Als set anys de retard que acumula el projecte de la T-Mobilitat i al fracàs de la prova pilot del Mobile World Congress -que en comptes de fer-se amb els 35.000 congressistes es va limitar a 4.000 voluntaris- s’hi suma un greu error de seguretat a la web que ha obligat l’Autoritat del Transport Metropolità (ATM) a tancar-la temporalment només tres dies després d’estrenar-la, el 4 d’octubre passat.
Un expert en software va descobrir l’error en registrar-se a la web per participar en la prova pilot, i va explicar a través de Twitter com va accedir, sense utilitzar tècniques avançades de hackeig i des de la pàgina d’inici de sessió, a una pantalla on va poder provar els diversos usuaris possibles i identificar-se com a administrador amb “l’usuari més cutre”. Segons la piulada, això li permetia canviar tot el contingut de la web, afegir i esborrar persones registrades i, fins i tot, accedir a una llista que contenia les dades personals -DNI, domicili, telèfon i correu electrònic- de més de 2.000 usuaris.
L’ATM va resoldre el problema de seguretat en unes dues hores, i va recordar, a través de Twitter, que la web es trobava “en etapa de proves”. De fet, va tractar de treure-li importància als fets: “L’errada ha permès durant temps limitat l’accés a dades no sensibles”. Aquestes dades a les quals es refereix, però, no són el mateix que les dades personals que preocupen els usuaris, sinó que, segons el Reglament General de Protecció de Dades de la UE, les dades sensibles són dades personals que revelen, “l’origen racial o ètnic, les opinions polítiques, les conviccions religioses o filosòfiques, l’afiliació sindical, dades genètiques, dades biomètriques tractades únicament per identificar un ésser humà, dades relatives a la salut i dades relatives a la vida sexual o orientació sexual d’una persona”. Una mena d’informació que no es va revelar perquè, precisament, l’ATM no recull dades sensibles dels usuaris que s’inscriuen a la prova pilot de la T-Mobilitat, sinó informació com l’adreça del domicili, el nom complet de la persona i el telèfon i correu de contacte.
El consorci va titllar l’error de “descuit” i va afirmar que obriria “un expedient informatiu a l’empresa responsable d’aquest desenvolupament web”. És a dir, a Indra, una de les companyies que forma part de Soc Mobilitat, l’empresa adjudicatària del projecte, formada també per Caixabank, Fujitsu i Marfina (Grup Moventia). La correcció de l’error, però, no ha pogut evitar que finalment es tanqui la web “temporalment” per tal de, segons l’ATM, realitzar juntament amb l’Agència de Ciberseguretat “una anàlisi exhaustiva per descartar qualsevol altra vulnerabilitat no detectada”.
LA WEB TAMPOC COMPLIA LA POLÍTICA DE ‘COOKIES’
Al forat de seguretat se sumen, a més, les queixes de diversos usuaris sobre l’incompliment de la política de cookies de la UE. Segons han explicat a les xarxes socials, la pàgina no permetia rebutjar les cookies no tècniques abans d’instal·lar-les -com exigeix la normativa- i, tal com han comprovat mitjançant un web que les detecta i analitza el consentiment, la web no compleix amb la llei de la UE.
Crida l’atenció que, des del 2014 que es va posar en marxa el projecte, i amb els més de 100 milions invertits, la web només hagi estat tres dies operativa a causa dels nombrosos errors que s’han detectat. L’ATM s’ha espolsat responsabilitats assenyalant, en paraules del director del Metro de Barcelona, Ramon Bacardí, que és “un producte que t’acaben entregant” i que els va “passar per alt una cosa”. Això vol dir que el consorci rep “un producte” i no el revisa?
MÉS DE 100 MILIONS ENTERRATS, DE MOMENT
Els problemes de la T-Mobilitat no són res nou. El projecte ja porta set anys de retard: segons el primer contracte, que van signar l’ATM i Soc Mobilitat el 24 d’octubre del 2014, les proves pilot haurien d’haver acabat el 2015, i la nova targeta hauria d’estar desplegada a tot Catalunya des del 2017. La realitat, però, és que encara no han acabat les proves pilot, les màquines validadores segueixen sense funcionar correctament en els autobusos, i la web -acabada d’estrenar- tampoc està preparada per al seu ús en no garantir la protecció de les dades personals.
I no és per manca de recursos econòmics: el primer contracte contemplava una inversió de 70.352.716,70 euros; en el segon (març del 2017) l’ATM va pagar a Soc Mobilitat 24 milions d’euros (més IVA) per modificar-lo i pels endarreriments imputables a l’administració; i en el darrer (febrer del 2020) l’administració va destinar gairebé 12 milions més a qüestions tècniques, alhora que va suspendre les penalitzacions pels retards a l’empresa adjudicatària per valor de 14 milions d’euros.
