C’è qualcosa che non quadra nel bando Impresa Sicura. Anzi, più di qualcosa. Passi lo stanziamento di risorse infinitesimali (50 milioni di euro) se confrontate con la richiesta delle imprese (1,2 miliardi). Passi che su oltre 200 mila domande valide, solo 3150 permetteranno alle imprese di incassare il contributo. E passi persino che l’affidamento al click day sia per aziende che richiedono 500 euro che per quelle che ne chiedono 150 mila. Questi sono difetti, solari ma leciti perché scritti sul bando. Ma c’è un altro punto: sicuro che le regole siano state rispettate? Perché le istruzioni pubblicate da Invitali affermavano che “non è consentito utilizzare strumenti automatici di invio”. A giudicare dai tempi, sembra quantomeno improbabile che a spedire le domande siano stati degli umani.

Tutto in un millesimo

Scorrendo l’elenco delle imprese ammesse, si nota che l’ultima a ottenere il contributo ha presentato domanda l’11 maggio, un secondo e 46 millesimi dopo l’apertura. Un fulmine. Lentissima però in confronto alle prime della classe. Ci sono state 13 imprese capaci di inviare richiesta in meno di un centesimo. Per capirci: a Usain Bolt avrebbero assegnato una falsa partenza con tempo di reazione dieci volte maggiore, perché (per convenzione) si ritiene impossibile che un umano possa reagire così in fretta dopo aver sentitolo lo sparo. Se ti muovi prima, ti squalificano perché hai tentato di anticipare in modo irregolare. Nel bando Impresa Sicura, invece, ti premiano. Le aziende da podio hanno infatti dimostrato dita olimpioniche: le prime tre sono riuscite a inviare la richiesta di rimborso in meno di un millesimo di secondo. Tempi inumani.

Captcha ci cova

In un tempo da flash stroboscopico, le aziende sono riuscite a compilare tre campi (più uno): come da bando, serviva infatti inserire due codici fiscali (quello dell’impresa e quello del suo legale rappresentante) e la cifra da rimborsare. Fatto questo, c’era la necessità di cliccare su un captcha: all’utente è stato chiesto di spuntare una casella per assicurare che davanti al pc ci fosse una persona e non un bot. Ecco, appunto. Basta già il buonsenso per capire che nessun umano sia in grado di compilare tre campi e mettere una spunta in un millesimo (il primo della lista, per l’esattezza, ci è riuscito in un quarto di millisecondo). Vero: ci sono dei sistemi di pre-compilazione. Ed è possibile che qualcuno abbia sfruttato il passaggio poco chiaro tra una pagina di test (disponibile nei giorni precedenti) e quella definitiva (disponibile dalle ore 9 dell’11 maggio con lo stesso indirizzo). Gli invii effettuati prima del via ufficiale “non saranno ricevuti”, spiegava Invitalia. Ma il trasloco dalla nuova alla vecchia pagina non obbligava a un aggiornamento (raccomandato solo “nel caso in cui venga visualizzata ancora la pagina di prova”), anche perché la compilazione non passa necessariamente dal browser. Ma anche a voler cercare possibili spiegazioni, resta praticamente impossibile fare tutto in un millesimo. C’è di mezzo, oltre alla compilazione, un qualsiasi tempo di elaborazione (richiesto anche da un bot) e la latenza di un network (cioè l’intervallo tra l’invio e la ricezione di un input). Manca, se non altro, il tempo tecnico perché il captcha compia una verifica. Chiunque ne abbia incontrato uno sa che tra la spunta e la convalida passano (quantomeno) alcuni decimi (se non un paio di secondi). Il suo funzionamento, in questo caso, non è secondario, perché risulta essere l’unico argine a quei sistemi di automazione vietati da Impresa sicura.

Impresa Sicura ha premiato i furbi?

E pensare che Invitalia, l’11 maggio ha persino pubblicato una nota in cui notava con entusiasmo l’arrivo di 59.025 nel giro di un minuto e sottolineava come “la piattaforma progettata per la presentazione delle domande, nonostante lo straordinario afflusso di utenti, non ha presentato alcun genere di disservizio”. Senza chiedersi se i sistemi di sicurezza studiati stessero assicurando il rispetto delle regole. Esperti informatici interrogati da Focusicilia danno praticamente per certo l’utilizzo di bot. Software che, probabilmente, hanno bombardato di invii il sistema in un intervallo tra pochi secondi prima e pochi secondi dopo le 9 dell’11 maggio. Tradotto: se la procedura fosse iniziata all’ora di apertura, un quarto di millesimo sarebbe stato un tempo troppo piccolo persino per un bot. La procedura automatica sarebbe quindi partita poco prima per concludersi nei tempi (si fa per dire) in regola. Non si tratta quindi di aver privilegiato le aziende più pronte e rapide. Né di aver favorito quelle dotate di un pc o di una connessione più efficienti. Questa sarebbe stata la solita, inevitabile, distorsione tipica di ogni click day. Il problema è un altro: visto il divieto di bot, l’esiguità delle risorse, la quantità delle domande e i tempi di reazione degli ammessi, c’è i rischio che siano stati premiati i furbi.