Nuova tempesta su Rousseau, l’Authority multa Casaleggio: “Voto manipolabile e insicuro”

Share

La piattaforma Rousseau di Davide Casaleggio – leader de facto del Movimento – «non gode delle proprietà richieste a un sistema di evoting», e non dà le adeguate garanzie «che prevedono la protezione delle schede elettroniche e l’anonimato dei votanti in tutte le fasi del procedimento elettorale elettronico». Insomma, per l’Authority italiana per i dati, il voto è manipolabile. La piattaforma – tanto decantata da Casaleggio come «il futuro della democrazia diretta», qualcosa che lui vorrebbe esportare in tutto il mondo – non garantisce né sicurezza, né segretezza, come aveva anticipato Il Foglio. La multa è di 50mila euro, blanda vista la gravità dei rilievi mossi – ma è una scelta comprensibile del Garante, per evitare una lettura politicizzata della sentenza. Queste infrazioni sono particolarmente gravi in Europa dopo l’approvazione del nuovo regolamento sui dati, il GDPR, che in linea teorica renderebbe possibili sanzioni fino a 20 milioni (a quel punto a Casaleggio non basterebbero i soldi rimessi dai parlamentari M5S all’Associazione Rousseau). A giugno il mandato di questa Authority scade, e questa poltrona finirà nel tritacarne delle nomine Lega-M5S.

Cosa è successo proviamolo a spiegare così. Nell’estate 2018 (a settembre) per la seconda volta in due anni la piattaforma è stata violata da un hacker, “Rogue_O”, che è entrato con privilegi di amministratore dentro i database, esponendo una serie di voti associati a delle mail (anche di celebri star grilline, da Di Maio a Di Battista e Raggi). La nuova violazione ha fatto partire una nuova indagine del Garante (che già aveva multato sia Grillo sia Davide Casaleggio, con 32mila euro ciascuno, l’anno prima). Casaleggio, due giorni prima che la sanzione venisse resa pubblica, il 2 aprile, ha giocato d’anticipo firmando sul blog del Movimento un post in cui diceva: «Sul fronte privacy, abbiamo fatto tesoro delle osservazioni che il Garante aveva mosso in passato e siamo anche andati oltre, per garantire un alto standard di tutela per tutti gli iscritti». L’Authority però lo ha clamorosamente smentito, ieri. È stato sistemato, diciamo così, il perimetro esterno della piattaforma, «ma dentro – ci dicono fonti che hanno partecipato all’ispezione – è rimasto tutto com’era».

Proviamo a elencare le falle più marchiane e pericolose. Uno. Dotati di password unica (in mano a diverse persone), gli amministratori potevano entrare nella piattaforma con privilegi “XX”, cioè senza lasciare assolutamente traccia nel sistema di log in (autenticazione). In questo modo potenzialmente si può manipolare qualsiasi cosa. Due. Al punto 2.2 del provvedimento, l’Authority ha scoperto (cosa gravissima) che, «presso la sede Wind di Siziano, è stato constatato che la tabella di database contenente le informazioni relative alle operazioni di e-voting effettuate nelle settimane e mesi precedenti l’accertamento ispettivo “non contiene [più] il numero di cellulare del soggetto votante”», ma che «la medesima tabella “contiene un ID utente [che] permette indirettamente di risalire [al] soggetto votante”». Traduco: si possono tracciare le identità di votanti e, cosa ancora peggiore, i dati sono stati già passati a una terza parte: l’azienda Wind (oggi in mano ai cinesi di Hutchison). Tre. È impossibile parlare di «certificazione». Il notaio (lasciamo stare il fatto che il notaio sia Valerio Tacchini, ex candidato M5S, professionista di fiducia di Casaleggio) è solo un’operazione ex post, che dal punto di vista forense non è effettiva.

Proprio ieri mattina, coincidenza, Casaleggio era andato in Procura a denunciare dei casi di presunta clonazione di alcuni profili di iscritti a Rousseau. Secondo Enrica Sabatini, la cosa «dimostra che il nostro sistema ha funzionato». Se lo dicono loro.

Jacopo Iacoboni, La Stampa

Share
Share