Casaleggio Leaks. I documenti segreti sulla truffa della democrazia grillina

 La democrazia del Movimento 5 stelle, come è noto, è governata dall’Associazione Rousseau, di cui Davide Casaleggio è presidente, tesoriere e amministratore unico. Ma mentre Casaleggio ha il potere di governare i dati degli iscritti di Rousseau, le procedure di votazione dei candidati del movimento, le scelte delle proposte da presentare in Parlamento, i soldi versati oggi dagli iscritti e domani dai parlamentari (300 euro al mese, con il risultato che un partito nato per abolire il finanziamento pubblico dei partiti finanzierà con i soldi pubblici incassati dai parlamentari un’associazione privata), al contrario il movimento non può indicare i vertici, non può influenzare le decisioni, non può avere contezza di quali siano le regole interne, la gestione delle risorse finanziarie e le procedure per entrare in Rousseau.

Nessuna trasparenza, come è stato costretto ad ammettere ieri nel corso di una trasmissione televisiva il simpatico deputato grillino Danilo Toninelli, che proprio mentre il Foglio pubblicava online, in esclusiva, lo statuto dell’associazione Rousseau ha sostenuto che lo scoop del Foglio, sullo statuto Rousseau, fosse “una mera invenzione, perché non esiste alcuno statuto Rousseau”. Ehm… Mossi da un senso di vicinanza profonda nei confronti dell’onorevole Toninelli oggi offriamo al deputato del Movimento 5 stelle un’altra storia che gli elettori grillini meriterebbero di conoscere e che riguarda una vicenda stranamente non rilanciata nelle ultime settimane dai solitamente molto prolifici onorevoli grillini: la genesi del provvedimento del Garante della privacy contro l’Associazione Rousseau, accusata di violazioni nel trattamento dei dati personali dell’Associazione Rousseau. Quello che tutti sapete è che lo scorso 2 gennaio il Garante per la privacy ha reso noto il suo ammonimento. Quello che nessuno sa è come il garante è arrivato a quell’ammonimento. Ve lo raccontiamo.

Per raccontarvi cosa è successo prima del 2 gennaio bisogna partire da qui: cosa si è scoperto durante i mesi in cui si è lavorato per studiare gli eventuali illeciti commessi da Rousseau nel trattamento dei dati personali degli iscritti alla sua piattaforma (150 mila  iscritti, anche se quelli realmente attivi dovrebbero essere circa un terzo). Nel provvedimento del Garante, pubblicato il 21 dicembre 2017, erano presenti alcuni rimandi a diversi allegati omessi nel provvedimento. Così ci siamo incuriositi e l’8 gennaio abbiamo mandato allo stesso Garante, ai sensi del d.lgs n. 97 del 2016, una “richiesta di accesso civico agli atti relativi all’indagine del garante sulla così detta piattaforma Rousseau e al provvedimento del 21 dicembre 2017, in particolare per acquisire i verbali delle operazioni compiute e le istanze e le altre segnalazioni pervenute al garante, nonché ogni altro elaborato, analisi o rapporto prodotto dall’ufficio”. Il garante ha fatto le sue verifiche (incredibilmente, nessuno prima del Foglio lo aveva chiesto) e il 30 gennaio ci è stato consegnato un plico con tutta la documentazione. E tra i vari file allegati ci sono spunti utili per capire perché sui tre messaggi forti del Movimento 5 stelle – noi siamo il partito della trasparenza, noi siamo il partito della legalità, noi siamo il partito della democrazia diretta – c’è qualcosa che non torna e che anche l’onorevole Toninelli merita di conoscere.

La prima notizia riguarda il tema della trasparenza (e il Garante della Privacy poi deciderà se si tratta anche di un tema che sconfina nella non legalità). Il 2 gennaio i giornali hanno riportato le accuse del garante della privacy sul tema degli “illeciti nel trattamento dei dati degli utenti” e sul voto elettronico “non anonimo”. Basta sfogliare le carte però per capire che in realtà sono gli stessi legali di Davide Casaleggio il 5 ottobre 2017 a riconoscere che i gestori della piattaforma Rousseau sono consapevoli che il voto non risponde ai criteri di segretezza e che può essere tracciato. Sentite qui: “A specifica domanda dei verbalizzanti, la parte (Casaleggio) ha fatto presente che sussiste la possibilità teorica di ricondurre, tramite altre informazioni disponibili nel sistema, il voto espresso all’identità del votante, possibilità che tuttavia non è mai stata utilizzata”.

E a conferma di questa consapevolezza gli avvocati ammettono che i gestori di Rousseau stanno studiando “delle soluzioni basate su tecnologia blockchain, che consentirebbe di pervenire ad una certificazione dei voti espressi, rispettando la segretezza del voto”. Cosa che finora, ammettono gli avvocati di Casaleggio, non è stata garantita. Potrebbe bastare questo per farsi qualche domanda sulla truffa della democrazia diretta, ma nel dossier del garante della privacy si trova qualche considerazione in più. Una è in un rapporto, finora inedito, di trentaquattro pagine, depositato il 29 novembre 2017 presso l’archivio del Garante per la protezione dei dati personali, e che è così intitolato: “Note sugli aspetti di sicurezza relativi alle piattaforme on line gestite dalla Casaleggio & Associati S.r.l per conto di Giuseppe Piero Grillo, dell’Associazione Rousseau e del Movimento 5 stelle”. I più attenti tra voi avranno notato che già in questa presentazione c’è una notizia: al contrario di quello che sostiene Davide Casaleggio, che il 2 gennaio ha dato mandato ai suoi legali di “riservarsi il diritto di procedere in qualsiasi sede giudiziale, sia penale che civile, nei confronti di tutti coloro che in modo mendace e in mala fede continueranno intenzionalmente e pubblicamente a confondere la predetta società (la Casaleggio Associati)  con l’Associazione Rousseau, il garante della privacy afferma che anche Rousseau “è gestita” non da Davide Casaleggio come persona fisica ma direttamente dalla Casaleggio Associati. E per capire perché questa affermazione è formulata senza proposizioni dubitative conviene arrivare alla fine dell’articolo.

Torniamo alla privacy. Cosa dice il rapporto del garante su Rousseau? Due cose. Ci dice che anche nell’unico campo in cui il Movimento 5 stelle avrebbe potuto mostrare la sua competenza i gestori della piattaforma che governa la democrazia diretta del movimento hanno dato prova di straordinaria non competenza. Esempio numero uno. La piattaforma Rousseau è stata realizzata con un sistema che si chiama “Cms Movable Type Enterprise Versione 4.31-en”. Ma questa versione, scrive il garante, concetto già espresso nel provvedimento del 21 dicembre, ha un problema: “E’ affetta da obsolescenza tecnica”. E che significa obsolescenza tecnica? Significa che ogni versione di quel sistema con radice pari a 4.3 scadeva il 31 dicembre del 2013 e oltre quella data, scrive il garante, “non sono più rilasciati aggiornamenti di sicurezza”.

Dunque: il movimento che vuole sostituire la democrazia rappresentativa con la democrazia diretta ha costruito un sistema che potenzialmente dà a chi dirige la democrazia la possibilità di controllare ciò che fanno i suoi iscritti e lo ha fatto servendosi di un sistema “artigianale” (definizione del Garante) che già cinque anni fa era da buttare nel cestino. Lo diciamo noi? No. Lo dice ancora il garante. Pagina 16: “Il sistema adottato non consentiva di imporre delle policy efficaci relativamente alla qualità delle password, ammettendo l’uso di password banali, facilmente esposte alla decifrazione e ad attacchi. In particolare, si fa presente che tale limitazione comporta, laddove presente, che un qualsiasi utente applicativo o sistemistico del sistema operativo, anche con profili di minor rilievo ma che abbia accesso in sola lettura ai database delle password, solitamente registrate in forma cifrata, possa acquisirle nella forma in cui sono e condurre in modalità on line attacchi brute force sulle password, che, se fruttuosi, consentiranno in un secondo tempo l’effettuazione di accessi abusivi con l’utilizzo in chiaro delle credenziali tecnicamente correte, senza causare alcun allarme sul sistema attaccato”. Basta questo? No, non basta.

Passaggio ulteriore che consigliamo a Danilo Toninelli, da sottolineare con la matita blu: “L’incertezza sulla effettiva resilienza del sistema di votazioni elettroniche, l’impossibilità di verificare a posteriori la liceità dei trattamenti svolti, l’impossibilità di accertare l’unicità del voto espresso, nonché l’incertezza sulla sua autenticità e, infine, il rischio anche solo sul piano astratto che sia possibile controllare e ricostruire le preferenze espresse dai votanti a causa della mancanza di anonimato, caratterizzando il sistema Rousseau, nella sua componente di voto elettronico, quale interessante sperimentazione di uno strumento di interazione e partecipazione politica, del tutto privo, tuttavia, di quei requisiti di sicurezza informatica e di protezione dei dati personali, che dovrebbero caratterizzare un vero e proprio sistema di e-voting”.

E perché il sistema di e-voting non è sicuro? Lo spiega il garante a pagina 23: “I voti espressi tramite le funzionalità di e-voting offerte dalla piattaforma vengono archiviati, storicizzati e restano imputabili a uno specifico elettore anche successivamente alla chiusura delle operazioni di voto, consentendo elaborazioni a ritroso con, in astratto, la possibilità di profilare costantemente gli iscritti, sulla base di ogni scelta o preferenza espressa tramite il sistema operativo”.

Ci si potrebbe anche fermare qui se non fosse che tra i documenti consegnati al Foglio dal Garante della Privacy c’è un elemento ulteriore che ci permette di mettere a fuoco il vero “burattinaio “del Movimento 5 stelle, l’uomo che gestendo da remoto la democrazia diretta offre agli elettori l’illusione di poter contare quando in realtà il sistema realizzato da Casaleggio & Co. non fa altro che alimentare un bluff politico in cui la democrazia diretta è diretta nel senso che c’è qualcuno che può dirigerla dall’alto. E così, come abbiamo raccontato ieri con lo statuto dell’Associazione Rousseaupubblicato da Luciano Capone, sappiamo con certezza che Casaleggio, da presidente, tesoriere e amministratore unico di Rousseau, attraverso Rousseaucontrolla i dati, controlla i soldi, controlla di fatto il partito teleguidato dalla sua associazione privata e potenzialmente può controllare anche i candidati (anche se certamente non l’ha mai fatto, come hanno detto al garante della privacy i suoi avvocati).

Ma sappiamo anche altro. E sappiamo che al contrario di quello che ha affermato il numero uno della Casaleggio Associati in realtà tra l’Associazione Rousseau e la srl fondata da Gianroberto Casaleggio esiste una simmetria che meriterebbe di essere approfondita come nota anche il Garante in un passaggio della relazione su Rousseau (“I rapporti tra Movimento, Associazione, Società e lo stesso titolare del trattamento Giuseppe Piero Grillo sono meritevoli di un approfondimento che esula però dalle finalità del presente rapporto”). La simmetria non la si deduce solo dal fatto che la sede di Rousseau è la stessa della Casaleggio Associati (via Morone 6, Milano). Ma la si deduce anche da un dettaglio che forse è sfuggito allo stesso garante.

Nel corso dell’ispezione del 5 ottobre in via Morone, di fronte ai dirigenti del Garante della privacy,Casaleggio dice di rispondere non a nome della Casaleggio Associati ma “nella esclusiva qualità di presidente dell’Associazione Rousseau”. Il 18 ottobre del 2017 Davide Casaleggio però invia una email “in risposta alle richieste avanzate da parte dell’autorità garante per la protezione dei dati personali nel corso delle operazioni compiute in data 4 e 5 ottobre 2017 a Milano in via Morone 6”. In quella email Casaleggio spedisce al garante una serie di dati preziosi. La copia dei report del “penetration test”. Gli schemi delle tabelle di Rousseau. I nomi dei soggetti assegnatari di privilegi globali o specifici per ogni database o singole tabelle. I nomi delle persone che hanno accesso da remoto al sistema che gestisce la piattaforma. L’email di Davide Casaleggio si conclude con un significativo nota bene. Questo: “Si prega di mantenere strettamente riservati i nominativi sopra elencati”.

C’è solo un piccolo problema: l’email con cui Davide Casaleggio risponde in qualità di presidente di Rousseau alle richieste del Garante per la Privacy è quella utilizzata dalla Casaleggio Associati per la sua posta certificata. Casaleggioassociati@legalmail.it. Ciò vuol dire che i dati riservati allegati sono a disposizione di chiunque abbia accesso a quella posta certificata.

La domanda che allora oggi Danilo Toninelli dovrebbe rivolgere al controllore del Movimento 5 stelle è questa: siamo sicuri che l’unico soggetto che ha le credenziali per accedere alla posta certificata della Casaleggio Associati sia Davide Casaleggio? I cinque stelle ci insegnano da sempre che il sospetto è l’anticamera della verità. Noi non siamo d’accordo. Ma per una volta un sospetto viene anche noi. E chissà che non venga voglia anche a qualcun altro di farsi due domande su un partito guidato da un comico di nome Beppe Grillo, diretto da un ologramma di nome Luigi Di Maio, eterodiretto dal capo di una srl privata di nome Davide Casaleggio che si candida a governare l’Italia puntando su tre princìpi: siamo il partito della trasparenza, della legalità, della democrazia diretta.

Finora, a leggere le carte del Garante della privacy, possiamo dire che la democrazia diretta è un “bluff” e la trasparenza non c’è. E che l’unico campo in cui sarebbe stato lecito aspettarsi almeno un po’ di competenza, la tecnologia, viene gestito dai grillini più o meno come gli alberi di Natale a Roma. Sulla legalità confidiamo di saperne di più nei prossimi mesi.

*editoriale del direttore del quotidiano IL FOGLIO