Il Garante della privacy bacchetta Rousseau (proprio prima del voto sul “contratto”)

Il MoVimento 5 Stelle si appresta a consultare gli iscritti sul contratto di governo con la Lega. Lo farà nei gazebo ma soprattutto su Rousseau, il cosiddetto sistema operativo del partito fondato da Beppe Grillo e Roberto Casaleggio. Rousseau è il sito, gestito dall’omonima associazione presieduta da Davide Casaleggio, dove gli iscritti al M5S votano le proposte di legge, i programmi elettorali, i candidati per le elezioni a vario livello.  Il problema di Rousseau – scrive il Garante per la protezione dei dati personali – è che non è un sito sicuro.

Cosa aveva chiesto il Garante a Grillo e all’Associazione Roussseau

Nel provvedimento del 16 maggio il Garante Antonello Soro fa il punto sugli adempimenti da parte di Rousseau rispetto alle richieste fatte nel dicembre scorso, dopo l’ultima data breach subita dalla piattaforma informatica del MoVimento. In quell’occasione il Garante aveva chiesto ai titolari del trattamento dei dati di Rousseau (l’Associazione Rousseau su mandato da parte di Beppe Grillo) di rafforzare le modalità di conservazione delle password degli utenti «adoperando algoritmi crittografici robusti in luogo delle semplici routine di cifratura accessibili tramite le funzioni native del CMS medesimo».

Inoltre l’Authority chiedeva a Rousseau di tutelare i dati degli iscritti «prevedendo la cancellazione o la trasformazione in forma anonima dei dati personali trattati (laddove per specifiche esigenze fossero presenti), una volta terminate le operazioni di voto» invitando il gestore a modificare lo schema del database «laddove prevede l’utilizzo del numero telefonico dell’iscritto in connessione ai voti elettronici espressi». L’analisi delle tabelle di Rousseau aveva infatti rilevato come la preferenza espressa durante la votazione elettronica su Rousseau venga registrata mantenendo uno stretto legame, per ciascun voto espresso, con i dati identificativi riferiti ai votanti: «nello schema del database risulta infatti che ciascun voto espresso sia effettivamente associato a un numero telefonico corrispondente al rispettivo iscritto-votante». In poche parole esisteva un sistema per risalire all’identità dei votanti.

Le falle nella sicurezza di Rousseau individuate dal Garante

Il Garante però ritiene che ad oggi l’Associazione Rousseau non abbia pienamente soddisfatto le richieste avanzate a dicembre. In questi sei mesi Davide Casaleggio ha fatto apportare delle modiche alla piattaforma di voto per risolvere i problemi relativi alle vulnerabilità e quindi alla sicurezza dei dati degli iscritti. Mentre sotto alcuni aspetti il Garante rileva che le prescrizioni fatte siano state assolte al tempo stesso però ritiene che le misure adottate relativamente alla sicurezza delle password non siano sufficienti. A dicembre l’Authority aveva chiesto  he le password relative alle utenze degli iscritti ai siti on-line del Movimento fossero di lunghezza non inferiore a otto caratteri e siano sottoposte a un controllo automatico di qualità che impedisca l’uso di password “deboli”.

Nel provvedimento del 16 maggio il Garante rileva che questa misura «risulta solo parzialmente soddisfatta» perché applicata unicamente ai nuovi iscritti e a coloro che spontaneamente decidono di modificare la propria password. La richiesta è quella di intervenire su tutti gli utenti intraprendendo «una campagna di invito alla modifica della password nei confronti degli interessati già iscritti, prevedendo l’obbligo di attuare tale modifica alla prima sessione di collegamento utile attivata con le credenziali (tuttora) deboli». L’Authority inoltre ha chiesto maggiore documentazione sul codice di sicurezza implementato per garantire la sicurezza del database degli utenti. Su questi punti il Garante ha concesso fino al 30 giugno per mettere in regola Rousseau e i siti del MoVimento.

L’aspetto più interessante riguarda però la richiesta di proroga da parte di Rousseau relativamente alle misure di auditing per la verifica della liceità dei trattamenti allo scopo di fornire maggiori garanzie a tutela degli iscritti votanti, «in accordo al principio di trasparenza che dovrebbe caratterizzare un sistema di e-voting». L’Associazione Rousseau ha chiesto all’Autorità la proroga del termine fissato perché pur avendo intrapreso una “ricerca di mercato” per l’affidamento del servizio di auditing informatico in outsourcing gli impegni relativi alla campagna elettorale avrebbero causato un rallentamento della ricerca. Per questo motivo il Garante ha concesso all’Associazione Rousseau fino al 30 settembre 2018 per adempiere alle prescrizioni sulle misure di auditing.

Le ipotesi di complotto di Elio Lannutti

Il senatore del MoVimento 5 Stelle Elio Lannutti ha accolto con la consueta pacatezza la notizia facendo notare in un post su Facebook la “coincidenza” tra la decisione del Garante sulla mancanza di sicurezza di Rousseau e la chiamata alle urne elettroniche per l’approvazione dell’accordo con la Lega.

E anche altri attivisti e simpatizzanti del M5S la pensano come il presidente dell’Adusbef. C’è chi sostiene che sia tutta una macchinazione per non far andare a votare i pentastellati, e chi ricorda che “ci sono sempre i gazebo”. Non manca ovviamente il classico e allora il PD di chi ricorda “i cinesi che sono andati a votare alle primarie PD”.

Altri si rifugiano nel benaltrismo (con tutti i furti di dati che ci sono signora mia) mentre esperti di tutela della privacy spiegano che “la piattaforma è privata e ho acconsentito ai miei dati”. Insomma, Casaleggio e Rousseau possono fare quello che vogliono, tanto hanno il consenso di chi non ci capisce nulla di tutela dei dati personali.

Leggi sull’argomento: Contratto Lega-M5S, il MoVimento diventa Nì-TAV