GDPR iscrizione alle newsletter e double OPT-IN

In questi giorni pre-entrata in vigore del nuovo regolamento della privacy (GDPR) molte azienda stanno inviando email per chiedere conferma entro il 25 maggio 2018. Il nuovo regolamento prevede infatti, tra le tante cose, che il consenso esplicito sia rinnovato. Un meccanismo del consenso esplicito è quello del DOUBLE OPT-IN.

Cosa è il DOUBLE OPT-IN?

Significa che per iscriversi alla newsletter non basta inserire il proprio indirizzo su un sito web e cliccare ok sulla voce che dice di aver letta la normativa della privacy. E’ necessario anche ricevere una email e cliccare la conferma all’interno di questa email.

Tra le tante cose questo garantisce anche che l’indirizzo sia giusto e che nessuno possa iscrivere alla newsletter qualcun’altro.

Le aziende che avevano memorizzato un indirizzo email stanno mandando a tutti una email dove è necessario cliccare per confermare di rimanere iscritti.

Questa la procedura corretta e logica. Se ne vedono però di tutti i colori. Aziende che mandano una mail dicendo di iscriversi, si clicca si va su una pagina, si inserisce (o è già pre-compilato) il proprio email (e/o altri dati), si conferma, si riceve una email e si riconferma. Questo giro assurdo che è un TRIPLE OPT-IN ha del grottesco. Ma questo è anche dovuto al fatto che l’interpretazione della normativa lascia molto spazio a diverse visioni.

Quella che ho però ricevuto oggi da Honeywell (non proprio una piccola ditta) è il massimo dell’assurdo.

Ricevo una email dove mi si chiede di iscrivermi:

Dato che mi interessa ho cliccato si iscriviti e sono arrivato ad un formulario pre-compilato con il mio indirizzo email:

 




=== piccolo spazio pubblicità ===

=== piccolo spazio pubblicità ===


Confermando i miei dati vengo iscritto alla newsletter.

Sin qui quasi tutto bene se non ché ho provato a inserire l’indirizzo email di un’altra persona e…ho iscritto quest’ultima alla newsletter!

Se nel frattempo non hanno corretto potete provare qui.

Cosa completamente assurda e esattamente in contrasto con le norme del GDPR che vanno a tutelare proprio questi aspetti.

Honeywell aveva tre possibilità:

1) cliccando sulla email veniva confermata l’iscrizione

2) cliccando sulla email arrivavo ad una pagina dove potevo inserire i miei dati ma non modificare l’indirizzo email

3) inviarmi una conferma di OPT-IN

Hanno scelto una quarta assurda via.

Per ultimo cliccando su unsubscribe ho ricvuto da loro 12 conferme di cancellazione: 1 per lingua!

Un altro fulgido esempio di incontinenza digitale. :-D

MyCivis rete civica di Bolzano attenzione alla (poca) sicurezza!

Prima esperienza con l’accesso alla rete civica “MyCivis”, portale per accedere ai servizi online delle amministrazioni pubbliche dell’Alto Adige ed ennesimo caso di incontinenza digitale. Termine con cui amo definire quando si parla tanto usando paroloni informatici ma poi la sostanza non c’è.

Dovevo fare l’iscrizione di mio figlio al servizio di ristorazione scolastica. Entro nel link indicato dove posso scegliere se entrare con il “mitico” SPID o con la CNS (carta servizi nazionale). Scelgo lo SPID.

Già qui rimango basito dal fatto che non funziona l’autenticazione a due fattori ovvero entro solo con username e password senza inserire la chiave dall’apposita App Infocert sullo smartphone. Cosa che rende abbastanza inutile il concetto di SPID stesso!

Subito dopo l’autenticazione comincia la sfilza di errori come ad esempio questo:

quindi questo:

ed infine questo:

chiudo le finestre del browser (Firefox su MacOS) e riapro e voilà magicamente sono dentro.

Già questo è un grande bug perché l’utente crede di non essere entrato, mentre lo è, e nel caso di uso di un PC condiviso questo potrebbe creare sicuramente un problema di sicurezza.

Faccio quello che devo fare quindi decido i fare il logout!

Dopo il logout mi appare questa pagina.

 

Già questo è anomalo (per non dire sbagliatissimo dal punto di vista della sicurezza) in quanto normalmente facendo logout io non dovrei più fare altro. Ad ogni modo chiudo la finestra ne apro una nuova e torno all’indirizzo di partenza e voilà sono ancora dentro!

Questo significa che se fossi stato davanti ad un PC pubblico (ufficio, internet point, centro civico, ecc,) avrei creduto di essere uscito dal sistema ma in realtà sono ancora autenticato.

Ora tecnicamente mi è molto chiaro perché questo è successo. Su Mac, a differenza di Windows, chiudendo tutte le finestre non si chiude anche il browser e di conseguenza la sessione rimane aperta. Pertanto il messaggio dovrebbe dire: “chiudi il browser per uscire completamente dalla sessione di lavoro”.

Questo errore che apparentemente pare banale in realtà è molto grave perché oggi i furti di identità sono all’ordine del giorno e pertanto questi banali accorgimenti aiutano ad aumentare la sicurezza. Suppongo che il sistema non sia stato minimamente testato su sistema MacOs e al di là del campanilismo di sistema operativo è segno di veramente poca attenzione da parte di chi sovraintende alla creazione di questi portali.

L’infinita storia del mio accento

Non contento di tutto questo c’è anche il piccolo dettaglio della a accentata del mio cognome. Una disgrazia in termini informatici. Le lettere accentate hanno sempre creato problemi a livello informatico per via della poca uniformità dei sistemi di codifica. Certo è che nel 2018 uno si aspetta che venga usata una codifica che supporti gli accenti…già uno si aspetta ma non è così.

Il sistema MyCivis legge i dati al momento dell’autenticazione da un altro sistema. In MyCivis il mio cognome appare così:




=== piccolo spazio pubblicità ===

=== piccolo spazio pubblicità ===


Non essendoci la possibilità di modificare i dati anagrafici, proprio perché questi vengono letti dal db nazionale, chiamo il Call Center che cortesemente mi dice di aver preso in carico il problema e che mi faranno sapere.

Dopo 10 minuti vengo chiamato e mi dicono che non è colpa loro perché il problema è a monte.

Balle!

Se io entro in SPID o in qualsiasi altro portale il mio cognome è corretto dunque essendo la fonte dati corretta non può certo essere un problema a monte.

Tento di spiegare la cosa e anche il discorso codifiche tra UTF e ISO ma ottengo altri 10 minuti di attesa online (per parlare con i tecnici). Fortunatamente la gentile addetta ha almeno capito la logica del “a monte e a valle”.

La cosa rimarrà irrisolta, almeno così mi immagino. Indicherò qui se e quando troverò il mio cognome con la lettera correttamente accentata e non una A con la dieresi!

UPDATE:

Dopo 1 ora ricevo una email dove mi si dice che il problema è risolto…ma non è così. :-(

UPDATE 2:

Il giorno dopo stessa email ma il problema non si è risolto…

UPDATE 3:

Passa un altro giorno, nuova email con richiesta di dire se il problema è risolto ma…non lo è!

UPDATE 4:

E’ il 4 maggio e dopo 2 settimane ancora nulla. Non hanno ancora capito il problema e mi hanno detto che attendono risposte da Infocert. Cosa del tutto inutile dato che il problema si presenta anche accedendo con CNS per cui non può essere un problema di Infocert.

UPDATE 5:

E’ il 31 maggio e la risposta del servizio di assistenza della Provincia di Bolzano continua a insistere che è un problema di Infocert e che questi non rispondono alle loro richieste. Mi hanno consigliato di fare lo Spid con Aruba o Poste.

Egregio Sig. Donegà,

Abbiamo segnalato il problema ad Infocert però purtroppo non abbiamo ricevuto un riscontro. Forse hanno anche corretto i Suoi dati e al prossimo accesso saranno corretti. Sennò non possiamo consigliare altro che scegliere un altro provider SPID (e.g. Posteid o Aruba).

A parte il fatto che i miei dati si Infocert sono correttissimi, detto fatto ho provato con ArubaID e … ovviamente il problema è lo stesso.

Vediamo quanto tempo ancora ci vorrà perché ammettano che sia un errore loro!

SPID Identità Digitale Infocert come funziona…male

Se vuoi solo sapere come configurare la App iOS Infocert ID vai subito in fondo.

Dopo aver letto sui giornali di questo nuovo SPID (Sistema pubblico dell’identità digitale) ovvero Identità Digitale decido di provare come funziona il sistema.

Al momento è possibile attivare il servizio con tre operatori: Infocert, Poste e TIM. Scelgo il primo perchè “mi sembra” il più affidabile. Poste e TIM non hanno una grande nomea in fatto di servizi digitali.

Mi iscrivo sul sito Infocert, procedura abbastanza veloce e scorrevole. Upload della carta d’identità, firma documenti con firma digitale (che avevo già), ecc. ecc. In serata ricevo la email di conferma che mi dice che posso scaricare la App iOS o Android per usare il servizio. Di fatto questo SPID non è altro che un sistema di autenticazione con una chiave usa e getta OTP. Cose che esistono già da anni, niente di nuovo o fantascientifico. Pura fuffa marketing del governo, ma questa è un’altra storia.

Scarico la App e voglio accedere. Mi chiede username e PIN.

PIN? Quale PIN? Io ho la password ma non un PIN. Provo comunque a inserire la password e non funziona. Vado sul sito a vedere le guide d’uso e scopro che PIN per loro vuol dire password. Riprovo ma nulla! Io uso password molto lunghe e con caratteri speciali. Per sicurezza ovviamnete! Cambio password eliminando alcuni caratteri speciali e finalmente funziona.

A questo punto devo inserire un codice che riceverò via SMS.

Il problema è che la tastiera della App mi pemette di mettere solo numeri mentre il codice è alfanumerico!!!!!

Provo anche col copia/incolla ma non va!
IMG_4576
Schermata 2016-03-17 alle 09.12.14

 

A questo punto clicco sul link help dell’email e, dulcis in fundo mi appare un bel messaggio di errore “pagina non trovata”




=== piccolo spazio pubblicità ===

=== piccolo spazio pubblicità ===


 

Schermata 2016-03-17 alle 09.15.19

Chiamo il call center (a pagamento) ma nelle opzioni manca la voce assistenza su Infocert ID.

Provo infine a inserire il codice senza i caratteri alfanumerici e FUNZIONA!!!
Arrivarci però!!

Mi sembra un po’ come quando nei fumetti si battono i pugni sui televisori per farli andare!

Complimentoni, bel servizio e soprattutto testato molto bene!
Ora se questo è il livello di professionalità relativo all’usabilità figuratevi quello di sicurezza!

Un altro bell’esempio di incontinenza digitale.

Prova pratica

Dulcis in fundus decido di provare il sistema SPID di autenticazione  sul sito dell’INPS.

Non funziona e questa volta senza trucchi per farlo andare.
Inesorabile messaggio di errore.
Schermata 2016-03-17 alle 17.11.24

UPDATE 4 APRILE 2016

Oggi, dopo ben 18 giorni dalla mia richiesta di assistenza al sito Infocert relativa alla password, ho ricevuto la loro risposta. Neppure con la posta tradizionale sarebbe stata così lenta!!!

Guida rapida per configurare la App iOS Infocert ID

Per abilitare la App iOS Infocert ID va inserito lo username di Infocert e invece del fantomatico PIN la password. Attenzione che non tutti i caratteri speciali sono accettati. Se non funziona provate a cambiare password.

Quindi ricevete un codice via SMS. Inserite solo il numero senza i tre caratteri alfanumerici inziali.

Alperia e l’incontinenza digitale

Ieri ricevo una email sospetta che fa riferimento al mio contratto privato di energia elettrica.

tugg

Visto il contenuto la bollo subito come un tentativo di phishing come tanti. Quello che mi suona un po’ strano è il dominio di provenienza: tugg.eu. Controllo sul browser e digitando www.tugg.eu mi appare la classica pagina del dominio non configurato.

Schermata 2016-03-15 alle 16.45.08

 

 

Non contento vado a cliccare i link nella mail usando la modalità privacy del browser e scopro che effettivamente portano al sito di Alperia.

Controllo poi anche il WHOIS del dominio e scopro che effettivamente appartiene ad Alperia.

Alperia è il nome del nuovo “colosso”, sarebbe meglio dire pingue entità,  provider di energia locale nato dalla fusione di AEW e SEL.

Ancora non mi fido e vado sul sito ufficiale e pubblicizzato di Alperia ovvero www.alperia.eu. Un sito fatto a soli scopi marketing nel quale cerco i link per il login, per accedere all’area riservata per vedere le mie bollette. Non trovo nulla da nessuna parte. Ricorro allora al vecchio sito ovvero www.aew.eu. Qui vengo reindirizzato ad www.alperiaenergy.eu che è il remake del vecchio sito di AEW.

La prima domanda è perché due siti con due domini diversi? Vero che i domini non costano nulla ma è un vero casino.

Qui entro nell’area riservata scarico una mia bolletta e trovo un messaggio che in sostanza mi dice che essendo io aderente al mercato tutelato adesso le mie fatture avranno il logo TU.GG

TU.GG ????
Cosa è ‘sto TU.GG poi perché solo il logo. Difatti sulla fattura il logo è diverso ma la ragione sociale è sempre Azienda Energetica Trading!

Schermata 2016-03-15 alle 16.52.52

 

Queste sono sono veramente fatte con i piedi e poi ci si domanda dove è la trasparenza nelle aziende energetiche. Nulla da meravigliarsi se in giro poi ci sono i furbi che cercano di prenderti per il sedere spacciando contratti per ciò che non sono come denunciato da Alperia stessa (qui). Il bue che da del cornuto all’asino.

Cara Alperia, prima mi mandi una email dal tuo vecchio indirizzo dicendomi che in futuro cambieranno le cose e NON prima mi mandi una email da un indirizzo sconosciuto dicendo che sono cambiate perché non è corretto e genera confusione.

Poi spiegami cosa è questo TU.GG e perchè essendo la ditta fornitrice sempre la Azienda Energetica Trading mi cambi il logo a seconda che sia mercato tutelato o meno.

Vuoi forse farmi sentire “strano” perché me ne resto col più sicuro ed economico Mercato Tutelato?

Hai scelto apposta uno schifo di nome per non farmi identificare con le future promozioni che ci bombarderanno di pubblicità nei mesi a venire e di conseguenza farmi venir voglia di cambiare?

Tutto questo ovviamente è in linea con i principi di tutta la questione “energia” a cominciare dalla bolletta che è un vero e proprio esempio di complicazione per impedire all’utente di capire cosa paga esattamente di energia.

Sulle bollette infatti paghiamo:

  • L’energia
  • Il trasporto e il contatore
  • Gli oneri di sistema (???)
  • Le imposte

Il tutto ovviamente differenziato per periodo.

In pratica è IMPOSSIBILE capire esattamente quanto costa il Kw. Questa poca trasparenza si riflette pari pari anche sull’immagine di questa azienda e questa confusione lo dimostra ampiamente.

Possibile che come consumatore si debba sempre essere presi per il sedere da queste aziende che dimostrano di non avere il minimo rispetto per l’utente finale. Sballotatti da un sito ridondante di tanti bei blah blah, all’altro senza un minimo di coerenza, trasparenza e semplicità.

In questo caso si evince come l’uso della tecnologia ai fini sbagliati da i suoi frutti sbagliati anch’essi. Per quello parlo di incontinenza digitale, ovvero l’incapacità di tenere a freno l’abuso dei siti, domini, loghi e tecniche di comunicazione.

Se, e sottolineo, se ci fosse una scelta cambierei ma purtroppo il mercato dell’energia è così per tutti.

Poca chiarezza per mantenere l’utente in uno stato di confusione costante.

Per parafrasare Totò, …e io pago!

 

p.s.

Giusto per chiudere il quadro della trasparenza e rispetto del cliente riporto anche un fatto successo lo scorso anno.
In uno di quegli stand del Twenty a mio padre quelli di Alperia, allora AEW,  un addetto della stessa ha proposto un contratto a detta loro più conveniente. Non pago di ciò ha stampato pure una “mia” bolletta dandola a mio padre dicendo di convincermi a cambiare pure io. Ovviamente dopo averlo scoperto ho inviato una PEC in quanto papà o non papà non possono certo permettersi di tirare fuori le “mie” bollette. C’è una legge della privacy ed è anche piuttosto severa. Poco dopo ricevo telefonata dall’addetto che si scusa, che non pensava, voleva ecc. ecc. Per evitare di far fare una misera sorte all’addetto ho lasciato perdere ma questo è sicuramente un’altro elemento che dovrebbe far capire quanto l’utente sia “mal-trattato”.