M5S, dal Garante della privacy 50.000 euro di multa a Rousseau: "Voto manipolabile". La replica: "Rilievi già recepiti". Per l'Authority l'associazione presieduta da Casaleggio non garantisce la segretezza e la sicurezza del voto degli iscritti. La socia Enrica Sabatini: "L'infrastruttura tecnologica è stata potenziata" Credit Giovanna Vitale - repubblica.it
Davide Casaleggio durante l'inaugurazione di Rousseau City Lab
"La piattaforma Rousseau non gode delle proprietà richieste a un sistema di e-voting". In parole povere: non garantisce né la segretezza né la sicurezza del voto degli iscritti ai 5Stelle, il cui risultato può essere manipolato - senza lasciare traccia - dagli amministratori del sistema, in ogni fase del procedimento elettorale.
È l'esito dell'attività ispettiva svolta dal Garante della Privacy che, al termine di una istruttoria in più fasi durata due anni, ha "condannato" l'Associazione presieduta da Davide Casaleggio a pagare 50mila euro e a predisporre una serie di misure correttive volte a scongiurare la permanente vulnerabilità della piattaforma; consentire la verifica a posteriori delle attività compiute; rimuovere la condivisione delle credenziali di accesso, che rendono impossibile identificare e controllare i soggetti autorizzati a operare sulla piattaforma; progettare un sistema di e-voting in grado non solo di proteggere i dati personali da attacchi interni ed esterni, ma soprattutto di "assicurare l'autenticità e la riservatezza delle espressioni di voto". Pena, ulteriori sanzioni.
La replica dell'associazione arriva attraverso Enrica Sabatini, braccio destro di Davide Casaleggio e socia dell'associazione Rousseau: "L'infrastruttura tecnologica di Rousseau, come abbiamo comunicato nei giorni scorsi, è stata potenziata recependo le osservazioni del Garante e così ha risposto alla domanda di maggiore innovazione e a quella di essere uno strumento all'avanguardia in grado di soddisfare le esigenze degli utenti e delle tante attività che vengono svolte sulla piattaforma".
N.B.: Dunque le nostre accuse sulla "manipolabilità" di questa ridicola piattaforma non erano frutto di nostri pregiudizi, visto che NESSUNO, in Casaleggio e dintorni, ha neanche provato a negare gli appunti della Authority, ma tutti si sono affrettati a tranquillizzare, dicendo che stiamo già intervenendo sulla base dei rilievi della Authority. Però vorremmo aggiungere che la mitezza della pena pecuniaria è assolutamente ridicola. La "piattaforma è finanziata con 300 euro al mese da ogni parlamentare eletto. I parlamentari del M5S sono 338, quindi la "paghetta" mensile che arriva al Sig. Casaleggio jr. è di 101.400 € al mese o - se preferite - di 6,084 milioni di euro in una legislatura. Non male, per una piattaforma che funziona peggio di quella di un buon blog. Ma andiamo avanti col resoconto di Repubblica. NdR
Il voto non è segreto - Anche se, dopo una precedente istruttoria, l'Associazione Rousseau ha adottato alcuni accorgimenti mirati a garantire la libertà e la segretezza del voto - come la cancellazione o la trasformazione in forma anonima dei dati personali trattati, una volta terminate le operazioni di voto, nonché il disaccoppiamento del numero telefonico del votante dal voto espresso - il Garante ritiene che gli interventi non siano ancora sufficienti. Anzi - scrive - "sono state evidenziate persistenti criticità" scrive.
Oltre ad aver scoperto l'esistenza di una tabella esterna alla piattaforma (presente all'interno del data center di Wind, con cui l'associazione Rousseau aveva un contratto di servizi) contenente tutte le informazioni relative alle operazioni di voto, al numero di telefono e all'ID dei votanti, insieme all'espressione di ciascun voto, il Garante ritiene che "la mera rimozione del numero telefonico, a fronte della presenza di un altro identificativo univoco dell'iscritto", come Casaleggio rivendica di aver fatto, "non possa essere considerata quale misura coerente con gli obiettivi di protezione dei dati personali che si intendevano promuovere".
Non solo "la rilevata assenza di adeguate procedure di auditing informatico, eludendo la possibilità di verifica ex post delle attività compiute, non consente - scrive il Garante - di garantire l'integrità, l'autenticità e la segretezza delle espressioni di voto, caratteristiche fondamentali di una piattaforma di e-voting (almeno sulla base degli standard internazionali comunemente accettati)".
Possibilità di manipolazione - La protezione dei dati personali è messa a rischio anche da un'altra condotta, ovvero quella di lasciare "esposti i risultati delle votazioni (per un'ampia finestra temporale che si estende dall'istante di apertura delle urne fino alla successiva "certificazione" dei risultati, che può avvenire a distanza di diversi giorni dalla chiusura delle operazioni di voto) ad accessi ed elaborazioni di vario tipo (che vanno dalla mera consultazione a possibili alterazioni o soppressioni, all'estrazione di copie anche offline)". E ciò perché gli amministratori di sistema, cioè le persone in possesso delle credenziali per accedere e operare sulla piattaforma (mediante due diverse utenze con privilegi) sono cinque per il sito www.movimento5stelle.it e altre cinque per il sito rousseau.movimento5stelle.it, alcune delle quali uguali per l'uno e l'altro sito.
Ma non è possibile identificarle. Perciò "la modalità di assegnazione delle credenziali e dei privilegi relativi alle varie funzionalità dei siti dell'Associazione (...) risultano inadeguate sotto il profilo della sicurezza - avverte il Garante - poiché la condivisione delle credenziali impedisce di attribuire le azioni compiute in un sistema informatico a un determinato incaricato, con pregiudizio anche per il titolare, privato della possibilità di controllare l'operato di figure tecniche così rilevanti".
Controlli impossibili - "La regolarità delle operazioni di voto è quindi affidata alla correttezza personale e deontologica di queste delicate funzioni tecniche, cui viene concessa una elevata fiducia in assenza di misure di contenimento delle azioni eseguibili e di suddivisione degli ambiti di operatività, cui si aggiunge la certezza che le attività compiute, al di fuori del ristretto perimetro soggetto a tracciamento, non potranno essere oggetto di successiva verifica da parte di terzi". È cioè fare un controllo su chi fa cosa, sia ex ante, sia ex post. "In questo senso la piattaforma Roussau non gode delle proprietà richieste a un sistema di e-voting", sentenzia il Garante richiamando il documento adottato dal comitato dei ministri del consiglio di europa il 14 luglio 2017 "che prevede la protezione delle schede elettroniche e l'anonimato dei votanti in tutte le fasi del procedimento elettorale elettronico".
La piattaforma, infatti "non appare in grado né di prevenire eventuali abusi commessi da addetti interni, né di consentire l'accertamento a posteriori dei comportamenti da questi tenuti, stante la limitata efficacia degli strumenti di tracciamento delle attività" scrive il Garante. E "in questo senso sussistono forti perplessità sul significato da attribuire al termine 'certificazione' riferito al titolare del trattamento all'intervento di un notaio o di un soggetto terzo di fiducia in una fase successiva alle operazioni di voto con lo scoop di asseverarne gli esiti".
"Non c'è dubbio infatti - si legge - che qualunque intervento ex post di soggetto di pur comprovata fiducia (notai, certificatori accreditati) poco possa aggiungere, dal punto di vista della genuinità dei risultati, in un contesto in cui le caratteristiche dello strumento informatico utilizzato, non consentendo di garantire tecnicamente la correttezza delle procedure di voto, non possono che produrre una rappresentazione degli esiti non suscettibile di analisi, nell'impossibilità di svolgere alcuna significativa verifica su dati che sono, per loro natura e modalità di trattamento, tecnicamente alterabili in pressoché ogni fase del provvedimento di votazione e scrutinio antecedente la cosiddetta certificazione".
Giovanna Vitale
P.S.: Lasciateci - per fatto personale - la possibilità di completare la risposta a degli appunti che sono arrivati su facebook in merito ad un piccolo post che prendeva in giro ggiggino 'e pomigliano, che non lascia passare un giorno senza somministrarci uno strafalcione. L'accusa rivoltaci era: "ma non avete niente di più serio da imputargli che non un lapsus?" La nostra breve risposta spiegava che quando un errore capita una volta ogni tanto si può chiamare "lapsus", ma quando questi errori diventano fiumi quotidiani su tutto lo scibile umano, allora idealmente togliamo a ggiggino la grisaglia ministeriale, e gli rimettiamo la pettorina arancione da steward dello stadio.
Noi la genuinità dei dati somministrati al volgo dal MòViMento l'avevamo "scoperchiata" dalla famosa raccolta firme per la "legge di iniziativa popolare (scritta talmente coi piedi, tanto che - come da nostre previsioni - non era mai approdata in aula, per manifesta incostituzionalità, e mille vizi di forma (ad esempio il fatto che "la legge" proponeva tre capitoli diversissimi e disomogenei). In quella occasione il "meetup" di Carate proclamava di aver raccolto 7000 firme. Non male, per un paesotto che conta 10.000 iscritti alle liste elettorali... E' bastata una telefonata ai vigili urbani per accertare che le 7000 firme erano state raccolte da "tavolini mai nati", perchè il meetup di Carate aveva sbagliato persino tempi e modi delle richieste autorizzazioni. Quindi il MòViMento aveva raccolto 7000 firme su tavolini mai nati.
Adesso che primarie et similia stanno diventando strumenti prodromici alla conquista del potere, crediamo sia giunta l'ora di fare le primarie con le stesse limitazioni delle normali elezioni: esibizione e timbro sulla tessera elettorale per evitare voti multipli, voto riservato a chi ha analogo diritto di voto alle politiche (quindi niente immigrati e sedicenni), niente "click Casaleggo style", niente chiavette USB alla maniera di Pisanu, che gestiva il controllo di regolarità e imparzialità dei controlli attraverso le famose chiavette USB, truccabili in mille modi facili facili, e faceva il tutto non da ente terzo di controllo, ma da italoforzuto ministro degli interni, attraverso una società per la gestione delle famose chiavette che... apparteneva al suo figliolo.
Parafrasando Checco Zalone: "Siamo un paese fantastici!"
Tafanus
SOCIAL
Follow @Tafanus