Era attesissimo da una parte cospicua dei cittadini, è online da poche ore e sta già attirando critiche: è il sito web dedicato al reddito di cittadinanza, creato dal Ministero del Lavoro e che però — dietro alla facciata frontale dedicata all'interazione con gli utenti — sembra nascondere un codice sorgente che poteva essere scritto meglio. La denuncia è partita da Matteo Flora, ricercatore informatico nel campo dell'analisi e della protezione dei dati che, a partire dalla messa online del portale, ne ha passato al setaccio il codice html — ovvero il linguaggio che spiega al browser degli utenti che si collegano cosa va visualizzato nella pagina, in quali proporzioni e con quali caratteri. La scoperta: all'interno del sito risiedono due errori che potrebbero far finire i dati dei cittadini che richiedono il sussidio dritti nelle mani di due multinazionali dell'hi tech: Google e Microsoft.

Le sviste — racconta Matteo Flora sul suo blog — sono grossolane ma potenzialmente gravi, e riguardano due stratagemmi utilizzati dagli sviluppatori per rendere più accattivante ed efficiente la piattaforma: il primo è l'utilizzo di una famiglia di caratteri tipografici che fa parte della libreria di Google; il secondo è lo sfruttamento di un'infrastruttura cloud di Microsoft, probabilmente utilizzata per includere all'interno delle pagine filmati caricati ad alta qualità e da distribuire in modo veloce. Chiamare in causa questi due sottosistemi all'interno di una propria pagina non è una pratica inusuale, ma ha delle conseguenze: concede cioè alle società in questione alcuni dati personali di chi naviga sul sito, come indirizzo IP, dispositivo utilizzato, sistema operativo e altre informazioni che potrebbero consentire di identificare chi naviga in modo univoco; il tutto avviene inoltre senza che nell'informativa sulla privacy ci sia alcuna traccia.

Il sospetto è che gli errori derivino da una scarsa conoscenza degli strumenti implementati all'interno del sito, ma il danno resta difficile da trascurare per due motivi: intanto perché le informazioni personali dei visitatori di un sito istituzionale (che si dovrebbe poter considerare sicuro per definizione) finiscono non a una, ma a due aziende che operano al di fuori dei confini europei; inoltre perché la messa online del portale era particolarmente attesa, e le sue pagine verranno prevedibilmente prese da assalto dai cittadini desiderosi di capire con precisione come funziona la macchina del reddito di cittadinanza. Resta improbabile che Google e Microsoft vogliano o vengano messi nelle condizioni di dover organizzare una banca dati strutturata con le informazioni raccolte, ma è ipotizzabile che gli sviluppatori del sito siano comunque al lavoro per correggere le sviste, o quantomeno per riportare la situazione aggiornata all'interno dell'informativa.