta digitale e facciale.

Questo tipo di fattore, che non può essere rubato o perso, potrebbe aprire le porte ad una autenticazione unica da utilizzare per tutte le banche e per tutta la PA, in modo tale che non diventi un’ulteriore fonte di stress da aggiungere alle altre. Ad esempio si potrebbe usare lo SPID per l’accesso agli home banking, dove l’app consente anche il riconoscimento dell’impronta digitale o facciale (su smartphone dotati di questo supporto), e sarebbe già un grande passo avanti.

«Per ubiquitous computing si intende la nuovissima terza ondata dell’informatica. In origine vi erano i mainframe, ciascuno condiviso da molte persone. Ora siamo nell’era del personal computer: persona e macchina si osservano reciprocamente e a disagio sul desktop. Poi viene l’ubiquità informatica (o, se si preferisce, l’era della tecnologia calma), in cui la tecnologia si ritira sullo sfondo delle nostre vite».

Mark Weiser