Busta password

Prima dell’estate mi collego al servizio di Corporate Banking di “banca Pippo”, inserendo la mia userid e pwd; subito dopo l’accesso mi viene richiesto di rinnovare la pwd, operazione obbligatoria ogni “tot” di tempo, per garantire un accesso più sicuro. Manca poco alle vacanze, “rimescolo” i miei caratteri, numeri e simboli di riferimento, et voilà, password rinnovata. Le vacanze finiscono, abbandono la dolce melodia della risacca per il meno affascinante tip-tap delle dita sula tastiera. Rieccomi davanti al computer a ricollegarmi al sito di Corporate Banking e la sequenza “rimescolata” prima delle vacanze mi sfugge, cullato dal lontano rumore della risacca mi sembra di ricordarla, ma non ce la faccio, esaurisco i miei “n” tentativi per provare ad inserirla correttamente. Il messaggio che mi comapre mi suggerisce il da farsi: “Questa utenza è stata bloccata per aver esaurito il numero dei tentativi previsti per l’accesso al servizio. E’ necessario rivolgersi alla propria banca per ottenere una nuova password”.

Con un po’ di smarrimento, e un velo di sconforto, la mia “propria banca” mi consiglia di rivolgermi al call-center di turno, con cui scambio alcune e rapide battute, intimorito dal costo massimo di “48 centesimi al minuto” …, ma dal cellulare. Mi viene indicata la procedura per recuperare la password:”deve scaricare dal sito del corporate banking (a cui non posso accedere, ndr.) il modulo da compilare ed inviare alla sua banca (via fax, presumo) per farsi rilasciare la nuova pwd”. La solerte Cinzia, all’altro capo del telefono, si avvede del loop di processo e non potendomi inviare per mail il modulo suggerisce: “contatto io la sua banca”.

Dopo un paio d’ore, fugati smarrimento e veli di sconforto, la mia “propria banca” mi chiama dicendomi: “la sua busta password è qui, quando vuole può passare a prenderla”. Mi reco in filiale a prendere la busta password e il funzionario mi avverte: “sarà attiva da domani mattina”. L’indomani mi collego, inserisco la nuova password e il segnale è inequivocabile: utenza bloccata. Richiamo il call center, senza passare dalla banca, e mi viene consigliato di attendere fino al primo pomeriggio per ritentare l’accesso, e in caso di persistenza del blocco, ricontattare la banca. Due giorni di prove, telefonate e promesse di sollecito, alla fine, all’alba del quarto giorno … Gandalf si lancia contro il muro di picche degli Uruk-hai, accecati dalla luce del sole … … e la password finalmente funziona e l’utenza si sblocca.

La vicenda mi ha ricordato ambientazioni da primi dell’ottocento, allorquando i messi papali, latori di missive timbrate e sigillate, con tanto di cera lacca e sigilli papali, dopo giorni di viaggio, consegnavano il plico, la “busta”.

L’episodio ci suggerisce la seguente domanda: “perchè la maggior parte delle banche, ma non solo loro, non sono in grado di coniugare usabilità con sicurezza?”

“IT favoring technology at the expense of usability?”

Forse perchè gli IT manager/architect, messi di fronte a vincoli di progetto, come budget limitati e la necessità di integrare i sistemi legacy, spesso si “dimenticano” di affrontare il tema usabilità secondo la prospettiva dell’utente finale? Perchè una medievale procedura di consegna “brevi manu”, previo invio via fax di modulo debitamente compilato e firmato, viene ritenuta più sicura di una risorgimentale (post-moderna?) procedura di strong authentication?

Una catena è forte quanto il suo anello più debole.

Le password sono anelli deboli!

Allora perchè spendiamo così tanto tempo e risorse appresso alla tutela delle password? Perchè la tanto decantata office automation degli anni 80 è stata declinata in rete come “complicazioni affari insicuri”?

Quando assisteremo ad un risorgimento informatico, che non sia figlio di bachi millenari?

.