…a proposito dell’accesso al portale Alloggiati Web

TL;DR Le nuove modalità di accesso al portale Alloggiati Web della Polizia di Stato, necessario per la registrazione degli ospiti delle strutture ricettive, sono decisamente particolari e astruse, nonché non accessibili. Ho scritto al Difensore Civico Digitale, ricevendo risposta 3 mesi dopo: niente da fare, mi spiace.

La normativa prevede che “I gestori di esercizi alberghieri e di tutte le altre strutture ricettive, ENTRO LE 24 ORE successive all’arrivo, devono comunicare alle questure territorialmente competenti, ESCLUSIVAMENTE per il tramite del Servizio Alloggiati, le generalità delle persone alloggiate. Se il soggiorno è inferiore alle 24 ore le generalità vanno inviate all’arrivo stesso”.

Il portale Alloggiati Web altro non è che una piattaforma dove, previa autenticazione, le strutture inseriscono i dati anagrafici degli ospiti (nome, cognome, nazionalità, anno di nascita, residenza, estremi del documento d’identità), pena sanzioni molto pesanti. L’inserimento, come indicato, deve essere fatto repentinamente, al più entro le 24 ore successive all’arrivo e non è prevista altra modalità se non attraverso questo portale web.

Al di là della normativa vigente, piuttosto discutibile sia nei modi che nei tempi, quello che mi ha sorpreso sono state le nuove modalità di accesso implementate nell’ultima versione della piattaforma. Nella precedente, l’autenticazione veniva effettuata attraverso una combinazione di certificato SSL e credenziali: al più, si trattava d’importare sul browser il certificato rilasciato. Nell’attuale, invece, questo sistema è stato sostituito da un astruso meccanismo d’inserimento codici attraverso una tastiera virtuale. I codici, 16 tuple da 4 cifre numeriche, sono forniti al momento dell’attivazione del nuovo sistema di autenticazione e devono essere stampati (o comunque conservati da qualche parte).

Ogni qualvolta in una struttura ricettiva si presentano gli ospiti, l’addetto deve autenticarsi con username e password sul portale e inserire, in quella che ho amichevolmente rinominato “tastiera di lancio missili balistici“, le cifre mancanti dei rispettivi codici usando i “pulsanti virtuali” del tastierino.

Se non altro, la fantasia non è mancata.

Si poteva usare SPID, ad esempio, oppure mantenere i certificati SSL. Anche solo per garantire maggiore accessibilità a chi, magari ipovedente, deve usare sistemi di lettura dello schermo.

Decido d’inviare una segnalazione al Difensore Civico Digitale, figura prevista dal Codice dell’Amministrazione Digitale “a garanzia dei diritti digitali di cittadini e imprese“, sottolineando le difficoltà di poter usufruire di un tale servizio per chi è diversamente abile (devo precisare che il portale, e relativa modalità di autenticazione, funziona correttamente anche da browser mobile) e le potenziali vulnerabilità di un tale sistema di autenticazione (ad esempio, potrei smarrire, o vedermi rubare, la scheda dei codici di accesso).

La risposta arriva 3 mesi dopo, attraverso una notifica di archiviazione della segnalazione perché:

Nel caso in cui il servizio sia erogato esclusivamente ad un numero definito di partecipanti, e ove l’erogazione (o mancata erogazione) produce effetti immediati solo sulla singola persona che fa parte del gruppo definito, le PPAA possono consentire l’accesso ai servizi erogati in un sistema chiuso e diretti ad un gruppo specifico di persone, preventivamente identificate, con le credenziali appositamente rilasciate.

Infine, si ricorda che l’art. 2, co. 6 del C.A.D. dispone, tra l’altro, che “Le disposizioni del
presente Codice non si applicano limitatamente all’esercizio delle attività e funzioni di ordine e sicurezza pubblica, difesa e sicurezza nazionale, polizia giudiziaria e polizia economico-finanziaria e consultazioni elettorali, nonché alle comunicazioni di emergenza e di allerta in ambito di protezione civile”.


Sulla scorta di quanto sopra, non ravvisandosi violazioni del CAD o altre norme in materia di ICT, si è proceduto all’archiviazione della segnalazione.

Il CAD, pertanto, non si applica nei confronti degli strumenti con scopi di ordine e sicurezza pubblica, come il portale Alloggiati Web. In ogni caso, mi sarei comunque aspettato che il Difensore Civico Digitale, anche secondo le funzioni a lui assegnate, si preoccupasse di capire le motivazioni che hanno portato la Polizia di Stato a realizzare un sistema di autenticazione di questo tipo, a mio modestissimo parere inutilmente complesso.

Pur comprendendo la necessità di offrire un ulteriore layer di autenticazione, perché non utilizzare un sistema MFA basato su token TOTP, il cui standard è ormai ampiamente diffuso? Boh, mistero.

Questo articolo è stato visto 48 volte (Oggi 1 visite)

Hai imparato qualcosa di nuovo?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.