Il garante della privacy: Rousseau sa come votano gli iscritti M5S
di Alessandro D'Amato
Pubblicato il 2018-01-03
Il testo del provvedimento dell’Authority sui blog della galassia grillina: software obsoleti, voti tracciabili e dati personali a rischio. E una scoperta inquietante: l’admin del sistema di voto è in grado di sapere come ciascun utente vota «sulla base di ogni scelta o preferenza espressa tramite il “sistema operativo”
«I voti espressi tramite le funzionalità di e-voting offerte dalla piattaforma, infatti, vengono archiviati, storicizzati e restano imputabili a uno specifico elettore anche successivamente alla chiusura delle operazioni di voto, consentendo elaborazioni a ritroso con – in astratto – la possibilità di profilare costantemente gli iscritti»: sta in queste poche righe tratte dal provvedimento del Garante della Privacy su Rousseau tutto il sunto della situazione paradossale in cui si trova la democrazia diretta nell’era di Beppe Grillo e Davide Casaleggio. Il garante spiega che l’admin del sistema di voto è in grado di sapere come ciascun utente vota «sulla base di ogni scelta o preferenza espressa tramite il “sistema operativo” (siano esse relative alla scelta di un candidato ovvero all’approvazione di un’iniziativa politica o legislativa); ciò senza che sia previsto un meccanismo di anonimizzazione o pseudonimizzazione ex post (se non immediatamente dopo l’espressione del voto almeno alla conclusione delle votazioni e delle relative verifiche), e senza che sia previsto un termine, decorso il quale, le informazioni riferibili ad interessati vengano rimosse o trasformate in forma anonima».
Così Rousseau sa come votano gli iscritti M5S
Il Garante per la privacy lo scorso 21 dicembre ha emesso un provvedimento con annesse prescrizioni a Beppe Grillo e alla Casaleggio associati: i sistemi di sicurezza dei siti di riferimento del M5S — viene spiegato — sono vulnerabili e quindi i dati personali degli attivisti sono a rischio. E la gestione dei portali non garantisce la segretezza del voto online. Questo in seguito a due attacchi hacker effettuati, secondo l’accusa della Casaleggio, da “sicari informatici”.
Da lì – e dagli esposti di alcuni attivisti – nasce l’istruttoria del Garante Antonello Soro, che con riferimento al database Rousseau, svela: «L’esame delle predette tabelle ha mostrato come l’espressione del voto da parte degli iscritti, in occasione della scelta di candidati da includere nelle liste elettorali del Movimento o per orientare altre scelte di rilevanza politica, venga registrata in forma elettronica mantenendo uno stretto legame, per ciascun voto espresso, con i dati identificativi riferiti ai votanti». A ciascun voto espresso è associato il numero telefonico dell’iscritto al Movimento. Casaleggio il 5 ottobre 2017 ha sostenuto che si tratta di «Una questione di sicurezza».
Cosa rischiano Rousseau e i grillini?
Cosa rischiano Rousseau e i grillini per la scoperta del garante della privacy? Una multa, spiega oggi la Stampa, che può arrivare alla somma da seimila a trentaseimila euro; in caso venisse confermata la violazione nel trattamento di dati personali, i gestori grillini rischierebbero un’altra sanzione da diecimila a centoventimila euro. Ma più che le multe qui è in discussione il modo in cui è stato gestito il sito di Beppe Grillo in questi anni e la sua sicurezza:
a) il portale web del Movimento 5 Stelle e parte della piattaforma Rousseau sono stati realizzati avvalendosi di un prodotto software, il CMS Movable Type che, nella versione Enterprise 4.31-en, è risultata affetta da indiscutibile obsolescenza tecnica (il produttore individuava nel 31 dicembre 2013 la data di “fine vita” delle versioni 4.3x). Il blog www.beppegrillo.it utilizza invece una versione del CMS Movable Type ancora più risalente (versione 3.35), con la quale la registrazione delle password avveniva in chiaro.
Le obsolescenze dei CMS (sistemi di gestione dei contenuti), oltre a esporre i dati personali trattati a rischi di accesso abusivo (rischi derivanti dalle vulnerabilità informatiche già note e segnalate dallo stesso produttore), ha condizionato l’efficacia di alcuni accorgimenti tecnici adottati successivamente dall’Associazione a seguito delle intrusioni informatiche; ad esempio il portale non realizzava policy efficaci sulla qualità delle password, ammettendo l’uso di password banali, facilmente esposte alla decifrazione e ad attacchi di tipo brute force anche in modalità interattiva online;
b) i vulnerability assessment commissionati dall’Associazione Rousseau hanno evidenziato una serie di criticità cui sarebbe stato possibile porre rimedio avvalendosi di una metodologia di sviluppo del software maggiormente strutturata, che avesse contemperato la tempestività realizzativa delle nuove funzionalità con una attenta valutazione e prevenzione dei rischi informatici.
In proposito si osserva che il nuovo Regolamento generale riconosce come la protezione dei dati personali debba essere perseguita individuando misure a protezione dei dati sin dalla fase di progettazione dei sistemi informativi con cui si realizzano i trattamenti (c.d. approccio basato sulla “Data protection by design” – cfr. art. 25 Regolamento UE 2016/679 “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”);
Lo script per le email e le password
E ieri si è intanto aperto un altro fronte. Thomas Fox Brewster, esperto di sicurezza informatica per la rivista americana Forbes, su Twitter si è chiesto «Perché il sito usa un codice che raccoglie le email degli utenti memorizzate sui browser dei loro computer?».
Il riferimento è a un lavoro di «WebTap», il progetto dell’Università di Princeton che monitora i siti web per capire se e come raccolgono i dati degli utenti online e in che modo li utilizzano. Spiega oggi il Corriere:
La piattaforma accademica statunitense ha studiato — per ovvie ragioni statistiche — il primo milione di siti più consultato del mondo: tra questi, sostengono loro, ce ne sono 1.110 (lo 0,11%) che estraggono le email di chi apre la loro homepage, compreso il sito beppegrillo.it. Secondo gli analisti di Princeton tutti questi siti web — diversi quelli dell’Est Europa, soltanto nove con dominio .it — hanno incorporato all’interno delle loro pagine un insieme di comandi che permettono di accedere ai gestori di password dei browser (come Chrome, Firefox, Safari, Internet Explorer) delle persone che visitano il sito del leader del Movimento 5 Stelle.
Queste stringhe sono state in realtà pensate per memorizzare alcuni tipi di dati (indirizzi di posta elettronica, username, chiavi di accesso per esempio), evitando così di ripetere ogni volta il comando. «A prima vista sembra un modo per collezionare di nascosto indirizzi di mail da spammare. O peggio», cinguetta l’esperto Paolo Attivissimo a chi gli chiede di cosa potrebbe trattarsi. Per «Web Tap» (che sta per «Princeton Web Transparency & Accountability Project») il codice intercetterebbe soltanto la posta elettronica, ma potenzialmente lo script — come dimostra una prova effettuata dal Corriere della Sera — sarebbe in grado di estrarre anche la password collegata.
Leggi sull’argomento: Il Garante vita natural durante: come funziona la democrazia diretta da Beppe Grillo
Potrebbe interessarti anche
Perché dobbiamo preoccuparci se sui social tutti parlano di Jennifer Lopez senza aver capito niente
Sui social italiani si dà per assodato il divorzio tra la cantante e Ben Affleck, ma si tratta di un clamoroso misunderstanding
La vera storia del selfie “fake” dallo spazio di Samantha Cristoforetti
Uno scatto mozzafiato dalla Stazione Spaziale Internazionale è stato spacciato per “selfie di Samantha Cristoforetti”: ma nella tuta da astronauta non c’è lei
Non è vero che Salvini e Meloni sono indagati per la storia dei “falsi green pass”
Sui social popola questa non-notizia che prende spunto da un articolo del 2 giugno pubblicato da Il Fatto Quotidiano in cui, però, si parla di altro e non si fanno i nomi dei leader di Lega e Fratelli d’Italia
Burioni non ha mai detto che il “vaccino contro il Covid non serve” | VIDEO
Dagli articoli ammiccanti pubblicati sul sito di Nicola Porro, fino alle condivisioni fallaci di personalità come Maddalena Loy. Ma l’immunologo ha detto altro a “Che Tempo Che Fa”
Orsini non ha mai detto “Travaglio mi ha rovinato la vita” (ma ha detto che “ragiona in maniera primitiva”)
La polemica sollevata da “Il Giornale” in questi giorni punta il dito sul rapporto di collaborazione del professore di Sociologia con “Il Fatto Quotidiano” dopo che in passato erano volati stracci
La supercazzola di Santoro sul saluto nazista del cantante ucraino all’Eurovision (mai fatto) | VIDEO
Oleh Psjuk, cantante dei “Kalush Orchestra”, non ha fatto il saluto nazista abbandonando il palco dell’Eurovision. Anche se Santoro sostiene sia “un’opinione” pensare che sia andata così
Magon D’Aloia sospeso da scuola per un tema novax? Tutto quello che non torna in questa storia
Sui social sta circolando una storia piena di lacune e le stesse persone che l’hanno condivisa sottolineano come non ci siano fonti (ma l’hanno condivisa lo stesso)
La storia dell’immagine dell’incendio vicino al Cremlino oggi (che non lo era)
La fotografia è stata pubblicata da diversi profili social in riferimento a un qualcosa che sarebbe avvenuto oggi. Ma quella foto è stata scattata nel maggio del 2017
La vera storia di Zaia e della “sostituzione etnica” dei non vaccinati con i lavoratori ucraini (che non c’è e non ci sarà)
Le dichiarazioni del Presidente della Regione Veneto sull’accoglienza di chi scappa dalla guerra in Ucraina sono state completamente travisate, dando vita a dei paradossali falsi che girano sui social
La bufala dello “spot elettorale” con Zelensky che imbraccia i mitra e uccide tutti | VIDEO
Sui social circola una scena spacciata per “pubblicità elettorale”. Ma si tratta di un estratto della serie televisiva che rese celebre in Ucraina il futuro Presidente
