Da un’analisi svolta su 46 siti web della pubblica amministrazione centrale (governo, ministeri, ecc.) si scopre che la quasi totalità dei siti web analizzati presenta diverse gravi carenze in termini di tecnologie usate, configurazione dei domini, criteri di sicurezza, prestazioni e aderenza alle linee guida di design per i servizi pubblici.
In generale, emerge una scarsa attenzione per pratiche universalmente riconosciute come standard nel settore e che dovrebbero essere la premessa per lo sviluppo e messa online di un sito web, in particolar modo se si tratta di siti web istituzionali di uno Stato.
Vediamo più in dettaglio di cosa si tratta.
I siti web analizzati e i parametri di valutazione
L’indagine ha riguardato 46 siti web (9 in più rispetto a un’analoga raccolta svolta un anno fa), tra cui il sito del Governo, di diversi ministeri, della Camera, del Senato, del Quirinale e di altri enti come l’INPS, l’Agenzia delle Entrate, i Carabinieri, ecc.
È stato incluso anche il sito web GOV.UK, il portale unico di accesso ai servizi pubblici del Regno Unito, che, come vedremo, sarà l’unico tra tutti i siti presi in considerazione a soddisfare tutti i parametri di valutazione.
Per tutti i siti web sono infatti stati estratti 13 indicatori che danno un’idea dell’aderenza delle configurazioni dei siti web alle pratiche più moderne, diffuse e sicure nel settore.
Tra i parametri utilizzati per la valutazione ci sono il corretto utilizzo del protocollo sicuro HTTPS e il relativo grado di sicurezza, l’adeguata configurazione del dominio in modo che il sito sia accessibile sia con il prefisso “www.” che senza, l’uso di una Content Delivery Network (CDN), di tecnologie come IPv6, HTTP/2, HTTP/3, adeguate policy di sicurezza e altri fattori come le prestazioni e l’aderenza alle linee guida di design (che il Governo stesso si è imposto).
Il corretto uso del protocollo sicuro HTTPS
Ormai da diversi anni il protocollo HTTP, cioè il sistema che si occupa del trasferimento delle pagine web di un sito, viene utilizzato nella variante HTTPS. Questo protocollo sfrutta la crittografia a chiave pubblica per rendere la comunicazione sicura e difficile da intercettare.
In questo senso non è solo importante che un sito web supporti HTTPS, ma anche che la configurazione spinga (o forzi) gli utenti a navigare sulla versione “sicura” del sito. Dall’analisi risulta che tutti i 46 domini analizzati supportano HTTPS, ma con numerose imperfezioni.
Ad esempio, se si prova ad accedere al sito “www.prefettura.it” in HTTPS si viene rimandati in automatico alla versione non sicura, tramite un redirect. Dovrebbe essere l’opposto. Inoltre, su ben 25 siti non è abilitata la HTTP Strict-Transport-Security (HSTS), una funzionalità che permette di indicare ai browser che dovrebbero usare sempre la versione HTTPS dopo il primo accesso al sito, riducendo così il rischio di attacchi Man in the middle.
Infine, è stata eseguita una verifica del grado di sicurezza della configurazione di TLS (il protocollo che “sta sotto” HTTPS) tramite il noto servizio SSL Labs. Il risultato è che solo 29 siti ottengono un grado A o A+, mentre gli altri sono di grado B. Il grado B indica in genere che il server supporta versioni di TLS considerate obsolete e che costituiscono ormai una frazione infinitesimale del traffico web. Si ritiene che mantenere attive queste versioni obsolete aumenti il rischio di subire attacchi che sfruttano vulnerabilità di sicurezza dei vecchi protocolli.
Va detto che in alcuni casi può avere senso mantenere attive queste versioni obsolete (per maggiore compatibilità con i dispositivi meno recenti), ma una strategia di questo tipo dovrebbe essere in qualche modo coordinata ed uniforme tra i siti web, oltre che basata sui dati, fattori che non sembrano trasparire dai risultati dell’indagine.
La scelta dei nomi dei domini
Uno dei principali problemi evidenziati dall’indagine è la mancanza di coerenza sui nomi dei domini. Alcuni siti sono correttamente accessibili sia con il prefisso “www.” che senza (es. “governo.it” e “www.governo.it”), ma per molti altri la situazione è confusa.
Ad esempio, alcuni siti risultano correttamente accessibili solo se si utilizza la versione “www.” (es. “www.mef.gov.it” funziona ma “mef.gov.it” no), mentre per altri vale il contrario. È vero che alcuni browser sono in grado di correggere automaticamente la navigazione e aggirare questi errori di configurazione in modo automatico, ma non è una giustificazione per non fare le cose nel modo corretto.
C’è un problema analogo se si considera l’utilizzo del dominio “.gov.it”, riservato alle amministrazioni centrali. Dei 46 domini analizzati, 25 utilizzano il suffisso “.gov.it” (es. “www.mise.gov.it”) mentre gli altri 21 no (es. “www.giustizia.it”).
Questa incoerenza ha l’effetto pratico di rendere inutilmente difficoltoso e potenzialmente pericoloso determinare se un dominio fa effettivamente capo alla PA oppure no. Come può un utente sapere con certezza che “www.giustizia.it” è il sito web ufficiale del Ministero della Giustizia? E cosa impedisce a un soggetto malintenzionato di registrare un dominio dalle sembianze ufficiali fingendosi un ente pubblico, mettendo poi in atto una campagna di phishing?
Un esempio concreto: il dominio “questura.it” non risulta registrato da un soggetto pubblico e ospita invece uno strano messaggio di un’azienda di Modena. Se tutti i domini della pubblica amministrazione usassero il suffisso “.gov.it” sarebbe facile per tutti concludere a colpo d’occhio che questo sito web non è quello istituzionale senza nemmeno aprirlo.
Infine, a volte tutte queste imperfezioni si sommano e portano a risultati singolari come quello del Ministro della Cultura: il sito è infatti accessibile (identico e “duplicato”) con due nomi, “www.beniculturali.it” e “cultura.gov.it”, e non è chiaro quale sia quello da preferire.
L’uso di Content Delivery Network (CDN)
Un altro aspetto evidenziato dall’indagine è che meno della metà dei 46 siti web analizzati sfrutta una CDN globale per la distribuzione dei contenuti. Le CDN sono in genere consigliate per siti web molto grandi e trafficati perché permettono non solo di migliorare le prestazioni (grazie all’infrastruttura globale e distribuita di queste reti di distribuzione), ma anche di proteggersi adeguatamente e più facilmente dagli attacchi informatici.
Nell’ultimo anno ci sono state delle variazioni, con 7 siti che hanno iniziato ad usare una CDN. Un sito, quello del Ministero della Giustizia, risulta abbia invece “tolto” la CDN in quest’ultimo anno.
La scelta più comune risulta essere Akamai (9 siti), seguita da CloudFront (5 siti), Fastly (4 siti), Cloudflare (2 siti) e Azure (almeno 1 sito), tutte comunque ottime scelte.
Il supporto a IPv6 e a versioni recenti di HTTP
Com’è noto, l’esaurimento dello spazio di indirizzamento della versione originale dell’Internet Protocol (IPv4) ha portato alla creazione di IPv6, un protocollo migliore sotto diversi aspetti che risolve definitivamente il problema della scarsità degli indirizzi IP e che permetterà di sostenere la crescita dei dispositivi connessi ad Internet.
La diffusione di IPv6 è finora stata molto lenta e l’Italia è messa particolarmente male. Purtroppo, i siti web della PA non stanno facendo né da apripista né da esempio, con solo 4 siti su 46 con il supporto a IPv6.
Non va molto meglio se consideriamo la diffusione di versioni recenti del protocollo HTTP, che permettono tra il resto di migliorare la velocità di navigazione: HTTP/3 è supportato da un solo sito e solo 22, nemmeno la metà, supportano HTTP/2 (che risale al 2015).
Paradossalmente c’è stato anche un passo indietro, con il Ministero della Salute che non ha più né IPv6 né HTTP/3, forse un ulteriore indicatore della scarsa attenzione che viene data a questi aspetti sempre più cruciali dell’esperienza offerta da un sito web.
La policy di sicurezza sui contenuti
Uno degli strumenti più efficaci per proteggersi da alcune categorie di attacchi informatici è l’uso di una Content Security Policy efficace: se configurata correttamente impedisce o rende più complesso a dei possibili attaccanti iniettare contenuti malevoli nel sito.
Anche in questo caso i risultati non sono promettenti: solo 5 siti su 46 impostano dei criteri di sicurezza soddisfacenti tramite Content Security Policy, mentre gli altri 41 risultano completamente scoperti.
I CMS più utilizzati
Per la maggior parte dei siti web è stato possibile determinare quale sistema o tecnologia per la gestione dei contenuti (CMS) viene utilizzata. Si tratta in concreto del software che i gestori del sito utilizzano per mantenere il sito aggiornato inserendo testi, immagini, ecc.
La cosa che più salta all’occhio è che su 46 siti risultano in uso ben 18 CMS (o in generale tecnologie) diverse. Chiaramente un approccio di questo tipo rende difficile la creazione di competenze condivise, vista la gran varietà di tecnologie utilizzate.
In diversi casi risultano in uso tecnologie obsolete, come nel caso di Drupal 8, il cui supporto è terminato nel 2021. Ci sono anche casi esemplari di tecnologie risalenti a metà degli anni 2000 e il cui supporto è terminato da diversi anni, come nel caso di IIS 6.0 e Java 6.
I CMS più usati risultano comunque essere i più noti, come WordPress (7 siti) e Drupal (7 siti), ma sono presenti anche soluzioni meno popolari come Liferay (4 siti) e Adobe Experience Manager (3 siti).
Prestazioni e ottimizzazione
Uno dei modi per misurare le prestazioni di un sito web è utilizzare Lighthouse, uno strumento di Google che esegue delle simulazioni realistiche sia in ambiente desktop che mobile e genera un punteggio da 0 a 100. Seppur questo indice sia imperfetto (può variare tra una misura e l’altra ed è molto rigido su alcuni aspetti, non sempre fondamentali), può essere usato come indicatore dell’attenzione che è stata posta alle prestazioni del sito.
Se prendiamo come riferimento la versione desktop, solo 9 dei siti analizzati superano il punteggio di 90. Nessuno raggiunge il punteggio di 100, ottenuto invece dal portale GOV.UK.
Per fare un esempio di situazioni che potrebbero essere ottimizzate: sulla homepage del sito “Italia Domani” è presente un video di circa un minuto con riproduzione automatica, dalla dimensione di circa 50 MB. Sarebbe possibile ridurre la dimensione del video a meno della metà senza una perdita di qualità percepibile, sfruttando meglio la compressione video e audio.
L’aderenza alle linee guida di design
Per quanto riguarda il design dei siti web, il Dipartimento per la Trasformazione Digitale del Governo ha elaborato da diversi anni un kit per la progettazione dei servizi pubblici, composto da una quindicina di passaggi. Due di questi riguardano la realizzazione dell’interfaccia grafica e il team mette a disposizione un apposito kit grafico (UI Kit) che mira ad uniformare lo stile grafico dei siti web della PA.
Non è sempre immediato determinare se un sito è aderente al kit grafico e in che versione, ma possiamo dire che meno di un sito web su tre adotta l’UI Kit 2.0, l’ultima versione del kit, disponibile dal 2019. Inoltre, in una decina di casi il design è evidentemente obsoleto e non aderisce nemmeno all’UI Kit 1.0, facilmente riconoscibile dalla prevalenza del colore blu.
Chi si salva
Se teniamo in considerazione l’intero insieme di criteri, che è certamente discutibile e probabilmente anche incompleto, nessuno dei 46 siti web rispetta tutti i parametri di valutazione.
Si salverebbe soltanto GOV.UK, il portale unico dei servizi pubblici del Regno Unito, che è stato infatti inserito nel confronto come riferimento. Non stupisce, visto che il team tecnico che sta dietro GOV.UK è noto per essere attento a tutti questi aspetti.
In ogni caso, se dal confronto togliamo uno dei criteri, come ad esempio quello della Content Security Policy, siti come “www.innovazione.gov.it” e “padigitale2026.gov.it” risultano i “migliori”. Anche in questo caso forse non c’è da stupirsi, se consideriamo che entrambi questi siti (tra l’altro open source e sviluppati “pubblicamente” sulla piattaforma GitHub) sono realizzati direttamente dal Dipartimento per la Trasformazione Digitale, un team che dalla sua nascita nel 2016 ha sempre dimostrato che realizzare progetti pubblici digitali di qualità è possibile.
Conclusioni
Come abbiamo visto, dall’indagine emergono problemi diffusi su sostanzialmente tutti i siti web presi in considerazione.
Non si tratta soltanto di errori di configurazione dei domini o di scarsa attenzione alle nuove tecnologie, problemi tutto sommato innocui seppur spesso banali da risolvere, ma in alcuni casi anche di carenze su aspetti come la sicurezza. Questi ultimi in particolare dovrebbero avere la priorità ed essere costantemente monitorati.
D’altra parte, sono gli stessi dati a mostrarci come fare le cose per bene, con qualità e attenzione ai dettagli è possibile. In questo senso il lavoro svolto dal Dipartimento per la Trasformazione Digitale è fondamentale e sarebbe da valorizzare ulteriormente. Andrà inoltre monitorato l’impatto che il Polo Strategico Nazionale, cioè il cloud per la pubblica amministrazione finanziato dal PNRR, potrà avere sulla qualità e sulla sicurezza dei servizi.
