Cosa è successo proviamolo a spiegare così. Nell’estate 2018 (a settembre) per la seconda volta in due anni la piattaforma è stata violata da un hacker, “Rogue_O”, che è entrato con privilegi di amministratore dentro i database, esponendo una serie di voti associati a delle mail (anche di celebri star grilline, da Di Maio a Di Battista e Raggi). La nuova violazione ha fatto partire una nuova indagine del Garante (che già aveva multato sia Grillo sia Davide Casaleggio, con 32mila euro ciascuno, l’anno prima). Casaleggio, due giorni prima che la sanzione venisse resa pubblica, il 2 aprile, ha giocato d’anticipo firmando sul blog del Movimento un post in cui diceva: «Sul fronte privacy, abbiamo fatto tesoro delle osservazioni che il Garante aveva mosso in passato e siamo anche andati oltre, per garantire un alto standard di tutela per tutti gli iscritti». L’Authority però lo ha clamorosamente smentito, ieri. È stato sistemato, diciamo così, il perimetro esterno della piattaforma, «ma dentro – ci dicono fonti che hanno partecipato all’ispezione – è rimasto tutto com’era».
Proviamo a elencare le falle più marchiane e pericolose. Uno. Dotati di password unica (in mano a diverse persone), gli amministratori potevano entrare nella piattaforma con privilegi “XX”, cioè senza lasciare assolutamente traccia nel sistema di log in (autenticazione). In questo modo potenzialmente si può manipolare qualsiasi cosa. Due. Al punto 2.2 del provvedimento, l’Authority ha scoperto (cosa gravissima) che, «presso la sede Wind di Siziano, è stato constatato che la tabella di database contenente le informazioni relative alle operazioni di e-voting effettuate nelle settimane e mesi precedenti l’accertamento ispettivo “non contiene [più] il numero di cellulare del soggetto votante”», ma che «la medesima tabella “contiene un ID utente [che] permette indirettamente di risalire [al] soggetto votante”». Traduco: si possono tracciare le identità di votanti e, cosa ancora peggiore, i dati sono stati già passati a una terza parte: l’azienda Wind (oggi in mano ai cinesi di Hutchison). Tre. È impossibile parlare di «certificazione». Il notaio (lasciamo stare il fatto che il notaio sia Valerio Tacchini, ex candidato M5S, professionista di fiducia di Casaleggio) è solo un’operazione ex post, che dal punto di vista forense non è effettiva.
Proprio ieri mattina, coincidenza, Casaleggio era andato in Procura a denunciare dei casi di presunta clonazione di alcuni profili di iscritti a Rousseau. Secondo Enrica Sabatini, la cosa «dimostra che il nostro sistema ha funzionato». Se lo dicono loro.
Jacopo Iacoboni, La Stampa