Due anni di istruttoria a seguito di una fuga di dati e alla fine il verdetto del Garante della privacy, nella persona di Antonello Soro, è che la “piattaforma Rousseau non gode delle proprietà richieste a un sistema di e-voting”. L’Associazione Rousseau, di cui Davide Casaleggio è presidente, è tenuta a pagare 50 mila euro di multa e ad adoperarsi al più presto per disporre delle misure correttive sul sistema. Per i grillini è tutta una mossa politica, perché il sistema sotto accusa non è quello in uso.

Il testo del Garante

Il testo pubblicato sul sito ufficiale dell’Autorità Garante per la protezione dei dati personali è molto lungo e complesso. L’esito degli accertamenti, nonostante riconosca alcune misure di miglioramento della piattaforma adottate dai titolari, mostra delle criticità nel sistema, ma quali sono? Proviamo a riassumerne i passaggi salienti.

  • Vulnerability assessment (Valutazione della vulnerabilità) –Seppur in un contesto di incremento dei livelli di sicurezza (perché il titolare del trattamento ha dato attuazione alle prescrizioni del provvedimento) persistono criticità derivanti dall’obsolescenza di alcune componenti software dei siti web del Movimento. Questo significa che il CMS della piattaforma Rousseau – cioè la struttura su cui ci si appoggia per fare un sito web (come WordPress insomma) – è una versione vecchia della quale non esistono aggiornamenti. Questo comporta, secondo il Garante, l’impossibilità di garantire a lungo termine la stabilità dei sistemi di controllo del sito.
  • Database delle utenze (Conservazione delle password) –Alcuni accorgimenti tecnici adottati dal titolare del trattamento fanno ritenere che la prescrizione possa ritenersi sostanzialmente adempiuta. Almeno le password insomma sono al sicuro.
  • Auditing informatico (Valutazione della sicurezza) – L’assenza di capacità di auditing costituisce una grave carenza che espone un sistema così delicato a potenziali rischi di violazione dei dati personali. Questo passaggio si riferisce all’impossibilità di tracciare (e quindi verificare) le operazioni di quei pochi addetti con particolari capacità d’azione tecnica che possono accedere a delicate funzionalità della piattaforma. Mancando un sistema di auditing che controlli questi movimenti sulla piattaforma, ne consegue che i dati degli iscritti non siano completamente protetti.
  • Riservatezza del voto – A causa delle stesse mancanze analizzate sopra anche il voto non è protetto. In particolare si legge nel provvedimento che la piattaforma non consente di garantire l’integrità, l’autenticità e la segretezza delle espressioni di voto. Ciò perché gli addetti tecnici alla gestione della piattaforma sono tecnicamente in grado di accedere anche a quella parte di dati e la regolarità di questi passaggi è affidata alla correttezza personale e deontologica del personale e non a una totale efficienza della macchina.
  • Condivisione delle credenziali di autenticazione – Ci si riferisce al fatto che le credenziali di accesso alla parte sensibile della piattaforma siano condivise tra più soggetti con autorizzazioni (e mansioni) diverse. In questo modo dunque si dà la possibilità a un soggetto autorizzato soltanto all’uso di una determinata piattaforma di operare anche su altre piattaforme che sfruttino il medesimo sistema di autenticazione.

Le reazioni

Se da un lato c’è chi non aspettava altro per puntare il dito sui grillini e sul loro sistema, dall’altro arrivano le difese e le contro-accuse dei pentastellati. Il sistema multato, secondo quanto afferma l’associazione Rousseau presieduta da Davide Casaleggio, non è quello in uso e il boom di accuse alla piattaforma scatena il contrattacco. “Il garante italiano della privacy è Antonello Soro, un politico italiano del Partito Democratico. (…) Dovrebbe proteggere i dati personali di tutti gli italiani, senza fare distinzioni politiche“.

Una mossa politica secondo il 5 Stelle, dunque, specialmente alla luce della fuga di notizie proprio mentre erano in corso le votazioni sulla piattaforma per i candidati alle europee.