Senza contatto


— Fonte: CafeCredit su Flickr.

Venerdì mattina mi chiama mia figlia da Londra. Ha perso il portafogli con la carta prepagata, è preoccupata, probabilmente teme anche la mia reazione. L’ha cercato a casa e a scuola, niente, l’ultima speranza è il pub dove sono stati la sera prima, ma apre solo nel pomeriggio.

Io invece sono tranquillo: deve tornare il giorno dopo, per cui mi preoccupo molto di più della carta d’identità, che per fortuna non aveva dietro, che della carta prepagata. “Tanto c’è il pin”, le dico, “se non l’hai scritto sulla carta non c’è problema”, sapendo benissimo che i miei avvertimenti passati su quanto sia stupido fare queste cose hanno colpito nel segno e che il pin l’ha imparato a memoria.

“Tanto c’è il pin”. Errore! Perché la sua carta Superflash ora è contactless, si possono effettuare pagamenti fino a 30 sterline semplicemente avvicinando la carta al terminale POS (Point of Sale), senza bisogno di autenticarsi con un pin o con una firma.

Quindi se qualcuno ha trovato la carta prepagata di mia figlia può effettuare tanti piccoli acquisti — un centro commerciale con i suoi tanti negozi uno vicino all’altro è l’ideale — senza correre nessun rischio di essere identificato o tantomeno scoperto. Avevo ricaricato la carta proprio all’inizio della settimana e c’erano ancora circa duecento euro, non un gran danno ma nemmeno una cifra trascurabile.

Per farla breve, devo mollare tutto e tornare a casa per verificare sul sito della banca se c’erano state transazioni sospette (lascio a casa il generatore di codici di sicurezza e finora non ho mai sentito il bisogno di attivarlo anche sul telefono). Entro nel sito della banca e, eccoli!, due pagamenti proprio quella mattina. Per fortuna chi aveva trovato la carta in fondo era stato onesto e si era limitato a comprare due biglietti del treno da 10 sterline ciascuno. Poco male, però meglio bloccare la carta lo stesso.

Alla fine la cosa più fastidiosa è stata dover andare dai carabinieri per denunciare lo smarrimento e poi in banca per chiedere una carta sostitutiva e, chissà, il rimborso della (piccola) somma perduta (ma su questo sembra ci sia una situazione alla Comma 22).


Il vero problema è un altro e riguarda ancora una volta la sicurezza, o meglio la mancanza di sicurezza, di questi nuovi oggetti tecnologici. Succede con i termostati e i vibratori, succede con le videocamere di sorveglianza o con le app di fitness, questa volta tocca alle carte di pagamento.

Le carte contactless sono comode anzi comodissime per i piccoli pagamenti, soprattutto in nazioni come la Gran Bretagna, in cui i pagamenti elettronici sono molto più diffusi che da noi. Ma sono anche piuttosto pericolose, non a caso in Gran Bretagna nel solo primo semestre del 2017 le frodi con le carte contactless hanno raggiunto l’importo di 5.6 milioni di sterline, circa 6.3 milioni di euro, superando per la prima volta l’importo delle frodi con gli assegni.


Da un paio di anni girano per la rete presunte “notizie” secondo le quali un POS portatile (o uno smartphone con app apposita) avvicinato di soppiatto al portafogli o alla borsa della vittima in un luogo affollato può sottrarre soldi dalle carte contactless senza che nessuno se ne accorga. Sono notizie tutte copiate una dall’altra (guardare per credere questo “articolo” del 17 febbraio 2016, questo di due giorni dopo, quest’altro del 20 giugno 2016 oppure questo del giugno 2017) e, come ha dimostrato l’ottimo David Puente, sono solo delle volgari bufale, buone al più per vendere qualche portafogli “corazzato”.

Ma anche se l’equivalente tecnologico (e asessuato) della palpatina sull’autobus è un fake, resta comunque il fatto che le banche sembrano trascurare apposta i principi più elementari della sicurezza: firme false su assegni o su richieste di finanziamento prese per buone senza fiatare, documenti visibilmente contraffatti fatti passare per originali, sportelli bancomat che possono essere manomessi in pochi secondi per catturare i dati dei clienti, porte blindate di accesso ai bancomat manomesse in modo analogo, malware che infetta gli sportelli del bancomat, soprattutto quelli più vecchi su cui gira ancora Windows XP.

Ma le banche sono così trascurate che si fanno anche male da sole, ad esempio usando dispositivi bancomat così mal progettati da poter essere controllati da remoto per fargli sputare denaro a piacimento. Oppure lasciando così tanti buchi nelle reti di comunicazione da consentire agli attaccanti di infettare direttamente i computer di controllo, in modo da istruire gli sportelli bancomat ad emettere banconote al momento desiderato.


Ci voleva proprio Apple per inventare un sistema di pagamento contactless efficiente e molto più sicuro di tutti i sistemi concorrenti presenti sul mercato,1 il cui unico e vero difetto è quello di essere legato strettamente ai dispositivi prodotti dall’azienda californiana? Non sarebbe stato molto meglio che le banche ci pensassero da sole, producendo un sistema sicuro e non legato ad un particolare produttore o tecnologia? I soldi non gli mancano di certo, manca solo la volontà, tanto alla fine chi paga è sempre il cliente.


  1. Qualcuno afferma il contrario ma, ammesso e non concesso che sia vero (basta leggere questi commenti), chi lo fa dimentica che questa presunta debolezza risiede ancora una volta nelle procedure bancarie e non nei protocolli utilizzati da Apple Pay. 
Annunci
Tagged with: , , , , , , , ,
Pubblicato su società

Pensieri d’agosto 3

Non voglio entrare a gamba tesa in tutti i disastri degli ultimi giorni, ma leggere della sciagura avvenuta sul Pollino mi ha fatto tornare in mente una esperienza recente legata proprio alla Calabria.

Da qualche anno mi occupo fra le altre cose di monitoraggio ambientale, in particolare di ottimizzazione delle reti di monitoraggio e di analisi dei dati provenienti dai sensori di misura.

Più o meno un anno fa sono stato coinvolto in un progetto di studio dei dati di una rete di monitoraggio operante nella provincia di Cosenza e dintorni. L’idea si è arenata quasi subito per problemi di condivisione dei dati con degli esterni come noi, come se questi dati fossero una “proprietà esclusiva” degli enti — comuni, province, regioni, arpa, protezione civile — che li avevano prodotti. Purtroppo in Italia la ritrosia a condividere le informazioni è molto diffusa a tutti i livelli, anche quando queste informazioni sono prodotte con fondi pubblici (quindi con le nostre tasse).

La rete di monitoraggio era molto interessante: era costituita da una serie di sensori per misurare le deformazioni del terreno, l’apertura di fratture e crepe, lo spostamento di punti fissi del terreno e altri segni premonitori delle frane. In questo modo era possibile individuare la posizione delle superfici di instabilità dei pendii e intervenire preventivamente per limitare i danni nonché, nei casi più a rischio, allertare le strutture di soccorso e la popolazione coinvolta.

La rete era stata costruita con i finanziamenti di qualche progetto di ricerca — comunitario, nazionale, regionale, ce ne sono una caterva — e finché il progetto è stato operativo tutto ha funzionato bene. I sensori erano stati installati e funzionavano regolarmente. I dati venivano trasmessi ai comuni coinvolti e messi online in modo da avere un quadro più generale, anche se l’accesso era riservato ai soli partecipanti al progetto. Il progetto aveva anche previsto l’assunzione (a tempo determinato, c’è bisogno di dirlo?) di uno o due tecnici che giravano periodicamente fra i vari siti della rete per controllare che tutto funzionasse a dovere e per effettuare gli eventuali interventi di manutenzione.

Ma dopo due, tre anni il progetto è terminato e, quel che è più grave, sono finiti i soldi del finanziamento. In un paese normale ci si aspetterebbe che, dopo aver messo su un sistema di allerta così utile per un territorio a rischio come quello di cui stiamo parlando, le istituzioni coinvolte avrebbero fatto di tutto per portare avanti il progetto. Del resto, una volta installati i sensori e sviluppato il software di monitoraggio, bastavano pochi soldi per la manutenzione delle rete e per gli stipendi dei tecnici che effettuavano i controlli, cifre comunque irrilevanti rispetto ai costi di una eventuale emergenza.

Ma non siamo un paese normale. I soldi non sono arrivati e a poco a poco, senza controlli e senza manutenzione, la rete messa su con tanta fatica e con tanto impegno ha smesso di funzionare. In questo momento perfino il sito del progetto è offline. Soldi buttati. E quel che è peggio, per risparmiare qualche spicciolo si è buttato via uno strumento che, nel caso non improbabile di eventi distruttivi, potrebbe evitare vittime, danni materiali e costi ben maggiori di ricostruzione.

A quanto sembra la sciagura sul Pollino ha origini analoghe: una rete di misura delle piogge installata ma non più funzionante in modo adeguato, per scarsa manutenzione e per mancanza di personale tecnico all’altezza del compito.1 Tante vite perse perché in questo paese non si riesce a capire che prevenire i rischi può non solo salvare tante vite umane, ma può anche costare infinitamente meno che intervenire scompostamente a posteriori, quando la sciagura si è consumata.2

Perché ai nostri politici e amministratori piace da matti farsi fotografare mentre tagliano i nastri delle inaugurazioni, se poi queste si risolvono o no in qualcosa di ben fatto e funzionante gli interessa pochissimo. Ancor meno gli interessa la manutenzione dell’esistente, perché secondo costoro non porta notorietà e voti. Poi, quando avviene la tragedia, tutti a piangere lacrime di coccodrillo e a scaricare le responsabilità su qualcun altro.


  1. Se non riuscite ad aprire la pagina, ecco qui uno screenshot del titolo dell’articolo. Anche questo articolo pone più o meno le stesse domande di Repubblica. 
  2. Ma come dimostrano certe intercettazioni ai tempi del sisma dell’Aquila, alcuni personaggi senza scrupoli preferiscono che sia così. 
Tagged with: , , , ,
Pubblicato su scienza

Pensieri d’agosto 2

Negli ultimi anni la Puglia ha portato avanti un piano intelligente di produzione di energia pulita attraverso l’installazione di centinaia di pale eoliche. Non so se, come sostiene qualcuno, la regione abbia raggiunto l’autonomia energetica, ma la quantità di energia rinnovabile prodotta è comunque molto rilevante. La maggior parte delle pale è stato installata al confine fra la Puglia e la Campania, in una regione collinare spoglia e poco popolata, nota più che altro per bollettini meteo sempre allarmanti, “… attenzione, nebbia in banchi fra Grottaminarda e Candela”.

Le pale eoliche producono energia pulita, non hanno i problemi di smaltimento dei pannelli solari, non saranno bellissime da un punto di vista estetico ma, se vengono installate in aree non particolarmente pregiate dal punto di vista naturalostico naturalistico, alla fine producono più benefici che danni.

Tutti contenti? Nemmeno per sogno! I critici ostili alle pale eoliche non si contano. Perché non sono belle da vedere, perché sono rumorose, perché fanno venire le vergini vertigini agli anziani, perché gli uccelli possono incappare nelle pale ed esserne stritolati, perché sono state affidate in gestione ai privati e non allo stato.

Quasi tutte le eccezioni sono risibili, come se una centrale termoelettrica o — Dio ce ne scampi! — nucleare non faccia danni di gran lunga peggiori alla natura e al territorio.

Per quanto riguarda la gestione degli impianti, non sono un fanatico delle privatizzazioni, anzi, ma vorrei che questi sapere da questi critici a comando quali sono le altre attività di produzione o di gestione dell’energia gestite oggi dallo stato (domanda retorica: nessuna). E quali sono le grandi (e piccole) opere fatte in questo Paese che non presentano dei risvolti opachi. Queste almeno funzionano e fanno fino in fondo quello per cui sono state progettate.

L’energia in qualche modo dobbiamo produrla. Meglio produrla in modo pulito e rinnovabile, almeno nei limiti delle tecnologie attuali, o sfruttare fino all’ultima goccia di petrolio o all’ultimo pezzettino di carbone, riempiendo l’ambiente di veleni ma evitando di urtare la sensibilità di certi occhi o orecchie? Non si può dire sempre di no e aspettarsi che queste non-decisioni prima o poi non ci si ritorcano contro.

Tagged with: , , , , ,
Pubblicato su tecnologia

Pensieri d’agosto 1

Un circuito elettronico è progettato per funzionare con valori ben precisi di tensione di alimentazione e di corrente elettrica, ma può tollerare deviazioni più o meno grandi dei parametri di progetto. Se in condizioni normali nel circuito fluisce una corrente di 100 mA (milliAmpere, equivalente a un flusso di 6 \times 10^{17} elettroni al secondo), posso aumentare tranquillamente la corrente fino a 120 mA senza che succeda niente. Se sono fortunato e se ho fatto le cose per benino, il circuito continuerà a funzionare anche se la corrente arriva a 150 e magari anche a 200 mA.

Ma non posso aumentare la corrente all’infinito. A un certo punto tutti questi elettroni che vanno a spasso per il mio circuito inizieranno a scaldare gli elementi che compongono il circuito elettronico e i fili che li collegano, senza che l’aria che li circonda riesca a portare via tutto il calore in eccesso. Il calore si accumula e alla fine inevitabilmente qualcosa si rompe e il circuito smette di funzionare.

Posso metterci una pezza cercando di portare via il calore con dei dissipatori montati sugli elementi più sensibili o con delle ventole che rimuovono l’aria calda accumulata nel contenitore. Ma non c’è niente da fare, se passa troppa corrente rispetto a quanto previsto in sede di progetto è inevitabile che prima o poi avvenga un patatrac.

Invece di provare ad aggiustare un progetto diventato inadeguato, la cosa più logica sarebbe costruire un circuito nuovo di zecca che possa sopportare un flusso maggiore di corrente oppure modificare radicalmente il vecchio circuito, utilizzando dei componenti adatti a sopportare sollecitazioni elettriche e termiche più elevate.

Quello che succede quando troppi camion passano su un vecchio ponte è poi così diverso?

Tagged with: , , , ,
Pubblicato su tecnologia

Tutto anzi niente

Alla fine degli anni ’80 ho vissuto a lungo in Germania. Bellissima la città, Brauschweig, quasi al confine con l’ex Germania Est e a pochi chilometri da una città incantevole come Hannover. Bellissimo l’istituto dove lavoravo, il Physikalisch-Technische Bundesanstalt (PTB per quelli che non amano gli scioglilingua), immerso nel verde, pieno di animali selvatici liberi di scorazzare nel bosco, tanto grande che per andare da un capo all’altro tanti usavano la bici o l’auto. Organizzazione perfetta, i tedeschi quando ci si mettono sono dei maestri.

Ogni mese il gruppo di una ventina di tecnici e ricercatori di cui facevo parte, e come il nostro tutte le altre decine e decine di gruppi del PTB (in totale c’erano circa 1500-2000 dipendenti), riceveva un tabulato spesso diversi centimetri (volevo scrivere “spesso come un elenco del telefono”, ma per i più giovani è un paragone incomprensibile) con l’elenco di tutte le telefonate fatte da ciascun di noi, suddivise fra telefonate private e telefonate di lavoro.

Già allora il centralino del PTB era intelligente e tutte le telefonate erano codificate. Volevo fare una telefonata urbana privata? Mi bastava premettere un “1” al numero di telefono. Per una telefonata urbana di lavoro usavo un “2”, per le interurbane private o di lavoro i codici erano rispettivamente “3” e “4”. Anche le rare telefonate internazionali avevano i loro codici, diciamo “5” e “6”, ed essendo le più costose erano anche quelle più sotto osservazione.

In questo modo il costo delle telefonate private veniva addebitato automaticamente al numero da cui erano partite, mentre per quelle di lavoro la procedura era leggermente più complicata.

Le telefonate che costavano meno di alcuni marchi (diciamo qualche euro di oggi) non le guardavano nemmeno, mentre tutte quelle che superavano una certa soglia venivano marcate con un pennarello giallo (per i casi “normali”) o rosso (per quelle più costose) e chi le aveva effettuate doveva giustificare il motivo per cui le aveva fatte. Niente di complicato, bastava scrivere sul tabulato stesso il nome dell’azienda o del collega che era stato chiamato e perché e il gioco era fatto, si fidavano e non chiedevano altro. Ma dietro tutta questa fiducia c’era la consapevolezza che essere scoperti a dichiarare il falso avrebbe comportato una sanzione immediata e irrevocabile.

A me succedeva spesso di chiamare l’azienda di Monaco che aveva realizzato il sistema di deposizione di film sottili che stavo mettendo a punto,1 a volte stavo al telefono un’ora o più per cercare di sistemare qualcosa che non andava. Negli anni ’80 le interurbane si pagavano al minuto e quelle fatte in orario di lavoro potevano costare due o tre volte di più di quelle serali, per cui queste telefonate costavano uno sproposito e venivano regolarmente segnate in rosso. Ma bastavano due righe di spiegazione ed erano contenti, non mi hanno mai chiesto altro.

Ogni tanto pensavo che in qualche ufficio del PTB c’era qualcuno che passava la giornata a scorrere tutti questi tabulati, a segnare le telefonate sotto osservazione e a leggere e valutare le nostre giustificazioni, e ogni volta cresceva la mia incredulità per questa organizzazione efficiente e rigorosa ma anche attenta a non creare troppi fastidi ai colleghi.


Tornato in Italia venni subito assunto dallo IEN di Torino (ora INRiM) per proseguire il lavoro fatto presso il PTB. Allo IEN le cose erano molto più ruspanti, al posto dei codici automatici c’erano dei foglietti azzurri dove dovevamo segnare qualunque telefonata fatta, una per ogni foglietto. I foglietti finivano nell’ufficio di una signora simpaticissima, peccato non ricordarne più il nome, che li accumulava uno sull’altro in pile vertiginose.

In teoria avrebbe dovuto leggere ogni foglietto, addebitare a chi le aveva fatte le telefonate private e chiedere i motivi di quelle di lavoro più costose, più o meno come succedeva al PTB.

In pratica la signora non faceva niente di tutto questo, aveva troppe altre cose da fare per occuparsi veramente dei foglietti del telefono. Una volta mi ha spiegato il perché e non faceva una piega. La maggior parte delle telefonate private erano urbane e brevissime, le classiche “butta la pasta che arrivo” ma, anche se costavano pochi spiccioli, per essere addebitate richiedevano la compilazione di due o tre moduli diversi, oltre che svariate firme e giri di documenti da un ufficio all’altro. Per recuperare 100 lire (5 centesimi di oggi) l’amministrazione ne avrebbe sprecate 50-100 mila (sempre lire) in termini di costo “macchina” dei vari impiegati amministrativi coinvolti. Aveva senso farlo? Naturalmente no, e la signora era così saggia da evitare questo spreco inutile per dedicarsi a pratiche più importanti.

Per le telefonate di lavoro, invece, considerava valido a prescindere quello che scriveva il collega, un po’ perché sapeva che eravamo quasi tutti onesti, un po’ perché sapeva altrettanto bene che cercare le poche telefonate false nella montagna di quelle vere sarebbe venuto a costare ben di più delle cifre recuperate. E quando anche ci fosse riuscita, sarebbe iniziata la valanga tipicamente italica di giustificazioni, non ricordo, ricorsi e controricorsi, che avrebbe reso vana ogni sua azione.

Ogni anno prima di Natale la signora prendeva la pila di foglietti e li buttava via senza nemmeno guardarli.


Quella della mia collega o del PTB era una lezione di buonsenso: non ha senso cercare di controllare tutto, è molto meglio concentrarsi solo sulle cose importanti lasciando perdere le minuzie. Altra lezione indimenticabile è che solo un sistema di sanzioni rigoroso ma equo può evitare veramente le frodi.

Invece prevale l’attitudine contraria, si sceglie di controllare e burocratizzare tutto, in particolare le sciocchezze da quattro soldi, in modo da non riuscire a non controllare niente in modo efficace, buttando pure a mare inutilmente delle vere montagne di soldi. E nei pochi casi in cui i controlli vanno a buon fine, ci sono troppe scappatoie che permettono ai farabutti di farla franca. Vedete voi se per cecità, ignavia o volontà nemmeno troppo nascosta.


  1. Un sistema di sputtering in ultra alto vuoto, una roba da mezzo milione di euro di allora affidata ad un giovane appena laureato come me, che meriterebbe un racconto tutto suo. 
Tagged with: , , , , , ,
Pubblicato su società
Informativa
Questo sito utilizza cookie di terze parti per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, clicca qui. Scorrendo questa pagina, cliccando su un link o su qualunque altro elemento o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie.
Follow Melabit on WordPress.com
Categorie
%d blogger hanno fatto clic su Mi Piace per questo: