ROMA – “La piattaforma Rousseau non gode delle proprietà richieste a un sistema di e-voting“. Tradotto con parole più chiare e semplici: non garantisce né la segretezza né la sicurezza del voto espresso dagli iscritti al Movimento 5Stelle, il cui risultato può essere manipolato – incredibilmente e persino senza lasciare traccia – dagli amministratori del sistema, in ogni fase del procedimento elettorale.
Questo è l’esito dell’attività ispettiva svolta dal Garante della privacy che ha “condannato” l’Associazione presieduta da Davide Casaleggio, al termine di una istruttoria durata in più fasi ben 2 anni, a pagare 50mila euro e a predisporre una serie di misure correttive volte a: scongiurare la permanente vulnerabilità della piattaforma; consentire la verifica a posteriori delle attività compiute; rimuovere la condivisione delle credenziali di accesso, che rendono impossibile identificare e controllare i soggetti autorizzati a operare sulla piattaforma; progettare un sistema di e-voting in grado non solo di proteggere i dati personali da attacchi interni ed esterni, ma soprattutto di “assicurare l’autenticità e la riservatezza delle espressioni di voto“. Contrariamente arriveranno ulteriori sanzioni.
Quello che è incredibile è che la piattaforma Rousseau opera e prospera con i soldi dei contribuenti, in quanto come ben noto, tutti gli eletti in Parlamento, Consigli Regionali nelle liste del Movimento 5 Stelle sono costretti per contratto a devolvere sotto forma di contributo volontario…(e quindi esentasse) 300 euro al mese, alla piattaforma Rousseau, che comporta un’incasso superiore ad 1 milioni di euro l’anno per l’ Associazione creata e controllata da Davide Casaleggio.
Nonostante l’Associazione Rousseau abbia adottato a seguito di una precedente istruttoria del Garante della Privacy alcuni accorgimenti mirati a garantire la libertà e la segretezza del voto – come la cancellazione o la trasformazione in forma anonima dei dati personali trattati, una volta terminate le operazioni di voto, nonché il disaccoppiamento del numero telefonico del votante dal voto espresso , – il Garante ritiene che gli interventi non siano ancora sufficienti. Ed aggiunge che “sono state evidenziate persistenti criticità” .
Gli ispettore del Garante hanno scoperto l’esistenza di una tabella esterna alla piattaforma ospitata su un server presente all’interno del data center di Wind, società con cui l’Associazione Rousseau aveva un contratto di servizi, contenente tutte le informazioni relative alle operazioni di voto, al numero di telefono e all’ID dei votanti, insieme all’espressione di ciascun voto, il Garante ritiene che “la mera rimozione del numero telefonico, a fronte della presenza di un altro identificativo univoco dell’iscritto“, come Casaleggio rivendica di aver fatto, “non possa essere considerata quale misura coerente con gli obiettivi di protezione dei dati personali che si intendevano promuovere“.
Il Garante aggiunge ed evidenzia “la rilevata assenza di adeguate procedure di auditing informatico, eludendo la possibilità di verifica ex post delle attività compiute, non consente di garantire l’integrità, l’autenticità e la segretezza delle espressioni di voto, caratteristiche fondamentali di una piattaforma di e-voting (almeno sulla base degli standard internazionali comunemente accettati)“.
Rischi di manipolazione
La protezione dei dati personali viene messa a rischio anche da un’altra condotta dei gestori della piattaforma Rousseau, cioè quella di lasciare “esposti i risultati delle votazioni (per un’ampia finestra temporale che si estende dall’istante di apertura delle urne fino alla successiva “certificazione” dei risultati, che può avvenire a distanza di diversi giorni dalla chiusura delle operazioni di voto) ad accessi ed elaborazioni di vario tipo (che vanno dalla mera consultazione a possibili alterazioni o soppressioni, all’estrazione di copie anche offline)“. E tutto questo perché gli amministratori di sistema, cioè le persone in possesso delle credenziali per accedere e operare sulla piattaforma (mediante due diverse utenze con privilegi) sono cinque per il sito www.movimento5stelle.it e altre cinque per il sito rousseau.movimento5stelle.it, alcune delle quali uguali per l’uno e l’altro sito.
Ma non è possibile identificarle. Pertanto “la modalità di assegnazione delle credenziali e dei privilegi relativi alle varie funzionalità dei siti dell’Associazione (…) risultano inadeguate sotto il profilo della sicurezza – allerta il Garante – poiché la condivisione delle credenziali impedisce di attribuire le azioni compiute in un sistema informatico a un determinato incaricato, con pregiudizio anche per il titolare, privato della possibilità di controllare l’operato di figure tecniche così rilevanti“.
Controlli non effettuabili
“La regolarità delle operazioni di voto è quindi affidata alla correttezza personale e deontologica di queste delicate funzioni tecniche, cui viene concessa una elevata fiducia in assenza di misure di contenimento delle azioni eseguibili e di suddivisione degli ambiti di operatività, cui si aggiunge la certezza che le attività compiute, al di fuori del ristretto perimetro soggetto a tracciamento, non potranno essere oggetto di successiva verifica da parte di terzi“.
In pratica effettuare un controllo su chi fa cosa, sua ex ante, sia ex post. “In questo senso la piattaforma Roussau non gode delle proprietà richieste a un sistema di e-voting“, sentenzia il Garante richiamando il documento adottato dal comitato dei ministri del Consiglio di Europa il 14 luglio 2017 “che prevede la protezione delle schede elettroniche e l’anonimato dei votanti in tutte le fasi del procedimento elettorale elettronico“.
La piattaforma Rousseau secondo il Garante “non appare in grado né di prevenire eventuali abusi commessi da addetti interni, né di consentire l’accertamento a posteriori dei comportamenti da questi tenuti, stante la limitata efficacia degli strumenti di tracciamento delle attività“. Ed “in questo senso sussistono forti perplessità sul significato da attribuire al termine ‘certificazione’ riferito al titolare del trattamento all’intervento di un notaio o di un soggetto terzo di fiducia in una fase successiva alle operazioni di voto con lo scoop di asseverarne gli esiti”.
Nel provvedimento del Garante della Privacy si legge che: “non c’è dubbio infatti che qualunque intervento ex post di soggetto di pur comprovata fiducia (notai, certificatori accreditati) poco possa aggiungere, dal punto di vista della genuinità dei risultati, in un contesto in cui le caratteristiche dello strumento informatico utilizzato, non consentendo di garantire tecnicamente la correttezza delle procedure di voto, non possono che produrre una rappresentazione degli esiti non suscettibile di analisi, nell’impossibilità di svolgere alcuna significativa verifica su dati che sono, per loro natura e modalità di trattamento, tecnicamente alterabili in pressoché ogni fase del provvedimento di votazione e scrutinio antecedente la cosiddetta certificazione“.