di Claudio Cerasa*
Lo ripetiamo perché forse qualcuno ancora non se ne è reso conto. Dunque. In Italia esiste un partito guidato da un comico di nome Beppe Grillo, diretto da un ologramma di nome Luigi Di Maio, eterodiretto dal capo di una srl privata di nome Davide Casaleggio che si candida ad applicare in tutta Italia il modello Raggi facendo leva su tre messaggi chiari e definiti: noi siamo il partito della trasparenza, noi siamo il partito della legalità, noi siamo il partito della democrazia diretta.
Su questo partito, la classe dirigente italiana ha scelto da tempo di non farsi troppe domande, ha scelto di coprirsi gli occhi di fronte ai profili di incostituzionalità e ha scelto di voler considerare solo un puro fenomeno di folclore la presenza, in questo movimento, di un soggetto non eletto da nessuno che attraverso un’associazione privata di nome Rousseau controlla la vita democratica e le attività di un movimento senza che questo movimento possa avere alcun tipo di controllo sulle attività del suo controllore: il signor Davide Casaleggio.
La prima notizia riguarda il tema della trasparenza (e il Garante della Privacy poi deciderà se si tratta anche di un tema che sconfina nella non legalità). Il 2 gennaio i giornali hanno riportato le accuse del garante della privacy sul tema degli “illeciti nel trattamento dei dati degli utenti” e sul voto elettronico “non anonimo”. Basta sfogliare le carte però per capire che in realtà sono gli stessi legali di Davide Casaleggio il 5 ottobre 2017 a riconoscere che i gestori della piattaforma Rousseau sono consapevoli che il voto non risponde ai criteri di segretezza e che può essere tracciato. Sentite qui: “A specifica domanda dei verbalizzanti, la parte (Casaleggio) ha fatto presente che sussiste la possibilità teorica di ricondurre, tramite altre informazioni disponibili nel sistema, il voto espresso all’identità del votante, possibilità che tuttavia non è mai stata utilizzata”.
E a conferma di questa consapevolezza gli avvocati ammettono che i gestori di Rousseau stanno studiando “delle soluzioni basate su tecnologia blockchain, che consentirebbe di pervenire ad una certificazione dei voti espressi, rispettando la segretezza del voto”. Cosa che finora, ammettono gli avvocati di Casaleggio, non è stata garantita. Potrebbe bastare questo per farsi qualche domanda sulla truffa della democrazia diretta, ma nel dossier del garante della privacy si trova qualche considerazione in più. Una è in un rapporto, finora inedito, di trentaquattro pagine, depositato il 29 novembre 2017 presso l’archivio del Garante per la protezione dei dati personali, e che è così intitolato: “Note sugli aspetti di sicurezza relativi alle piattaforme on line gestite dalla Casaleggio & Associati S.r.l per conto di Giuseppe Piero Grillo, dell’Associazione Rousseau e del Movimento 5 stelle”. I più attenti tra voi avranno notato che già in questa presentazione c’è una notizia: al contrario di quello che sostiene Davide Casaleggio, che il 2 gennaio ha dato mandato ai suoi legali di “riservarsi il diritto di procedere in qualsiasi sede giudiziale, sia penale che civile, nei confronti di tutti coloro che in modo mendace e in mala fede continueranno intenzionalmente e pubblicamente a confondere la predetta società (la Casaleggio Associati) con l’Associazione Rousseau, il garante della privacy afferma che anche Rousseau “è gestita” non da Davide Casaleggio come persona fisica ma direttamente dalla Casaleggio Associati. E per capire perché questa affermazione è formulata senza proposizioni dubitative conviene arrivare alla fine dell’articolo.
Garante Privacy M5STorniamo alla privacy. Cosa dice il rapporto del garante su Rousseau? Due cose. Ci dice che anche nell’unico campo in cui il Movimento 5 stelle avrebbe potuto mostrare la sua competenza i gestori della piattaforma che governa la democrazia diretta del movimento hanno dato prova di straordinaria non competenza. Esempio numero uno. La piattaforma Rousseau è stata realizzata con un sistema che si chiama “Cms Movable Type Enterprise Versione 4.31-en”. Ma questa versione, scrive il garante, concetto già espresso nel provvedimento del 21 dicembre, ha un problema: “E’ affetta da obsolescenza tecnica”. E che significa obsolescenza tecnica? Significa che ogni versione di quel sistema con radice pari a 4.3 scadeva il 31 dicembre del 2013 e oltre quella data, scrive il garante, “non sono più rilasciati aggiornamenti di sicurezza”.
Dunque: il movimento che vuole sostituire la democrazia rappresentativa con la democrazia diretta ha costruito un sistema che potenzialmente dà a chi dirige la democrazia la possibilità di controllare ciò che fanno i suoi iscritti e lo ha fatto servendosi di un sistema “artigianale” (definizione del Garante) che già cinque anni fa era da buttare nel cestino. Lo diciamo noi? No. Lo dice ancora il garante. Pagina 16: “Il sistema adottato non consentiva di imporre delle policy efficaci relativamente alla qualità delle password, ammettendo l’uso di password banali, facilmente esposte alla decifrazione e ad attacchi. In particolare, si fa presente che tale limitazione comporta, laddove presente, che un qualsiasi utente applicativo o sistemistico del sistema operativo, anche con profili di minor rilievo ma che abbia accesso in sola lettura ai database delle password, solitamente registrate in forma cifrata, possa acquisirle nella forma in cui sono e condurre in modalità on line attacchi brute force sulle password, che, se fruttuosi, consentiranno in un secondo tempo l’effettuazione di accessi abusivi con l’utilizzo in chiaro delle credenziali tecnicamente correte, senza causare alcun allarme sul sistema attaccato”. Basta questo? No, non basta.
Passaggio ulteriore che consigliamo a Danilo Toninelli, da sottolineare con la matita blu: “L’incertezza sulla effettiva resilienza del sistema di votazioni elettroniche, l’impossibilità di verificare a posteriori la liceità dei trattamenti svolti, l’impossibilità di accertare l’unicità del voto espresso, nonché l’incertezza sulla sua autenticità e, infine, il rischio anche solo sul piano astratto che sia possibile controllare e ricostruire le preferenze espresse dai votanti a causa della mancanza di anonimato, caratterizzando il sistema Rousseau, nella sua componente di voto elettronico, quale interessante sperimentazione di uno strumento di interazione e partecipazione politica, del tutto privo, tuttavia, di quei requisiti di sicurezza informatica e di protezione dei dati personali, che dovrebbero caratterizzare un vero e proprio sistema di e-voting”.
E perché il sistema di e-voting non è sicuro? Lo spiega il garante a pagina 23: “I voti espressi tramite le funzionalità di e-voting offerte dalla piattaforma vengono archiviati, storicizzati e restano imputabili a uno specifico elettore anche successivamente alla chiusura delle operazioni di voto, consentendo elaborazioni a ritroso con, in astratto, la possibilità di profilare costantemente gli iscritti, sulla base di ogni scelta o preferenza espressa tramite il sistema operativo”.
Ci si potrebbe anche fermare qui se non fosse che tra i documenti consegnati al Foglio dal Garante della Privacy c’è un elemento ulteriore che ci permette di mettere a fuoco il vero “burattinaio “del Movimento 5 stelle, l’uomo che gestendo da remoto la democrazia diretta offre agli elettori l’illusione di poter contare quando in realtà il sistema realizzato da Casaleggio & Co. non fa altro che alimentare un bluff politico in cui la democrazia diretta è diretta nel senso che c’è qualcuno che può dirigerla dall’alto. E così, come abbiamo raccontato ieri con lo statuto dell’Associazione Rousseaupubblicato da Luciano Capone, sappiamo con certezza che Casaleggio, da presidente, tesoriere e amministratore unico di Rousseau, attraverso Rousseaucontrolla i dati, controlla i soldi, controlla di fatto il partito teleguidato dalla sua associazione privata e potenzialmente può controllare anche i candidati (anche se certamente non l’ha mai fatto, come hanno detto al garante della privacy i suoi avvocati).
Ma sappiamo anche altro. E sappiamo che al contrario di quello che ha affermato il numero uno della Casaleggio Associati in realtà tra l’Associazione Rousseau e la srl fondata da Gianroberto Casaleggio esiste una simmetria che meriterebbe di essere approfondita come nota anche il Garante in un passaggio della relazione su Rousseau (“I rapporti tra Movimento, Associazione, Società e lo stesso titolare del trattamento Giuseppe Piero Grillo sono meritevoli di un approfondimento che esula però dalle finalità del presente rapporto”). La simmetria non la si deduce solo dal fatto che la sede di Rousseau è la stessa della Casaleggio Associati (via Morone 6, Milano). Ma la si deduce anche da un dettaglio che forse è sfuggito allo stesso garante.
Nel corso dell’ispezione del 5 ottobre in via Morone, di fronte ai dirigenti del Garante della privacy,Casaleggio dice di rispondere non a nome della Casaleggio Associati ma “nella esclusiva qualità di presidente dell’Associazione Rousseau”. Il 18 ottobre del 2017 Davide Casaleggio però invia una email “in risposta alle richieste avanzate da parte dell’autorità garante per la protezione dei dati personali nel corso delle operazioni compiute in data 4 e 5 ottobre 2017 a Milano in via Morone 6”. In quella email Casaleggio spedisce al garante una serie di dati preziosi. La copia dei report del “penetration test”. Gli schemi delle tabelle di Rousseau. I nomi dei soggetti assegnatari di privilegi globali o specifici per ogni database o singole tabelle. I nomi delle persone che hanno accesso da remoto al sistema che gestisce la piattaforma. L’email di Davide Casaleggio si conclude con un significativo nota bene. Questo: “Si prega di mantenere strettamente riservati i nominativi sopra elencati”.
C’è solo un piccolo problema: l’email con cui Davide Casaleggio risponde in qualità di presidente di Rousseau alle richieste del Garante per la Privacy è quella utilizzata dalla Casaleggio Associati per la sua posta certificata. Casaleggioassociati@legalmail.it. Ciò vuol dire che i dati riservati allegati sono a disposizione di chiunque abbia accesso a quella posta certificata.
La domanda che allora oggi Danilo Toninelli dovrebbe rivolgere al controllore del Movimento 5 stelle è questa: siamo sicuri che l’unico soggetto che ha le credenziali per accedere alla posta certificata della Casaleggio Associati sia Davide Casaleggio? I cinque stelle ci insegnano da sempre che il sospetto è l’anticamera della verità. Noi non siamo d’accordo. Ma per una volta un sospetto viene anche noi. E chissà che non venga voglia anche a qualcun altro di farsi due domande su un partito guidato da un comico di nome Beppe Grillo, diretto da un ologramma di nome Luigi Di Maio, eterodiretto dal capo di una srl privata di nome Davide Casaleggio che si candida a governare l’Italia puntando su tre princìpi: siamo il partito della trasparenza, della legalità, della democrazia diretta.
Finora, a leggere le carte del Garante della privacy, possiamo dire che la democrazia diretta è un “bluff” e la trasparenza non c’è. E che l’unico campo in cui sarebbe stato lecito aspettarsi almeno un po’ di competenza, la tecnologia, viene gestito dai grillini più o meno come gli alberi di Natale a Roma. Sulla legalità confidiamo di saperne di più nei prossimi mesi.
*editoriale del direttore del quotidiano IL FOGLIO