Sicurezza Informatica DevOps API REST High Availability

Anatomia di un Click Day: un "dietro le quinte tecnologico" basato sull'esperienza del "Bonus Vesta"

Anatomia di un Click Day: un "dietro le quinte tecnologico" basato sull'esperienza del "Bonus Vesta"

Chiunque abbia partecipato a un "click day" conosce bene quella miscela di ansia e trepidazione che precede l'ora X. Le dita pronte sulla tastiera, gli occhi fissi sul countdown, la speranza di essere abbastanza veloci da rientrare in una graduatoria limitata. È una corsa contro il tempo, una gara di velocità digitale che si consuma in una manciata di secondi. Il "Bonus Vesta" della Regione Piemonte non ha fatto eccezione, radunando migliaia di cittadini di fronte ai loro schermi in attesa dello scoccare della mezzanotte.

Eppure, al di là della frenesia dell'utente, si nasconde un'architettura tecnologica complessa e invisibile, un'orchestrazione meticolosa progettata per un unico scopo: non crollare. Impedire che l'assalto simultaneo di migliaia di richieste trasformi il portale in un vicolo cieco digitale, restituendo il temuto messaggio "Server non raggiungibile".

Tengo a sottolineare: in questo articolo non voglio parlare di questioni politiche o economiche, bensì, voglio analizzare dal punto di vista strettamente tecnico una questione non banale: come fa un sistema a reggere il carico di migliaia di richieste simultanee senza crollare? Come si struttura un'infrastruttura tecnologica per garantire che ogni click venga registrato correttamente, senza intoppi o errori?

Questo articolo è una retrospettiva, un'analisi di ciò che è accaduto nel dietro le quinte del click day del Bonus Vesta. Partendo da un'esperienza reale e dai dati di navigazione (file HAR), smonteremo pezzo per pezzo il processo, svelando le strategie e le tecnologie che hanno permesso di gestire l'ondata d'urto. Scopriremo che quello che appare come un semplice click è in realtà il primo passo di un viaggio controllato attraverso server, sale d'attesa virtuali e sistemi di sicurezza, un balletto digitale dove ogni mossa è calcolata per garantire stabilità, equità e successo.

A questa pagina è presente una analisi molto più tecnica di questo articolo, sempre da me redatta: Analisi Architetturale di un Evento "Click Day": Deconstructing del Caso Studio "Bonus Vesta"

Nota: molte informazioni tecniche qui riportate sono frutto di analisi personali e non rappresentano necessariamente la configurazione esatta utilizzata dal sistema del Bonus Vesta. Tuttavia, si basano su pratiche comuni e tecnologie ampiamente adottate in scenari simili.

Capitolo 1: Il Momento Zero - Il "Click sul bottone"

Sono le 23:59 di una sera qualunque. Migliaia di browser sono sintonizzati sulla stessa pagina: vestapiemonte.it. Un timer automatico annuncia entro quanti minuti e secondi il bottone per avviare la richiesta sarà attivo. L'istinto di molti è quello di aggiornare la pagina compulsivamente (F5, Cmd+R), sperando di "cogliere l'attimo". Ma chi lo ha fatto, probabilmente, ha perso tempo prezioso.

Allo scoccare esatto delle 00:01, come preannunciato, un bottone con la scritta "Richiedi" è apparso. Nessun ricaricamento della pagina, nessuna attesa. Questo piccolo "miracolo" di usabilità non è magia, ma il risultato di una tecnologia precisa e onnipresente nel web moderno. Il responsabile ha un nome: JavaScript e, più specificamente, le tecniche di comunicazione asincrona come AJAX.

Invece di costringere l'intero browser a ricaricare da capo la pagina (un'operazione lenta e dispendiosa), uno script, già presente e attivo, era in attesa. Questo script può essere programmato per eseguire azioni in un momento preciso o in risposta a un segnale dal server. In questo caso, è molto probabile che lo script avesse un timer interno sincronizzato con l'orologio del server. Allo scoccare dell'ora X, ha semplicemente eseguito l'istruzione di rendere visibile il bottone, che era già presente nel codice della pagina ma nascosto. Un'operazione istantanea, leggera ed efficiente, che ha garantito a tutti i partecipanti lo stesso, identico punto di partenza.

Approfondimento Tecnico: JavaScript e AJAX

Immaginate di essere in un ristorante. In un modello web tradizionale (senza AJAX), per ogni piccola richiesta (un po' di pane, il conto) dovreste alzarvi, andare in cucina, fare la richiesta, aspettare e tornare al tavolo con la risposta. L'intera esperienza si interromperebbe ogni volta.

AJAX (Asynchronous JavaScript and XML) agisce come un cameriere discreto. Voi rimanete seduti al vostro tavolo (la pagina non si ricarica), mentre il cameriere (lo script JavaScript) va in cucina (il server) per voi, prende ciò che serve (i dati) e ve lo porta senza interrompere la vostra conversazione.

Questa tecnica permette alle pagine web di aggiornare solo piccole porzioni del loro contenuto in modo dinamico. Caricare nuovi post in un social network, visualizzare suggerimenti di ricerca mentre si digita, o, come nel nostro caso, far apparire un bottone al momento giusto, sono tutte azioni rese possibili da questa comunicazione "asincrona".

Fonte: Mozilla Developer Network (MDN)

Capitolo 2: Dopo il primo click - L'ingresso nella Waiting Room

Il bottone è apparso. Click. Cosa si aspetta l'utente? Di atterrare immediatamente sul modulo per inserire i propri dati. E invece no. Il browser viene reindirizzato a un nuovo indirizzo: attesa.vestapiemonte.it. La pagina è diversa. Mostra un messaggio di cortesia, il logo della Regione e, soprattutto, due informazioni cruciali: "Sei in coda" e un numero che, per molti, superava le migliaia.

Questa deviazione non è un errore, ma la prima linea di difesa dell'infrastruttura. È l'equivalente digitale del buttafuori all'ingresso di un locale affollato. Invece di far entrare tutti contemporaneamente, creando un caos ingestibile che manderebbe in tilt il sistema, si crea una fila ordinata all'esterno.

Il problema che si vuole risolvere è quello del sovraccarico del server applicativo. Il server che deve gestire la logica della domanda (raccogliere dati, validarli, salvarli in un database) è una macchina complessa e delicata. Se diecimila persone provassero a compilare il modulo contemporaneamente, il server dovrebbe gestire decine di migliaia di operazioni al secondo, saturando le sue risorse (CPU, RAM, connessioni al database) e, molto probabilmente, smettendo di rispondere a chiunque.

La soluzione è creare una "sala d'attesa virtuale" (Virtual Waiting Room). Questo sistema, come vedremo, è progettato per fare una sola cosa, ma la fa eccezionalmente bene: assorbire un'enorme quantità di richieste e metterle in fila. Solo quando il server applicativo principale è pronto a processare un nuovo utente, la sala d'attesa ne fa passare uno. Ho analizzato in modo estensivo questa pecoliarità in un articolo dedicato: Ingress & Offloading - Il pattern della Virtual Waiting Room (VWR)

Nel caso del Bonus Vesta, l'analisi delle richieste di rete rivela che la Regione Piemonte si è affidata a Queue-it, un fornitore leader mondiale di questo tipo di servizi. La scelta di esternalizzare questa componente è strategica: invece di costruire e mantenere un'infrastruttura di accodamento proprietaria, si affida a un partner la cui unica missione è gestire code virtuali su scala globale, garantendo affidabilità e performance testate in innumerevoli eventi di massa.

Capitolo 3: dentro la coda - Anatomia di un'attesa controllata

  1. L'Identificativo Univoco: Al primo accesso alla sala d'attesa, ci viene assegnato un identificativo univoco, una sorta di "numero elimina-code" digitale. Questo ID è visibile nell'URL e viene memorizzato dal browser. Sarà il nostro riferimento per tutta la durata dell'attesa.
  2. Il Dialogo via API: La pagina di attesa contiene uno script JavaScript (scaricato dai server di Queue-it) che, a intervalli regolari (es. ogni 20 secondi), contatta un indirizzo specifico (un'API) sui server di Queue-it. La domanda che pone è semplice: "Qual è lo stato dell'utente con questo identificativo?".
  3. La Risposta in JSON: Il server di Queue-it riceve la richiesta, controlla lo stato della coda per quell'utente e risponde con un piccolo pacchetto di dati in un formato standard chiamato JSON. Questo pacchetto contiene tutte le informazioni necessarie per aggiornare la pagina: il nostro nuovo numero in coda, il tempo di attesa ricalcolato e, soprattutto, un'informazione fondamentale: se è arrivato o meno il nostro turno.

Questo meccanismo di "polling" (interrogazione periodica) è estremamente efficiente. Evita di mantenere una connessione permanentemente aperta per ogni utente in attesa (una soluzione che sarebbe insostenibile con migliaia di persone), preferendo un modello di "chiamata e risposta" a basso impatto. Ho analizzato in modo estensivo questa pecoliarità in un articolo dedicato: Ingress & Offloading - Il pattern della Virtual Waiting Room (VWR)

Approfondimento Tecnico: API e JSON, il linguaggio universale delle macchine

Un'API (Application Programming Interface) è un insieme di regole e strumenti che permette a diverse applicazioni software di comunicare tra loro. È come il menù di un ristorante: definisce quali piatti (dati o funzionalità) sono disponibili e come ordinarli (come formulare la richiesta). Nel nostro caso, il browser usa l'API di Queue-it per "ordinare" un aggiornamento di stato.

JSON (JavaScript Object Notation) è il formato in cui vengono serviti questi "piatti". È un modo leggero e leggibile per strutturare i dati, basato su coppie di "chiave" e "valore". Una tipica risposta JSON dal server di Queue-it potrebbe assomigliare a questo:

JSON

{
  "queueNumber": 2987,
  "estimatedWaitTimeMinutes": 15,
  "isMyTurn": false,
  "redirectUrl": null
}

Questo formato è facilmente interpretabile sia dagli esseri umani che, soprattutto, dal codice JavaScript in esecuzione nel browser, che userà questi dati per aggiornare i numeri visualizzati sulla pagina.

_Fonte: Wikipedia: What is JSON

Capitolo 4: Luce Verde - Redirect verso la pagina di richiesta

Dopo un'attesa più o meno lunga, arriva il momento cruciale. Durante una delle periodiche chiamate API, la risposta JSON dal server di Queue-it cambia. Il valore isMyTurn diventa true e il campo redirectUrl non è più nullo, ma contiene l'indirizzo del portale dove compilare la domanda.

A questo punto, lo script sulla pagina esegue l'ultima sua funzione: reindirizza automaticamente il browser all'URL di destinazione. Ma non è un semplice reindirizzamento. L'URL finale (https://vesta.vestapiemonte.it/vesta/) viene "decorato" con una serie di parametri speciali, tutti con il prefisso qit (es. qitq, qitp, qith).

Questo non è un dettaglio trascurabile, è il meccanismo di sicurezza che lega la sala d'attesa all'applicazione vera e propria. Questi parametri compongono un token di passaggio, una sorta di passaporto digitale monouso e a tempo.

  • qit token: Contiene informazioni sulla nostra sessione nella coda.
  • qith (hash): È una firma digitale calcolata sulla base degli altri parametri e di una "chiave segreta" nota solo ai server di Queue-it e al server della Regione.

Quando il nostro browser arriva al server vesta.vestapiemonte.it con questo URL, il server non ci fa entrare subito. Prima esegue un controllo: verifica che il token sia valido e che la firma digitale (qith) sia corretta. Questo garantisce due cose fondamentali:

  1. Equità: Solo chi ha effettivamente fatto la coda e ricevuto un token valido può accedere. Impedisce a utenti "furbi" di tentare di accedere direttamente all'URL dell'applicazione, saltando la fila.
  2. Controllo del Carico: Il server applicativo sa che ogni utente che arriva con un token valido è un utente "autorizzato" dal sistema di coda, e che il flusso in ingresso è regolato e sostenibile.

Una volta superato questo controllo, la porta si apre e l'utente può finalmente procedere con la compilazione della domanda.

Capitolo 5: Le fondamenta invisibili: DNS e bilanciamento del carico

Durante tutta questa operazione, l'utente interagisce con nomi di dominio come vestapiemonte.it. Ma dietro questi nomi si nasconde l'infrastruttura fisica del CSI Piemonte. Un'analisi DNS sui domini coinvolti rivela che essi non puntano a un singolo server, ma a un gruppo di indirizzi IP (es. 84.240.178.132, 84.240.178.144, 84.240.178.150).

Questa è un'altra best practice cruciale per la gestione di alti volumi di traffico: il bilanciamento del carico (Load Balancing).

Nella fattispecie, una richiesta DNS per un qualsiasi host example.com che risponda con più indirizzi IP sta utilizzando una tecnica chiamata Round Robin DNS. Quando il browser del client chiede l'indirizzo IP di vestapiemonte.it, il server DNS risponde con uno degli indirizzi disponibili, distribuendo così le richieste tra più server. Fonte: Wikipedia - Round-robin DNS

Invece di avere un unico, potentissimo server che gestisce tutto (un "single point of failure"), si utilizza una flotta di server più piccoli. Un dispositivo o un software, chiamato "load balancer", si pone di fronte a questi server e agisce come un vigile urbano del traffico digitale. Quando arriva una nuova richiesta, il bilanciatore la smista al server che in quel momento è meno occupato.

Questo approccio offre enormi vantaggi:

  • Scalabilità: Se il traffico aumenta, si possono aggiungere nuovi server alla flotta senza interrompere il servizio.
  • Affidabilità: Se uno dei server si guasta, il bilanciatore smette semplicemente di inviargli traffico e lo dirotta sugli altri, garantendo la continuità del servizio.
  • Performance: Distribuendo il carico, si riducono i tempi di risposta e si migliora l'esperienza utente.

Approfondimento Tecnico: DNS e Load Balancing

Il DNS (Domain Name System) è spesso definito la "rubrica telefonica di Internet". Quando scriviamo www.google.it nel browser, il sistema DNS ha il compito di tradurre quel nome, facile da ricordare per noi, nell'indirizzo IP numerico del server di Google (es. 142.250.184.99), che è il linguaggio che le macchine usano per trovarsi.

Un Load Balancer è, come detto, un "vigile del traffico". L'indirizzo IP a cui il DNS ci indirizza potrebbe non essere quello del server finale, ma quello del bilanciatore. Sarà poi lui a decidere a quale dei tanti server disponibili inoltrare la nostra specifica richiesta, basandosi su algoritmi che tengono conto del carico di lavoro di ciascuno. È come entrare in un grande ufficio postale con tanti sportelli: invece di scegliere a caso, un addetto all'ingresso ci indirizza allo sportello più libero.

Fonte: Wikipedia - Domain Name System, Wikipedia - Bilanciamento del carico

Capitolo 6: Il sigillo finale - Autenticazione via SPID

Superata la coda e ottenuto l'accesso, c'è un ultimo passo prima di poter inserire i dati: dimostrare chi siamo. Qui entra in gioco lo SPID (Sistema Pubblico di Identità Digitale). L'analisi del flusso di rete mostra che l'utente viene reindirizzato al portale di identità digitale della Regione, dove effettua l'accesso con le proprie credenziali.

Questo processo utilizza un protocollo standard e sicuro chiamato SAML (Security Assertion Markup Language). In parole semplici, il sito vestapiemonte.it ("Service Provider") non gestisce direttamente la nostra password. Si fida di un'entità esterna, l' "Identity Provider" (il gestore SPID), per confermare la nostra identità. Una volta autenticati con successo, l'Identity Provider ci rimanda al sito originale con un "gettone" crittografato (l'asserzione SAML) che dice: "Sì, confermo che questa persona è Mario Rossi, nato il gg/mm/aaaa, codice fiscale X".

Questo passaggio è fondamentale per la sicurezza e la validità legale della richiesta, ma è tecnicamente separato dalla gestione del traffico. La coda gestisce il "quanti", lo SPID gestisce il "chi".

Capitolo 7: Una riflessione sulla invisibile Ingegneria del Software

L'analisi del click day per il "Bonus Vesta" rivela un'architettura robusta, moderna e ben pianificata, che ha trasformato un potenziale disservizio in un'esperienza utente gestita e trasparente. Le lezioni chiave sono chiare:

  1. Non combattere il picco, gestiscilo: Invece di costruire un'infrastruttura sovradimensionata per reggere un picco di traffico che dura pochi minuti, è più saggio ed economico creare un sistema di "imbutitura" controllata.
  2. Affidarsi a specialisti: L'utilizzo di un servizio leader come Queue-it per la sala d'attesa virtuale ha demandato la parte più critica e a rischio a chi ha l'esperienza e l'infrastruttura per gestirla su scala globale.
  3. Separare le responsabilità: L'architettura ha separato nettamente i compiti: un sistema per l'accodamento (Queue-it), un'infrastruttura robusta e bilanciata per l'erogazione del servizio (CSI Piemonte) e un sistema standard per l'autenticazione (SPID).
  4. La sicurezza come fondamenta: L'uso di token e firme digitali ha garantito l'equità del processo, impedendo di "saltare la coda" e assicurando che solo gli utenti legittimi potessero accedere all'applicazione.

Quella che abbiamo vissuto non è stata solo una corsa al bonus, ma una dimostrazione di come una Pubblica Amministrazione possa sfruttare le migliori tecnologie disponibili per offrire servizi digitali efficienti, resilienti e, in ultima analisi, più equi per tutti i cittadini. Un esempio di come l'ingegneria invisibile del software possa avere un impatto diretto e positivo sulla vita di tutti i giorni.

Raccomando ai lettori che sono arrivati fino a questo punto di approfondire con l'articolo Analisi architetturale di un evento "Click Day": deconstructing del caso studio "Bonus Vesta".

Disclaimer

Questo articolo si basa su dati empirici raccolti (tramite l'ispezione di file di log di rete in formato HAR e test diretti del flusso utente) durante l'evento "Click Day" per il "Bonus Vesta" della Regione Piemonte. Le conclusioni relative all'architettura interna, alle tecnologie specifiche del backend e alle decisioni strategiche sono da intendersi come inferenze ponderate basate su pattern standard di mercato e sulle evidenze raccolte. Non si ha accesso diretto al design document o all'infrastruttura reale del sistema. Lo scrivente ha utilizzato il sistema in prima persona, in quanto cittadino avente diritto al bonus, e ha effettuato un'analisi tecnica post-evento. Si ringraziano gli sviluppatori e gli architetti del sistema per aver realizzato un'infrastruttura robusta e resiliente, che ha permesso di evitare disservizi durante un evento critico. Lo scrivente non ha alcun legame professionale con le parti coinvolte.

Ultima modifica: