Informazioni personali

Cerca nel blog

Translate

venerdì 10 settembre 2021

The email Files: Safelisting email? Poi non lamentarti!

Ok sotto il cappello degli email files inizierò a scrivere riflessioni semiserie (come mio solito) sugli errori ed orrori di gestione della posta elettronica.

L’idea nasce da anni di militanza nel settore, ove ho realizzato 3 cose fondamentali:

  1. la maggior parte degli utilizzatori non sa cosa sia e come funzioni la posta elettronica
  2. la maggior parte degli amministratori non sa cosa sia e come funzioni la posta elettronica
  3. i “cattivi” hanno capito benissimo come funziona la posta elettronica ed approfittano dei punti 1 e 2 per farne uno dei veicoli più efficaci ed efficienti di attacco.

Cercherò quindi in funzione di quel che mi passa per la mente, in maniera aperiodica e non regolare di scrivere quello che mi viene.

Oggi parlo di un argomento banale, il safelist o allowlist (una volta detto whitelist prima delle purghe del politically correct estremo).

Safelist: che cosa è

Iniziamo a capire di cosa parliamo.

Tutti gli strumenti di posta moderni hanno una serie di filtri più o meno evoluti che servono ad evitare che messaggi malevoli e pericolosi vengano consegnati alla mailbox dell’utente.

I motivi validissimi di questo approccio sono legati al fatto che:

  1. gli utenti difficilmente hanno gli strumenti cognitivi per distinguere cosa sia pericoloso e cosa no (altrimenti non ci sarebbe questo successo devastante dell’uso delle email come veicolo di attacco)
  2. la mail per le sue specifiche caratteristiche (vedetevi cosa sia l’SMTP, cosa significhi protocollo in chiaro, cosa significhi protocollo asicrono, cosa significhi protocollo unreliable cosa significhi avere doppie intestazioni tecniche e visibili…)

Il problema è che questi filtri non sono perfetti e si può incorrere in 2 spiacevoli estremi:

  1. il filtro non blocca qualcosa che dovrebbe bloccare (ci si riferisce a questa evenienza come falso negativo)
  2. il filtro blocca qualcosa che non andrebbe bloccato (ci si riferisce a questa evenienza come falso positivo)

Il punto 2 è quello di cui andiamo a parlare or ora.

Per evitare che i filtri non blocchino quello che non andrebbe bloccato tutti i sistemi e soprattutto tutti gli utenti invocano un rimedio che è stato identificato nel Safelosting.

Il procedimento è semplicissimo, si tratta di dire al sistema di non applicare questi filtri a specifici flussi di email. Il riconoscimento di questi flussi è di solito legato a:

uno specifico indirizzo di posta elettronica esempio: sonobuono@lasciamipassare.com

un dominio di posta elettronica come, ad esempio: @laciamipassare.com

Quindi una safelist consiste un una serie di voci: domini di posta e\o indirizzi che non vengono analizzati dai filtri di protezione del sistema

La base di questo approccio procedurale è basato dall’assunto: “non so cosa faccio, non ne capisco la tecnicalità dietro ma mi permetto di saltare, in pura incoscienza, i filtri di sicurezza confidando nella mia sopravvalutazione di essere capace di riconoscere eventuali rischi.”

Non intendo dire, con questo, che il safelisting sia una attività inutile, ma che va usata, per la sua natura di saltare i filtri di sicurezza, in maniera oculata e responsabile.

Ora non nego che le persone del marketing, sales, HR, Management assortito non abbiano la giusta preoccupazione di non avere mail importanti bloccate, il discutibile è che siano loro, privi delle competenze specifiche, a dettare vincoli che minano alla base la sicurezza di uno dei primi veicoli di attacco utilizzati dai threat actor.

Discutibile è anche il fatto che vi siano aspettative sulla posta elettronica ben lontane dalla realtà dello strumento. Aspettative legate, appunto, alla non conoscenza dello strumento stesso.

Se non si conosce uno strumento non lo si usa correttamente ne si è in grado di capire e valutare gli eventuali rischi connessi.

A fronte di questo oggettivo scenario, quindi, si decide arbitrariamente di mettere in sospensione i filtri? Non proprio la mossa più lungimirante se si guarda la cosa dal punto di vista della sicurezza informatica.

Ma allora che fare?

Falso positivo: ma di cosa si tratta davvero?

Il primo punto è capire cosa sia davvero un falso positivo:

Il falso positivo si ha quando i filtri di protezione individuano erroneamente un messaggio “buono” come “malevolo”

Raramente questa identificazione ha a che fare con la reputazione del mittente o la struttura delle intestazioni, proprio perchè stiamo parlando di falsi positivi. Questo significa che con grande probabilità la ragione del blocco è legata al contenuto del messaggio. Questo contenuto è per sua natura variabile e, a meno che non vi siano dei pattern ripetuti che incappano per qualche motivo nei filtri in essere, difficilmente provoca blocchi ripetuti e frequenti.

Esistono eccezioni a queste considerazioni, spesso newsletter o email marketing sono “malformate” (spoofing mittente, struttura HTML, componenti attivi, similitudine con campagne di attacco in corso e via dicendo)

A fronte di un evento puntuale, peròil safelisting pone una soluzione “statica” che blocca l’analisi dei contenuti di quei flussi di email in maniera permanente, questo di fatto aumenta sensibimente l’esposizione al rischio.

Procedimenti come il safelisting o il blocklisting non possono quindi non considerare le condizioni al contorno e specifiche del singolo messaggio. Il che non significa che non abbiano uso e scopo, ma che vanno gestiti in maniera coerente con la loro natura.

Safelisting: che fare

siamo onesti, in un mondo ideale con utenti preparati, consapevoli e capaci di gestire il rischio, emettitori di posta che fanno le cose per bene sapendo come si deve gestire lo strumento, gestori di mailserver e gateway che utilizzano approcci sensati e coerenti il safelisting non sarebbe quasi in uso.

Ma il mondo non è cosi, anzi.

La poca conoscenza del mondo delle email è imbarazzante, cosi come la scarsa comprensione delle esigenze di sicurezza di questo canale comunicativo quindi le liste di abilitazione ci accompagneranno per lungo lungo tempo.

Ma cosa fare allora per limitarne i danni?

Ci sono alcuni processi da mettere in piedi per gestire il safelisting che possono aiutare a diminuire la superficie di rischio.

Diminuire le voci in whitelist al minimo

questo sembra ovvio ma è il primo elemento da considerare.

Metter in whitelist tuttte le richieste provenienti dalle varie voci incoscenti dell’azienda non ha senso. Prima di safelistare qualcosa occorrerebbe verificare che non sia un evento ripetitivo. Un atteggiamento sensato consite nel sbloccare la email eventualmente bloccata, NON fare nessun safelisting ma iniziare a monitorare il comportamento di quel flusso di posta e procedere all’evetuale safelist solo in seguito a ripetuti blocchi errati.

Non mettere in whitelist interi domini

Se il safelisting espone ad un maggiore rischio, è evidente che inserire un intero dominio in whtelist significa aumentare il rischio in funzione del numerodi email generabili per quel dominio. Si deve considerare quindi che un dominio aperto significa tanti potenziali vettori di rischio.

Non mettere MAI in safelist domini di email pubbliche

Lo so che nessuno lo farebbe mai, ma allora perchè mi capita di vedere in queste liste robe tipo “gmail.com”, “yahoo.com”, “libero.it” e via dicendo?

Le email consumer free sono un veicolo ideale per sviluppare in maniera semplici attacchi anche sofisticati, il solo richiedere di “liberare” un tale dominio è dimostrazione più che evidente che il richiedente non ha idea di cosa sia la posta elettronica ne come si usi. Non importa se è il figlio del direttore HR, il cognato del vicepresidente del marketing, o il cane dell’amministratore delegato. Semplicemente queste richieste devono essere negate fermamente senza se, senza ma e senza forse. In alternativa ci si fa dare una bella mail che impone il cambio da poter mostrare al soggetto al primo attacco ransomware dicendo: “te lo avevo detto ma tu…” 🙂

Se proprio devi fare safelist almeno limita i danni

Uno dei primi concetti che impari quando si parla di sicurezza è che minore è la superficie di esposizione minore il rischio. Essendo il safelisting una procedura che espone a rischio gli utenti è buona norma spostarla il più vicino al richiedente in maniera da ridurre la esposizione per gli altri utenti.

Mi spego: abilitare un mittente a bypassare i filtri per l’intero numero di utenti della azienda non ha molto senso se la richiesta proviene da una risorsa specifica. Molti sistemi oggigiorno consentono di creare policy specifiche per singoli utenti e gruppi di utenti ristretti. Una scelta opportuna è operare safelisting a questi livelli piuttosto che per tutta la organizzazione.

Ha senso spostare il safelisting quindi nella struttura più vicina al richiedente, utente o gruppo di utenti che sia.

Sopratutto in caso di gestioni estremamente statiche del safelist questo consente di controllare un minimo la superficie di rischio.

Un safelist NON è per sempre

Diciamocelo chiaro, non esistono motivi per tenere una lista che permetta l’ingresso di “la qualunque” per sempre in maniera immutabile. Già le considerazioni precedenti dovrebbero aver aperto un minimo di consapevolezza sul fatto che il safelisting non è una panacea dal punto di vista della sicurezza.

Per evitare che queste liste crescano a dismisura e calcifichino email e domini in maniera perenne è opportuno periodicamente procedere ad una revisione delle voci della lista.

Questo significa che dopo un certo periodo di tempo sarebbe opportuno eliminare le voci (in modalità FIFO, First In First Out). Difficilmente gli errori, se la piattaforma di filtering è gestita correttamente, si ripeteranno.

Sapere come usare i propri strumenti non è una brutta cosa.

Mi si conceda una ultima battuta.

Come tutti gli strumenti anche la posta elettronica ha le sue specificità che andrebbero conosciute da chiunque la utilizzi, la pessima idea di sapere come usarla e non avere bisogno di formazione è tanto stupida quanto, purtroppo, radicata.

E non si pensi che la cosa sia limitata ai soli utenti o al magnifico management, spesso anche chi si occupa di IT e persino di posta non ha le competenze corrette per gestire questo strumento al meglio.

Ne sia un esempio questa domanda:

quanti sanno cosa siano

  • SPF
  • DKIM
  • DMARC

e quali siano vantaggi e debolezze di ogniuno di questi protocolli di autenticazione della posta?

Antonio "Puchi" Ieranò
Meditate gente Meditate

martedì 24 agosto 2021

bye bye 55, e da domani 56

E sono 56 – I reached 56

Ok, lo ammetto, oggi è il mio ultimo giorno da 55enne, da domani si sblocca il livello 56.

Se tra le cose buone di questo traguardo è che lo ho raggiunto, vi è anche il fatto di non essere obbligato a fare sunti o valutazioni della vita sin qui trascorsa, queste cose le lascio ai cinquantenni che ancora si credono giovani 🙂

Tra le cose cattive c’è che da domani, nei selettori dell’età delle ricerche online, sono definitivamente in area senior (di solito il limite superiore è 55) e quindi da domani mi devo aspettare marketing dedicato a montascale, dentiere, pannoloni e via dicorrendo.

L’unica cosa che probabilmente non cambierà è il phishing e lo spam a sfondo dating, che comunque da una certa soddisfazione visto il mumero di gente che mi vuol regalare soldi e il numero di donne che mi cercano e che abitano qui vicino (e dire che non me ne sono mai accorto).

Che cosa è cambiato tra questo compleanno ed il precedente

Sebbene non debba fare valutazioni viene spontaneo fare distinzioni tra il me a 55 ed il prossimo me a 56. E devo dire che non ci vedo differenze di sorta, non almeno sostanziali.

Certo la psoriasi è sempre li con effetti anche fastidiosi (leggasi fimosi, cisti ed altre amenità), il mal di schiena aumenta e, stranamente, non divento più atletico neanche dopo intense sedute sul divano di fronte a qualche sport.

Arrivo quindi a questo fine 55 con qualche difficoltà. A parte il fisico che non regge più come una volta (da lanciatore di coriandoli professionsita adesso al massimo posso essere hobbista) adesso dovrei iniziare a fare attività fisica dedicata, come dare una occhiata ai cantieri con le braccia dietro la schiena.

Raccolgo le info e mi reparo per gli allenamenti.

Ad onor del vero devo anche dire che lo snooker in TV non è proprio il massimo per incrementare la forma fisica, ma almeno vedere AEW e WWE mi ricorda i bei tempi quando mi divertivo anche attivamente. Ovviamente sempre seduti sul divano.

Dal punto di vista sportivo i 55 mi hanno regalato l’europeo, 40 medaglie alle olimpiadi, non che io abbia meriti di sorta, ma almento alcuni pezzi li ho potuti vedere in 4K, il che dovrebbe darmi un plus sugli allenament no? 🙂

Per il resto non ci sono state grandi cose, e non ho proiezioni particolari per i miei 56. Non vedo un aumento ne di intelligenza da parte dell’umanità ne di un aumento di tolleranza mia a fronte di affermazioni deliranti di “coloro che sanno”:

cosa penso di voi, si anche di te!
  • complottisti,
  • novax,
  • terrapiattisti,
  • ditttaturasanitaristi,
  • grenpassshoahisti,
  • nomascherinisti,
  • sinistristi,
  • destristi,
  • quellideipoterifortisti,
  • quelli che lo dice quel premio nobel e quindisti,
  • antiscientisti e scientisti,
  • virologisti,
  • allenatoristi,
  • epidemiologisti da tv o social

Un anno di pandemia, pandetua

La pandemia non ha aiutato la mia ricerca di relazioni sociali, ma devo dire che almento lo scorso 16 settembre ho festeggiato con #quellidelfascicolop il grido

se non sapete cosa si festeggi il 16 settembre non vi preoccupate, si tratta di una festa Messicana quindi non siete tenuti a saperlo, anche se il saperlo vi farebbe onore.

l’autore

Come tutti i momenti di crisi però la pandemia ha mostrato il peggio ed il meglio (ma sopratutto il peggio ma anche il meglio), delle persone.

1965 – Che annata ragazzi

Certo da immundi al vaccino che in(o)cula il chip che ci controlla via 5G di stupidate se ne sono sentite (e se ne sentono) in quantità paraindustriale, ma ho fatto voto di cercare di non intervenire quando leggo certi commenti, inutile cercare di dare senso storico, contesto o semplice matematica elementare.

E, chiariamoci, per uno come me che nella polemica ci sguazza come un paperottolo è stato uno sforzo notevole. Ma ogni tanto devo anche pensare a come gestire meglio le risorse limitae che possiedo, anche mentali.

Se devo farmi un augurio per il mio 56 anno, che non debba più leggere le cazzate stratosferiche legate al covid_19.

Ora non dico opinioni diverse, dico proprio le cazzate. Lo so chiedo troppo, ma sono un inguaribile sognatore.

Del resto questo anno di pandemia ha coinciso anche col ricovero di changuis in comunità, quindi ho avuto cose molto più serie di cui preoccuparmi.

Anzi visto che a settembre ci sarà il cambio a 18 anni, molte cose dovranno cambiare, e la cosa è semplicemente terrorizzante. vedremo i 56 cosa mi chiederanno di sopportare per supportare Changuis.

Per i curiosi si sono vaccinato (pfizer biontec) ed ho il greenpass, è stata una scelta consapevole dei rischi legati a questo vaccino che mi sono assunto liberamente con considerazioni che, permettetemelo, sono però mie e che mi tengo per me.

Lavoro ed Informatica

La fine di questi 55 sono costellati da momenti di pura ilarità nel campo della mia professione. Solo Agosto la PA ci ha donato la serie comica Magnum PA con i primi 3 episodi:

  • le disavventure della regione lazio: i misteri di broken backup,
  • le disavventure della regione lombardia: hot stuff,
  • della regione toscana: siamo in pandemia prendersi un virus è normale

non vedo l’ora di vedere le prossime puntate. E poi dicono che occuparsi di sicurezza informatica è noioso.

Certo se dovessi tirare un resoconto dei miei 55 ho avuto, purtroppo, la triste conferma che la tendenza di aprire la bocca in maniera disgiunta dal cervello non siaccompagna solo ai temi citati prima ma anche in questo che, in teoria, dovrebbe essere “tennico”.

Purtroppo la situazione familiare mi ha limitato molto nelle attività, a parte le mie scivolate linkediniane ho purtroppo dovuto limitare il tempo a disposizione per scrivere, ma spero di riuscire a riprendere tra un po. del resto questo è un primo tentativo (non scrivevo sul mio blog da un sacco di tempo).

Cercherò di essere più presente, per me ovvio 🙂

Che faccio domani:

Non cercatemi non garantisco risposte, ho preso il giorno di ferie e mi concedo un ristorante con la mia signora. non offendetevi quindi se non rispondo. nNon condivido il ristorante in anticipo perchè non amo firmare autografi, la fama è una croce lo so!

Ma poi magari dirò se mi sono trovato bene al ristorante.

Ultime considerazioni

Di Afghanistan, Information Security probabilmente scriverò più avanti. Di vaccini, pandemia e green pass invece no, mi rifiuto. Da un lato perchè ho le mie opinioni ma non sono un esperto (lo ammetto non sono un tuttologo) dall’altro perchè nel 99% delle cose che ho letto trovo che l’approccio sia (da tutti i lati) esattamente quello che ritengo non si dovrebbe mai fare: dare valori morali preconcetti, usare un metodo antiscentifico, usare riferimenti e citazioni “ad cazzum” (“a mentula canis” per i latinisti) e non confrontarsi mai sulla realtà ma su pezzettini parziali. Esattamente come politica, geopolitica, information security

RIP Gino

Vorrei terminare con un pensiero per Gino Strada.

Non c’entra col mio prossimo compleanno, ma centra molto con rispetto ed ammirazione.

Esiste gente che parla, e gente che fa. Gino era uno che faceva, ma nella logica delle contrapposizioni ideologiche non si può dare onore.

Purtroppo al solito il mondo social è riuscito a dare il peggio di se, e se non posso certo aspettarmi che soggetti come Gasparri mostrino dispiacere (sarebbe stato quantomeno imbarazzante ed ipocrita), certe grida di ammirazione pelose bipartisan ora sono per lo meno curiose da soggetti che non hanno mai dismostrato affinità alcuna con il suo lavoro.

Mah sicuramente loro avranno ragione, visto che io ho sicuramente torto.

Un saluto a tutti e a presto

Antonio "Puchi" Ieranò

giovedì 25 febbraio 2021

Is CV transmitting my real experience?

Note: I am expanding here a post I wrote on linkedin some time ago:

https://www.linkedin.com/posts/antonioierano_cv-by-image-activity-6767487628494299136-wdlh

I often read on LinkedIn posts on recruiting and the relative difficulties bounded to typical idiosyncrasies’ Italian job market.

In my area of experience (and due to my age), one of the biggest obstacles is to make experiences and their value understood by your counterpart.

The counterpart can be a customer, your employer\manager, a hiring manager if you’re looking for a change or a Head Hunter…

How difficult is it to pass experiences from a CV?

CV is the main way you “talk” about your professional experience with the other world and nowadays is subject to an automatic ATS system that analyzes and sorts them.

I am not ashamed to say I do not like ATS. While I can understand the need for ATS products to explain how an “ATS-friendly curriculum” should be written is beyond my scope (and interests).

I will only notice here that writing a CV for an ATS means you’re trying to make your CV better indexed, which could not be the best way to express who you are. So at least you need to write 2 CVs, one for ATS, ob built for the eventual interview.

However well it can be written a CV, anyway, using it to demonstrate your real value is a titanic undertaking, the CV is dimensionless or at most one-dimensional (the timeline), and often the reader does not connect the dots (for sure this is not what an ATS do, lol)!

Your experience is not the simple sum of the things you have done, but the relationships these things have.

So I said to myself, what if I try to express my experiences differently?

To give a CV a different look from a sterile list of things can be tricky. It is necessary to remember that the length has to be short; otherwise, we go back to the hundreds of pages of CVs world. Who would read them? No one!

But if I can not use many words which are needed to express what I want to express, I can try to use a graphical approach: at the end, an image tells more than a thousand words.

I try below to show some dimensions that can be obtained from my CV in graphic form, there is not everything (and so has to be), but it was an interesting exercise that I recommend to anyone.

I suggest this exercise because it helps you better understand who you are and what you want people to know about you. In the end, if you don’t know yourself and don’t know how to express your value, hardly an external source will be able to understand it.

The required elements of this exercise are basically: what I want to highlight and how.

Maybe if you try the same exercise, you will find something about yourself as I did.

First of all, I asked myself, what would I like to highlight from my CV?

I chose three domains :

  • what is the market I can address
  • what I am knowledgeable on
  • how international is my experience

The process of building the graphical interface was challenging because it implied a different way to express things, but the reward was a better understanding of who I am, how I am perceived, and in the end, what I would like to do when I grow up.

What is the market, I know?

Usually, a HH or hiring manager reads your cv quickly and then, if you’re lucky, will ask some questions…but he\she\it does not know what does not know, does not have nor your experience nor your knowledge of your strengths. So how to make clear what is your real market experience?

I chose this approach:

No alt text provided for this image
No alt text provided for this image

This was a surprise to me when I did it; I spanned more than I was conscious in my career (ok, I am old), which is a value if you want to sell yourself as a senior guy.

As arbitrary as the division I made is, looks quite clear I spanned my activities in several areas and different roles, companies, and market. This makes my experience broader and more open.

My goal was to show my layered experience graphically. The nested circles with the feeds were a simple solution; this is better understandable and way more readable than the standard written CV.

I am almost sure this can be represented in some other graphical forms; at the end is just an exercise, so I’m open to suggestions.

But even with the limit in this view, one of the values here is that there is no temporal line; the experience is represented for what I did not when.. from this point of view, this is way more interesting than the usual CV format.

One of the standard CV issues is that the temporal line does not express what you learned and introduces a reading bias that arbitrarily puts a reading key that undermines your potential value. Maybe your latest activity is not the most representative.

What can I do?

The second question that came to my mind when discussing my CV was: ok, what are the things I can do?

This is an exciting topic and requires a double view:

  • what the other recognize in me.
  • what I think I am good at (or want to highlight)

Working on the exercise, I realized that Linkedin could be the source for the first point since there is a dedicated section so, why do not leverage it?

No alt text provided for this image

The result required some stretched graphical activity on a slide, and the work should be better than mine. Still, the output can be useful to understand how people perceive you.

The hyperlinks point to the relative section on Linkedin, so any deep dive is even possible 🙂

No alt text provided for this image

The second point is a trade-off between what you think is needed to be presented and what you actually think of yourself.

No alt text provided for this image

If you want, this is where you put the things you want to highlight about yourself. It is the most challenging because it requires you to decide what you want to highlight.

No alt text provided for this image

It would not be a surprise you find out your strength points do not align with the world’s perception of you. As an example, my knowledge of GDPR was not reported in the LinkedIn skills, even if I am quite active on that. But since I do not want to be a DPO (read my linked article below )https://www.linkedin.com/embeds/publishingEmbed.html?articleId=8926452567889499751

I opted for “data protection” as a skill (and no GDPR is not about privacy, shame on you)

Why could there be this difference? This can be due to different reasons but would worth a little introspective analysis of how you communicate outside your vale (this is the first step, isn’t it? let’s work on this).

While there can be many other domains of your experience you would like to highlight (technical skills, certifications, or whatever), I focused on a specific one: how international is my experience, and how can I pass this domain?

How international is my experience?

Again a double exercise.

Work and family reasons expanded my understanding of the world; therefore, it is important to highlight both.

Addressing this point is crucial if you want to show that you can adapt and work in an international environment with different cultures.

Just on the cover, I made clear the breadth of roles I covered …

No alt text provided for this image
No alt text provided for this image

The map is useful to show what “world experience” means. This is something that can give even to a distracted eye a glance at what you’re talking about.

Here, the aim was to show the western experience (EU and USA), the APAC experience, and China one. Areas of the world with a dramatic difference in terms of perception, language, rules, behavior…

But this, per se, would not mark the fact I am familiar with different cultures at high degrees. This is why it was worth adding family ties that could make my counterpart aware of my familiarity with culture’s varying peculiarities.

No alt text provided for this image
No alt text provided for this image

Introducing some personal elements, which usually are not present in an ordinary CV, would enforce and clarify what is your confidence related to different cultures (in my case, span from Europe to Japan, covering North America, the United States, and Mexico, where Mexico also tells I am familiar with Latin countries.

NOTE: Mexico is in North America from a geographical point of view, so everyone who refers to Mexico as south or central America demonstrates not only to not be able to read a map but, worse, do not understand how offensive this can be perceived. And, by the way, this is also the offence that comes out when asian countries are considered as an homogeneous set of cultures.

So I did this exercise for myself, and I found it extremely useful to understand myself better, my experience, goals, and even the value I would like to transmit… It is a complementary tool to a standard CV that talks about yourself.

Maybe by doing it, you will learn as well to better express who you are 🙂

And how many dimensions do you have that you would like to show?

giovedì 18 febbraio 2021

L'Italia digitale e mio cuggino

Cosa hanno in comune i click day, i disastri informatici dell’INPS, Immuni o le interfacce per registrarsi per sperare in un vaccino anticovid?

Questi sono tutti aspetti dell’approccio italico alla digitalizzazione, un approccio che si basa su 3 pilastri granitici:

  1. evitare nella maniera più assoluta di contestualizzare l’idea digitale
  2. il digitale è la replica pedissequa di processi mal disegnati analogicamente
  3. nessuna progettazione tiene in conto la possibilità di errore ed i relitivi processi correttivi

In altre parole la digitalizzazione è demandata ad ambiti che di digitalizzazione nulla comprendono, da cui i disastri annunziati di cui nessuno, per altro, sembra stupirsi.

Il problema risiede in una totale apparente mancanza di comprensione di cosa voglia dire la digitalizzazione che spazia dal disegno dei processi, all’analisi dei presupposti per sfociare infino alla relativa implementazione. Quello che in Italia viene spesso “spacciato” per digitalizzazione è quindi in realtà una accozzaglia di interfacce digitali per accedere a servizi disegnati non per la digitalizzazione.

Insomma dire che uso la email, non significa che io abbia adottato una strategia comunicativa digitale, cosi come essere su facebook non significa essere competenti digitalmente e se questi sono i prerequisiti di chi idea e disegna questi processi siamo alla frutta.

Questo articolo nasce da un mio post su linkedin che riporto:

Poi magari ci scrivo un articolo sul mio blog (che diserto da troppo) ma posso dire che vedere dei geni che pensano di offrire l’iscrizione alla vaccinazione per gli ultraottantenni via web dimostra quanto niente si sia capito cosa volglia dire la digitalizzazione in Italia?
Capiamoci, chiaro possono intervenire intermediari (figli, farmacie, medici di base ma mica tutti e non ovunque) ma il problema nasce nel disegno stesso del progetto.
1) vogliamo iniziare a tenere conto nella digitalizzazione degli utenti che devono fruire un servizio?
2) vogliamo considerare gli utenti per le loro effettive caratteristiche sociali e anagrafiche?
3) vogliamo tener conto delle cosidette condizioni al contorno ( cosi per citarne due: livello di competenze digitali, digital divide)
4) introduciamo quindi nel disegno del processo il privacy e security by design e by default?
5) introduciamo controlli e metriche per verificare il servizio
6) monitoriamo gli output e mettiamo in piedi un servizio che consenta change correttive se serve?
7) vogliamo capire che la digitalizzazione va ben al di la dello scrivere bene o male il codice?

o continuiamo a disegnare processi alla ca..volo, e chiamiamo digitalizzazione l’accesso digitale a servizi che non sono pensati per il digitale?

https://www.linkedin.com/posts/antonioierano_poi-magari-ci-scrivo-un-articolo-sul-mio-activity-6767797642383777792-6p2q

cercherò quindi di sviluppare questi punti per esempi e esperienza.

Processi digitali e processi analogici

Il primo punto che mi piace chiarire che “processi digitali” ed “processi analogici” non sono la stessa cosa, e inserire in un processo una qualsiasi interfaccia digitale non significa che si sia fatta digitalizzazione.

Se cosi non fosse allora qualsiasi componente digitale sarebbe digitalizzazione, in questo caso visto che circa l’80% di quello che si scrive si fa via interfacce digitali (computer, laptop) allora si avrebbe la idea che tutto sia già digitalizzato. In realtà le cose non stanno proprio così.

Quello che si intende per digitalizzazione è la trasformazione dei processi analogici con equivalenti digitali con lo scopo di:

  1. rendere le cose più efficienti tramite integrazione ed eliminazione di ridondanze
  2. poter offrire più servizi al cittadino
  3. semplificare l’accesso alle risorse da parte del cittadino

questo richiede la presa in carico di un intero processo analogico e trasformarlo in maniera conforme agli strumenti digitali disponibili tenendo presente:

  1. quale sia lo scopo del processo
  2. che risorse siano necessarie
  3. quali siano gli equivalenti digitali da implementare
  4. chi sono gli utenti cui si fa riferimento.

sembra facile ma i risultati italici sono sempre improntati al disegni di mio cuggino. L’equivalente digitale, ad esempio, spesso richiede che sia messo in piedi un processo di dematerializzazione del supporto cartaceo.

Basta avere esperienza di PA per sapere che la carta non solo rimane ma si moltiplica, si pensi alla autocertificazione per il covid che NON era ammessa in forma digitale, insomma dovevi avere la carta (sigh) ma il modulo lo scaricavi in PDF (tradotto computer, stampante) stampavi su carta e presentavi a richiesta (ok se non potevi la cosa poteva essere compilata dal rappresentante delle forze dell’ordine, insomma duplichiamo…)

Mio Cuggino e le ricette digitali in provincia di Pavia

Siccome mi piace fare esempi concreti, in tempo di lock down il medico offriva le ricette in formato digitale. vediamo il processo

  • noi lo richiedevamo via WhatsApp
  • il medico generava la ricetta sui suoi sistemi
  • ci inviava via WhatsApp un immagine che conteneva codice
  • con questo codice andavi in farmacia
  • davi quel codice e nome dell’assistito
  • il farmacista lo immetteva a sistema
  • stampava a ricetta
  • ricaricava la ricerca in un altro sistema con un lettore a codice a barre
  • caricava anche i codici a barre dei medicinali
  • ti chiedeva se volevi mettere la tessera sanitaria
  • stampava lo scontrino

poi alla fine i farmacisti credo debbano stampare le resultanze di queste ricette per la regione, ma non metterei la mano sul fuoco.

Cosa c’è di sbagliato in questo processo? è vera digitalizzazione?

Esistono una serie di problemi evidenti persino senza scomodare security, privacy ed uso di un sistema di messaggistica …

Perchè se ho un codice digitale per un documento lo devo stampare e ricaricare? davvero non è possibile disegnare i sistemi ab initio per essere integrati senza il passaggio cartaceo?

I talloncini adesivi con il codice a barre vengono messi sulla ricetta cartacea, la lettura del codice ne crea un equivalente digitale a sistema (ricetta e talloncini), ma sono univoci, che bisogno c’è di questa duplicazione?

Insomma tutto il processo è stato disegnato non per tener in conto gli scopi primari della digitalizzazione (efficientamento, semplificazione, miglior servizio all’utenza), ma apparentemente per aumentare i livelli di complessità operativa, cosa che la digitalizzazione dovrebbe indirizzare e risolvere.

Si può osservare che la parte cartacea serva per offrire una maggiore sicurezza ai controlli, ma se cosi fosse mi verrebbe da chiedermi ma allora avete idea che sicurezza, tracciabilità sono parimenti ottenibili digitalmente?

Insomma un processo cosi complesso lo avrebbe sicuramente disegnato bene anche mi cuggino, probabilmente alla metà del prezzo del cuggino che lo ha ideato.

Questo esempio dimostra come pensare un processo digitale non sia a semplice e pedissequa replica di cosa si farebbe analogicamente.

Ma visto che stiamo parlando di digitalizzazione prendiamo un’altro aspetto preso ancora dalla esperienza personale:

Mio cuggino e la adesione al processo vaccinale della regione Lombardia

La Lombardia è considerata una eccellenza italiana nei confronti della digitalizzazione.

secondo il rapporto DESI

https://www.agendadigitale.eu/cultura-digitale/desi-regionale-2020-resta-forte-il-gap-digitale-nord-sud-e-col-resto-deuropa/

la Lombardia spicca in italia sia per implementazione della digitalizzazinoe che per competenze digitali.

Quindi trovo strano, a fornte di tale e specchiata eccellenza, che capiti quanto segue:

Mia madre è ultraottantenne e vorrebbe fare il vaccino anticovid. Ora noi non viviamo nello stesso paese, quindi non c’è un contatto diretto. Mia Madre è una classica ultraottantenne, con nessuna competenza digitale (neanche gli SMS per intenderci) con problemi di vista e di udito.

Nella sua ingenuità senile, legata probabilmente ai ricordi della sua giovinezza quando in un mondo analogico il dottore “della mutua” visitava i pazienti anziani a casa, ha pensato di chiedere al medico via telefonica cosa doveva fare per il vaccino.

La risposta è stata che i medici di base non possono seguire queste cose in quanto sono troppo complicate (? – forse faceva riferimento ai carichi di lavoro) e che aveva 2 alternative o chiedere se la farmacia offriva questo servizio o lo poteva fare facilmente via web.

Ora chiedere a mia madre di usare “l’internet” è come dirle di discutere di una equazione differenziale alle derivate parziali mentre cammina su di un filo di lana teso tra due grattacieli durante una d’uragano mentre è in corso un terremoto con relativo tsunami.

Ha quindi telefonato in farmacia, che ha risposto che lo avrebbero fatto volentieri ma siccome i sistemi erano sovraccarichi avrebbe dovuto richiamare.

Visto che per amor filiale ogni tanto la chiamo, avevo gia preventivato che avrei dovuto supportarla, e avevo già cercato il famigerato link del servizio della ragione lombardia.

il sito al momento della scrittura del post

Ho quindi effettuato per suo conto la registrazione (sono stato anche fortunato nelle tempistiche).

Cosa c’è di sbagliato in questo processo?

Uno dei punti fondamentali del disegno di un processo è capire come gli utenti coinvolti vi possono interagire.

Ora non considerare le competenze digitali della fascia di popolazione che si vuole indirizzare è, per essere gentili, una cugginata. Pensare che la maggior parte degli ultraottantenni abbia la capacità di trovare il sito (vi raccomando il portale della regione lombardia) è semplicemente stupido. E questo indipendentemente dalla semplicità con cui è stata scritta l’interfaccia (su cui potrei esprimere commenti).

Ora se l’idea era sin dall’inizio quella di usare un intermediario (familiare e\o farmacia) bastava dirlo, ma vorrei capire se non ci fossero stati i familiari a supporto quanto facile sarebbe stato questo processo. E capiamoci, facendo riferimento anche al rapporto DESI citato prima, non è detto che gli elementi familiari siano in grado di dare supporto…usare tiktok o facebook (ancora una volta) NON significa avere competenze digitali che ti consentano di trovare quella pagina.

Insomma persino nella eccellenza lombarda la digitalizzazione è in mano ai cuggini.

E potrei, se fossi bastardo, menzionare che se fai un errore di immissione non hai una interfaccia di correzione. Una volta che hai dato l’ok quello che è fatto è fatto, ma siccome sono buono mi trattengo.

Mio cuggino ed il Click Day

Lo abbiamo sperimentato in molti, la eccitante sensazione del click day…ci vai e tutto va a rotoli, interfacce bloccate, servizi malfunzionanti, security e privacy assolutamente inesistente, tempi biblici….

Il 2020 ci h dato notevoli soddisfazioni, il click day è la dimostrazione che la digitalizzazione è in mano ai cuggini dei cuggini per diversi motivi. Al di la del fallimento consistente dei queste iniziative dal punto di vista tecnico che tutti abbiamo in qualche modo sperimentato, vorrei fare alcune osservazioni su come questi sistemi siano pensati e perchè sono assolutamente ingiusti.

La idea sottesa a questi click day è dare una finestra temporale dove chi è avente diritto (o presumibilmente ha diritto) può fare richiesta. L’idea è ovviamente di gestire gli accessi in linea FIFO (First In First Out), una solta di filtro meritocratico dove il merito è la velocità.

Ora la idea stessa del click day è discutibile proprio per gli assunti precedenti: io faccio una selezione arbitraria legata alle competenze digitali.

Se l’oggetto fosse inerente la digitalizzazione potrei persino capirlo, ma sul bonus monopattini? perchè arbitrariamente danneggiare chi non ha competenze digitali?

OK OK magari è voluto per invogliare la acquisizione di tali competenze nella popolazione dei monopattinatisti, metodo discutibile, pedagogicamente inutile ed ottuso, ma “comprensibile”.

Ora anche supponendo che sia eticamente corretto il filtro di cui sopra, e che tutto sia stato disegnato correttamente e funzioni le liste fifo determinerebbero l’ordinamento delle richieste, peccato che su internet non sia possibile garantire l’ordine di arrivo temporale basandosi sul ordine temporale di partenza.

Mi spiego perchè ho visto l’occhio pallato … se due tizi si mettono davanti al computer e si connettono ad un portale per immettere le informazioni non è detto che chi ha cercato di connettersi prima sia quello che si connette prima, e non è detto che il processo di elaborazione della immissione sia paritetico.

Diversità di banda, di capacità elaborativa dei terminali di accesso, congestione della rete possono alterare questa gara, perchè di gara si tratta.

Ora se possiamo considerare in carico dell’utente la sua capacità elaborativa (questionabile per diversi motivi) sicuramente è al di fuori del controllo dell’utente la prestazione della connettività. Per esemplificare è come se si chiedesse di arrivare primi in una gara in cui alcuni sono vicini con autostrade intonse e guidando una Ferrari, mentre altri hanno stradine di campagna e distanze elevate (e poi usala la Ferrari).

Se aggiungiamo alla equazione il fatto che le risorse cui accedo sono una discriminante arbitraria delle prestazioni la frittata è fatta, alla faccia delle pari opportunità

Il concetto stesso di FIFO richiede quindi ripensamenti, ad esempio la lista potrebbe essere densa ma non ordinata (permettendo piazzamenti in parimerito in funzione di una finestra temporale che tenga conto delle possibili ragioni di latenza lasciando vuote le posizioni successive relative).

Insomma una apparente buona idea cugginesca (il click day) si dimostra già come idea fallace ad una minima analisi, se poi aggiungiamo i difetti di implementazione, prestazione security e privacy … abbiamo a digitalizzazione all’italiana.

Concludendo?

Ho voluto esprimere le mie perplessità sull’approccio alla digitalizzazione perchè in molti casi il problema non è di security, sizing o coding, ma proprio di approccio al processo.

E se non si è in grado di disegnare un processo digitale correttamente , le atre cose sono difficilmente considerate nella maniera corretta. Come a dire che mio cuggino se disegna male dall’inizio è inpensabile che faccia bene ilresto.

Va da se che anche un coding eccezionale fallisce se il contorno è mal disegnato.

E non ho voluto parlare della digitalizzazione della giustizia, dei servizi PA per evitare le parolacce …

Quando si parla di digitalizzazione occorrerebbe innanzi tutto capire cosa voglia dire, purtroppo troppo spesso ci si sofferma sul dettaglio e non sulla “big picture”, col risultato che anche il “probelm setting” per indirizzare la causa del problema risulta inefficace.

Oggi si parla tanto di digitalizzazione, la speranza è che si faccia vera digitalizzazione e non offrire interfacce digitali per servizi pensati in analogico, altrimenti sarà come la pec oramai quasi obbligatoria in tanti servizi PA ma anche interfaccia obbligatoria per le aziende che però non ha obbligo di monitoraggio e quindi risulta spesso piena o non letta (e non ditemi che non vi è capitato) ….

meditate gente meditate

L'Italia digitale e mio cuggino

Cosa hanno in comune i click day, i disastri informatici dell’INPS, Immuni o le interfacce per registrarsi per sperare in un vaccino anticovid?

Questi sono tutti aspetti dell’approccio italico alla digitalizzazione, un approccio che si basa su 3 pilastri granitici:

  1. evitare nella maniera più assoluta di contestualizzare l’idea digitale
  2. il digitale è la replica pedissequa di processi mal disegnati analogicamente
  3. nessuna progettazione tiene in conto la possibilità di errore ed i relitivi processi correttivi

In altre parole la digitalizzazione è demandata ad ambiti che di digitalizzazione nulla comprendono, da cui i disastri annunziati di cui nessuno, per altro, sembra stupirsi.

Il problema risiede in una totale apparente mancanza di comprensione di cosa voglia dire la digitalizzazione che spazia dal disegno dei processi, all’analisi dei presupposti per sfociare infino alla relativa implementazione. Quello che in Italia viene spesso “spacciato” per digitalizzazione è quindi in realtà una accozzaglia di interfacce digitali per accedere a servizi disegnati non per la digitalizzazione.

Insomma dire che uso la email, non significa che io abbia adottato una strategia comunicativa digitale, cosi come essere su facebook non significa essere competenti digitalmente e se questi sono i prerequisiti di chi idea e disegna questi processi siamo alla frutta.

Questo articolo nasce da un mio post su linkedin che riporto:

Poi magari ci scrivo un articolo sul mio blog (che diserto da troppo) ma posso dire che vedere dei geni che pensano di offrire l’iscrizione alla vaccinazione per gli ultraottantenni via web dimostra quanto niente si sia capito cosa volglia dire la digitalizzazione in Italia?
Capiamoci, chiaro possono intervenire intermediari (figli, farmacie, medici di base ma mica tutti e non ovunque) ma il problema nasce nel disegno stesso del progetto.
1) vogliamo iniziare a tenere conto nella digitalizzazione degli utenti che devono fruire un servizio?
2) vogliamo considerare gli utenti per le loro effettive caratteristiche sociali e anagrafiche?
3) vogliamo tener conto delle cosidette condizioni al contorno ( cosi per citarne due: livello di competenze digitali, digital divide)
4) introduciamo quindi nel disegno del processo il privacy e security by design e by default?
5) introduciamo controlli e metriche per verificare il servizio
6) monitoriamo gli output e mettiamo in piedi un servizio che consenta change correttive se serve?
7) vogliamo capire che la digitalizzazione va ben al di la dello scrivere bene o male il codice?

o continuiamo a disegnare processi alla ca..volo, e chiamiamo digitalizzazione l’accesso digitale a servizi che non sono pensati per il digitale?

https://www.linkedin.com/posts/antonioierano_poi-magari-ci-scrivo-un-articolo-sul-mio-activity-6767797642383777792-6p2q

cercherò quindi di sviluppare questi punti per esempi e esperienza.

Processi digitali e processi analogici

Il primo punto che mi piace chiarire che “processi digitali” ed “processi analogici” non sono la stessa cosa, e inserire in un processo una qualsiasi interfaccia digitale non significa che si sia fatta digitalizzazione.

Se cosi non fosse allora qualsiasi componente digitale sarebbe digitalizzazione, in questo caso visto che circa l’80% di quello che si scrive si fa via interfacce digitali (computer, laptop) allora si avrebbe la idea che tutto sia già digitalizzato. In realtà le cose non stanno proprio così.

Quello che si intende per digitalizzazione è la trasformazione dei processi analogici con equivalenti digitali con lo scopo di:

  1. rendere le cose più efficienti tramite integrazione ed eliminazione di ridondanze
  2. poter offrire più servizi al cittadino
  3. semplificare l’accesso alle risorse da parte del cittadino

questo richiede la presa in carico di un intero processo analogico e trasformarlo in maniera conforme agli strumenti digitali disponibili tenendo presente:

  1. quale sia lo scopo del processo
  2. che risorse siano necessarie
  3. quali siano gli equivalenti digitali da implementare
  4. chi sono gli utenti cui si fa riferimento.

sembra facile ma i risultati italici sono sempre improntati al disegni di mio cuggino. L’equivalente digitale, ad esempio, spesso richiede che sia messo in piedi un processo di dematerializzazione del supporto cartaceo.

Basta avere esperienza di PA per sapere che la carta non solo rimane ma si moltiplica, si pensi alla autocertificazione per il covid che NON era ammessa in forma digitale, insomma dovevi avere la carta (sigh) ma il modulo lo scaricavi in PDF (tradotto computer, stampante) stampavi su carta e presentavi a richiesta (ok se non potevi la cosa poteva essere compilata dal rappresentante delle forze dell’ordine, insomma duplichiamo…)

Mio Cuggino e le ricette digitali in provincia di Pavia

Siccome mi piace fare esempi concreti, in tempo di lock down il medico offriva le ricette in formato digitale. vediamo il processo

  • noi lo richiedevamo via WhatsApp
  • il medico generava la ricetta sui suoi sistemi
  • ci inviava via WhatsApp un immagine che conteneva codice
  • con questo codice andavi in farmacia
  • davi quel codice e nome dell’assistito
  • il farmacista lo immetteva a sistema
  • stampava a ricetta
  • ricaricava la ricerca in un altro sistema con un lettore a codice a barre
  • caricava anche i codici a barre dei medicinali
  • ti chiedeva se volevi mettere la tessera sanitaria
  • stampava lo scontrino

poi alla fine i farmacisti credo debbano stampare le resultanze di queste ricette per la regione, ma non metterei la mano sul fuoco.

Cosa c’è di sbagliato in questo processo? è vera digitalizzazione?

Esistono una serie di problemi evidenti persino senza scomodare security, privacy ed uso di un sistema di messaggistica …

Perchè se ho un codice digitale per un documento lo devo stampare e ricaricare? davvero non è possibile disegnare i sistemi ab initio per essere integrati senza il passaggio cartaceo?

I talloncini adesivi con il codice a barre vengono messi sulla ricetta cartacea, la lettura del codice ne crea un equivalente digitale a sistema (ricetta e talloncini), ma sono univoci, che bisogno c’è di questa duplicazione?

Insomma tutto il processo è stato disegnato non per tener in conto gli scopi primari della digitalizzazione (efficientamento, semplificazione, miglior servizio all’utenza), ma apparentemente per aumentare i livelli di complessità operativa, cosa che la digitalizzazione dovrebbe indirizzare e risolvere.

Si può osservare che la parte cartacea serva per offrire una maggiore sicurezza ai controlli, ma se cosi fosse mi verrebbe da chiedermi ma allora avete idea che sicurezza, tracciabilità sono parimenti ottenibili digitalmente?

Insomma un processo cosi complesso lo avrebbe sicuramente disegnato bene anche mi cuggino, probabilmente alla metà del prezzo del cuggino che lo ha ideato.

Questo esempio dimostra come pensare un processo digitale non sia a semplice e pedissequa replica di cosa si farebbe analogicamente.

Ma visto che stiamo parlando di digitalizzazione prendiamo un’altro aspetto preso ancora dalla esperienza personale:

Mio cuggino e la adesione al processo vaccinale della regione Lombardia

La Lombardia è considerata una eccellenza italiana nei confronti della digitalizzazione.

secondo il rapporto DESI

https://www.agendadigitale.eu/cultura-digitale/desi-regionale-2020-resta-forte-il-gap-digitale-nord-sud-e-col-resto-deuropa/

la Lombardia spicca in italia sia per implementazione della digitalizzazinoe che per competenze digitali.

Quindi trovo strano, a fornte di tale e specchiata eccellenza, che capiti quanto segue:

Mia madre è ultraottantenne e vorrebbe fare il vaccino anticovid. Ora noi non viviamo nello stesso paese, quindi non c’è un contatto diretto. Mia Madre è una classica ultraottantenne, con nessuna competenza digitale (neanche gli SMS per intenderci) con problemi di vista e di udito.

Nella sua ingenuità senile, legata probabilmente ai ricordi della sua giovinezza quando in un mondo analogico il dottore “della mutua” visitava i pazienti anziani a casa, ha pensato di chiedere al medico via telefonica cosa doveva fare per il vaccino.

La risposta è stata che i medici di base non possono seguire queste cose in quanto sono troppo complicate (? – forse faceva riferimento ai carichi di lavoro) e che aveva 2 alternative o chiedere se la farmacia offriva questo servizio o lo poteva fare facilmente via web.

Ora chiedere a mia madre di usare “l’internet” è come dirle di discutere di una equazione differenziale alle derivate parziali mentre cammina su di un filo di lana teso tra due grattacieli durante una d’uragano mentre è in corso un terremoto con relativo tsunami.

Ha quindi telefonato in farmacia, che ha risposto che lo avrebbero fatto volentieri ma siccome i sistemi erano sovraccarichi avrebbe dovuto richiamare.

Visto che per amor filiale ogni tanto la chiamo, avevo gia preventivato che avrei dovuto supportarla, e avevo già cercato il famigerato link del servizio della ragione lombardia.

il sito al momento della scrittura del post

Ho quindi effettuato per suo conto la registrazione (sono stato anche fortunato nelle tempistiche).

Cosa c’è di sbagliato in questo processo?

Uno dei punti fondamentali del disegno di un processo è capire come gli utenti coinvolti vi possono interagire.

Ora non considerare le competenze digitali della fascia di popolazione che si vuole indirizzare è, per essere gentili, una cugginata. Pensare che la maggior parte degli ultraottantenni abbia la capacità di trovare il sito (vi raccomando il portale della regione lombardia) è semplicemente stupido. E questo indipendentemente dalla semplicità con cui è stata scritta l’interfaccia (su cui potrei esprimere commenti).

Ora se l’idea era sin dall’inizio quella di usare un intermediario (familiare e\o farmacia) bastava dirlo, ma vorrei capire se non ci fossero stati i familiari a supporto quanto facile sarebbe stato questo processo. E capiamoci, facendo riferimento anche al rapporto DESI citato prima, non è detto che gli elementi familiari siano in grado di dare supporto…usare tiktok o facebook (ancora una volta) NON significa avere competenze digitali che ti consentano di trovare quella pagina.

Insomma persino nella eccellenza lombarda la digitalizzazione è in mano ai cuggini.

E potrei, se fossi bastardo, menzionare che se fai un errore di immissione non hai una interfaccia di correzione. Una volta che hai dato l’ok quello che è fatto è fatto, ma siccome sono buono mi trattengo.

Mio cuggino ed il Click Day

Lo abbiamo sperimentato in molti, la eccitante sensazione del click day…ci vai e tutto va a rotoli, interfacce bloccate, servizi malfunzionanti, security e privacy assolutamente inesistente, tempi biblici….

Il 2020 ci h dato notevoli soddisfazioni, il click day è la dimostrazione che la digitalizzazione è in mano ai cuggini dei cuggini per diversi motivi. Al di la del fallimento consistente dei queste iniziative dal punto di vista tecnico che tutti abbiamo in qualche modo sperimentato, vorrei fare alcune osservazioni su come questi sistemi siano pensati e perchè sono assolutamente ingiusti.

La idea sottesa a questi click day è dare una finestra temporale dove chi è avente diritto (o presumibilmente ha diritto) può fare richiesta. L’idea è ovviamente di gestire gli accessi in linea FIFO (First In First Out), una solta di filtro meritocratico dove il merito è la velocità.

Ora la idea stessa del click day è discutibile proprio per gli assunti precedenti: io faccio una selezione arbitraria legata alle competenze digitali.

Se l’oggetto fosse inerente la digitalizzazione potrei persino capirlo, ma sul bonus monopattini? perchè arbitrariamente danneggiare chi non ha competenze digitali?

OK OK magari è voluto per invogliare la acquisizione di tali competenze nella popolazione dei monopattinatisti, metodo discutibile, pedagogicamente inutile ed ottuso, ma “comprensibile”.

Ora anche supponendo che sia eticamente corretto il filtro di cui sopra, e che tutto sia stato disegnato correttamente e funzioni le liste fifo determinerebbero l’ordinamento delle richieste, peccato che su internet non sia possibile garantire l’ordine di arrivo temporale basandosi sul ordine temporale di partenza.

Mi spiego perchè ho visto l’occhio pallato … se due tizi si mettono davanti al computer e si connettono ad un portale per immettere le informazioni non è detto che chi ha cercato di connettersi prima sia quello che si connette prima, e non è detto che il processo di elaborazione della immissione sia paritetico.

Diversità di banda, di capacità elaborativa dei terminali di accesso, congestione della rete possono alterare questa gara, perchè di gara si tratta.

Ora se possiamo considerare in carico dell’utente la sua capacità elaborativa (questionabile per diversi motivi) sicuramente è al di fuori del controllo dell’utente la prestazione della connettività. Per esemplificare è come se si chiedesse di arrivare primi in una gara in cui alcuni sono vicini con autostrade intonse e guidando una Ferrari, mentre altri hanno stradine di campagna e distanze elevate (e poi usala la Ferrari).

Se aggiungiamo alla equazione il fatto che le risorse cui accedo sono una discriminante arbitraria delle prestazioni la frittata è fatta, alla faccia delle pari opportunità

Il concetto stesso di FIFO richiede quindi ripensamenti, ad esempio la lista potrebbe essere densa ma non ordinata (permettendo piazzamenti in parimerito in funzione di una finestra temporale che tenga conto delle possibili ragioni di latenza lasciando vuote le posizioni successive relative).

Insomma una apparente buona idea cugginesca (il click day) si dimostra già come idea fallace ad una minima analisi, se poi aggiungiamo i difetti di implementazione, prestazione security e privacy … abbiamo a digitalizzazione all’italiana.

Concludendo?

Ho voluto esprimere le mie perplessità sull’approccio alla digitalizzazione perchè in molti casi il problema non è di security, sizing o coding, ma proprio di approccio al processo.

E se non si è in grado di disegnare un processo digitale correttamente , le atre cose sono difficilmente considerate nella maniera corretta. Come a dire che mio cuggino se disegna male dall’inizio è inpensabile che faccia bene ilresto.

Va da se che anche un coding eccezionale fallisce se il contorno è mal disegnato.

E non ho voluto parlare della digitalizzazione della giustizia, dei servizi PA per evitare le parolacce …

Quando si parla di digitalizzazione occorrerebbe innanzi tutto capire cosa voglia dire, purtroppo troppo spesso ci si sofferma sul dettaglio e non sulla “big picture”, col risultato che anche il “probelm setting” per indirizzare la causa del problema risulta inefficace.

Oggi si parla tanto di digitalizzazione, la speranza è che si faccia vera digitalizzazione e non offrire interfacce digitali per servizi pensati in analogico, altrimenti sarà come la pec oramai quasi obbligatoria in tanti servizi PA ma anche interfaccia obbligatoria per le aziende che però non ha obbligo di monitoraggio e quindi risulta spesso piena o non letta (e non ditemi che non vi è capitato) ….

meditate gente meditate