28.6 C
Roma
sabato 25 Settembre 2021
- Advertisement -

La piattaforma Rousseau è migliorata anche grazie all’Autorità Garante per la privacy

Questo articolo ha lo scopo di ricordare i moniti del nostro Garante per la privacy sull’affidabilità delle votazioni sulla piattaforma Rousseau del Movimento 5 Stelle. È la storia di come un voto elettronico, da rischioso per la privacy, sia diventato attento alla tutela dei dati personali.

Il monito del garante privacy nel 2019: software obsoleti, incertezze sui dati personali, dubbi sulle votazioni

L’Associazione Rousseau è stata costituita l’8 aprile 2016, donata dalla Casaleggio e Associati al Movimento. Davide Casaleggio ne è presidente, tesoriere e amministratore. La piattaforma Rousseau ha lo scopo (art. 4 dello Statuto) di “promuovere lo sviluppo della democrazia digitale nonché di coadiuvare il Movimento 5 Stelle ed i suoi esponenti nell’organizzazione, promozione e coordinamento delle attività e dei servizi necessari ed utili per l’esercizio dell’azione politica e culturale ed il perseguimento dei suoi obiettivi”.

Un bel giro di parole per una piattaforma versatile, che, tra le altre cose, consente il voto online degli iscritti (si presume che siano anche simpatizzanti e votanti del Movimento 5 Stelle).

L’Autorità Garante per la tutela dei dati personali ha ingaggiato con i fondatori del Movimento e con Rousseau una dura battaglia, che va avanti da anni, per difendere il diritto alla privacy dei cittadini coinvolti. Per quello che ci riguarda, possiamo prendere in esame solo le controversie sul voto elettronico.

Partiamo dalla base. Il sito internet https://rousseau.movimento5stelle.it/ utilizza l’hosting di Amazon Web. Il Garante aveva già avuto modo di precisare nel 2017 (con provvedimento n. 7400401) che la triangolazione dei ruoli e delle competenze (intricato dai siti “blog delle stelle”, “beppegrillo.it” e “movimento5stelle.it”) violava la tutela dei dati personali. Non solo degli iscritti, ma anche dei semplici naviganti.

Nel 2019 (con provvedimento n. 9101974) il Garante è stato molto più duro. Ha infatti rilevato che:

a) Alcune componenti software erano obsolete (“morte” dal 31 dicembre 2013), come la piattaforma Cms, alloraMovable Type 4, rispetto alla versione corrente Movable Type 7. Questo impediva l’auditing informatico e l’aggiornamento delle patch di sicurezza, per ovvie ragioni, coi rischi di vulnerabilità e attacchi hacker.

b) I risultati delle votazioni erano “in chiaro”, visibili e modificabili da parte del gestore della piattaforma, finché non fossero stati certificati (da un notaio), cioè anche a distanza di diversi giorni dalla chiusura delle operazioni di voto, con forti rischi per i dati personali dei votanti. Citando il Garante, “gli addetti tecnici alla gestione della piattaforma e, in particolare, coloro che svolgono la funzione di Dba (Data Base Administrator), pur individuati tra persone di elevata affidabilità, sono comunque tecnicamente in grado di accedere alle delicate funzionalità del Dbms in cui vengono registrati i dati relativi alle espressioni di voto mantenendo una capacità d’azione totale sui dati e sfuggendo alle procedure di auditing”. In altre parole, i gestori della piattaforma erano in grado di profilare i votanti, osservando chi avesse votato cosa.

c) Non venivano adeguatamente definiti i ruoli dei soggetti operanti sui dati personali immessi nella piattaforma.

Piattaforma Rousseau

Infine, con riferimento alla vecchia piattaforma, quella in funzione fino al 2019, il Garante rilevò la possibilità di alterare il voto elettronico, usando queste parole:

«…In questo senso sussistono forti perplessità sul significato da attribuire al termine “certificazione”, riferito dal titolare del trattamento, all’intervento di un notaio o di altro soggetto terzo di fiducia in una fase successiva alle operazioni di voto, con lo scopo di asseverarne gli esiti. Non c’è dubbio, infatti, che qualunque intervento ex post di soggetti di pur comprovata fiducia (notai, certificatori accreditati) poco possa aggiungere, dal punto di vista della genuinità dei risultati, in un contesto in cui le caratteristiche dello strumento informatico utilizzato, non consentendo di garantire tecnicamente la correttezza delle procedure di voto, non possono che produrre una rappresentazione degli esiti non suscettibile di analisi, nell’impossibilità di svolgere alcuna significativa verifica su dati che sono, per loro natura e modalità di trattamento, tecnicamente alterabili in pressoché ogni fase del procedimento di votazione e scrutinio antecedente la c.d. “certificazione”.»

Malgrado questi rilievi, la piattaforma Rousseau è stata usata parecchio, creando un modello innovativo di democrazia (digitale).

Votazioni su Rousseau: storia di plebisciti annunciati?

Dal Sole 24ore dell’11 febbraio 2021: «La prima delle 335 consultazioni di Rousseau risale al 5 luglio 2016: con Lex Iscritti si scelgono due fra 129 proposte di legge che i “portavoce” stellati portano in Parlamento. Il 23 settembre del 2017 la base sceglie Luigi Di Maio come candidato premier per le elezioni del 2018. A questo punto, scoppia il caso dell’hacker ‘rogue0’, che sostiene di aver votato decine di volte nelle primarie online.

Il sistema Rousseau debutta poi nella formazione di un governo, il 18 maggio 2018. Quando, con il 94% dei voti, viene approvato il contratto con la Lega per il governo gialloverde. Il 18 febbraio 2019 la consultazione serve a stabilire la linea sul caso Diciotti. In 52mila votano contro l’autorizzazione a procedere per l’alleato di governo Matteo Salvini.

Di Maio

Il 30 maggio 2019 in ballo c’è la conferma di Luigi Di Maio come capo politico. La piattaforma Rousseau registra un record di partecipazioni: 56.127, con l’80% di “sì” (44.849), e il 20% di “no” (11.278). Il 3 settembre 2019, dopo la crisi del governo gialloverde aperta dalla Lega, la base del M5s è chiamata a decidere sulla nascita del governo giallorosso con il Pd. 63mila su 79mila votanti dicono sì. Il 21 novembre 2019 sulla piattaforma Rousseau gli iscritti decidono che il Movimento 5 Stelle parteciperà con proprie liste alle competizioni elettorali regionali in Calabria ed Emilia-Romagna. Nel 2020, il 14 agosto, in 39mila dicono sì alla modifica del mandato zero. Al tempo stesso, 29mila approvano le alleanze locali. Passano quindi entrambi i quesiti posti agli iscritti M5s.

L’ultima votazione rilevante risale all’11 febbraio 2021, con la quale il 59,3% dei votanti (quindi circa 44 mila iscritti) ha approvato l’adesione del Movimento 5 Stelle al nuovo Governo Draghi (come dichiarato sul “blog delle stelle”).

Come riporta il solito Sole 24ore, «Il voto della base, ad ogni modo, non è mai andato contro l’opinione dei vertici. Con una eccezione. Nel gennaio 2014 sul blog gli attivisti votarono sì all’abrogazione del reato di immigrazione, malgrado la posizione opposta di Beppe Grillo e Gianroberto Casaleggio. In quasi 16mila si schierarono per la sua abrogazione, 9mila per il mantenimento. Un caso unico di rivolta della base contro i leader del M5s». In realtà, all’epoca, la piattaforma Rousseau era ancora di proprietà della Casaleggio e Associati e si votava sul blog di Beppe Grillo.

Il nuovo volto della piattaforma Rousseau

Dall’epoca ne è passata di acqua sotto i ponti. E le indicazioni dell’Autorità Garante sono state per fortuna ascoltate e implementate. Come riporta il sito dell’ecosistema Rousseau, “l’attuale piattaforma è stata completamente riscritta nel corso del 2019 utilizzando le più moderne tecnologie e seguendo i più alti standard in termini di sicurezza, affidabilità e scalabilità del sistema. Oggi la piattaforma poggia su di una infrastruttura altamente performante e sicura, servita in cloud attraverso AWS. Ogni componente di tale infrastruttura è completamente atomico e indipendente grazie ad un sistema di container basato su Docker, ed è completamente scalabile grazie al sistema di orchestrazione open source Kubernetes”. E ancora, “nel riscrivere l’intera piattaforma Rousseau, si è prestata molta attenzione alla sicurezza dell’intero sistema, ad una corretta gestione dei dati e a tutti i più alti standard in termini di privacy e tutela degli utenti. Sotto questi punti di vista, è importante sottolineare come la funzione più sensibile dell’intero sistema, ovvero l’Area Voto, sia stata riprogettata tenendo presente tutte le indicazioni e gli standard europei per il voto elettronico in termini di segretezza del voto, affidabilità del sistema e verificabilità degli aventi diritto. Il diritto di voto si ottiene solo dopo che si è verificata l’effettiva corrispondenza tra l’utente e la persona, attraverso un processo denominato Know Your Customer usato da banche e varie istituzioni per la certificazione dei clienti. Inoltre la base dati è stata progettata in modo che non sia possibile in alcun modo risalire alla preferenza espressa dal singolo votante. Per certificare la sicurezza e l’affidabilità del sistema vengono effettuati periodicamente test e controlli da società specializzate in sicurezza informatica.

Insomma, pare che la piattaforma Rousseau e il Movimento 5 Stelle abbiano imparato la lezione del Garante, riuscendo così a migliorare i propri sistemi, nell’ottica di una democrazia digitale maggiormente privacy friendly.


A cura di Ermanno Salerno

TomorrowNewshttps://www.tomorrownews.it
TomorrowNews nasce come “TomorrowTurin” nel 2016, a Torino, dall’idea di Elisa, Pier e Stefano. Col tempo, il blog è cresciuto ed ha espanso i propri confini tanto fisici quanto tematici, passando ad occuparsi non più soltanto di politica internazionale ma di vari altri temi.

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui

- Advertisement -
- Advertisement -

Articoli Correlati

- Advertisement -