Rousseau: "Uso politico del Garante della privacy"

"La piattaforma Rousseau non gode delle proprietà richieste a un sistema di e-voting". In parole povere: non garantisce né la segretezza né la sicurezza del voto degli iscritti ai 5Stelle, il cui risultato può essere manipolato - senza lasciare traccia - dagli amministratori del sistema, in ogni fase del procedimento elettorale.È l'esito dell'attività ispettiva svolta dal Garante della privacy che, al termine di una istruttoria in più fasi durata due anni, ha "condannato" l'Associazione presieduta daa pagare 50mila euro e a predisporre una serie di misure correttive volte a: scongiurare la permanente vulnerabilità della piattaforma; consentire la verifica a posteriori delle attività compiute; rimuovere la condivisione delle credenziali di accesso, che rendono impossibile identificare e controllare i soggetti autorizzati a operare sulla piattaforma; progettare un sistema di e-voting in grado non solo di proteggere i dati personali da attacchi interni ed esterni, ma soprattutto di "assicurare l'autenticità e la riservatezza delle espressioni di voto". Pena, ulteriori sanzioni. La replica dell'associazione arriva prima attraverso, braccio destro di Davide Casaleggio, poi con un post sul blog delle Stelle. Ed è durissima.Enrica Sabatini, socia dell'associazione Rousseau, è la prima a replicare: "L'infrastruttura tecnologica di Rousseau, come abbiamo comunicato nei giorni scorsi, è stata potenziata recependo le osservazioni del Garante ed così ha risposto alla domanda di maggiore innovazione e a quella di essere uno strumento all'avanguardia in grado di soddisfare le esigenze degli utenti e delle tante attività che vengono svolte sulla piattaforma". Poi, sul blog delle Stelle, arriva un attacco ancora più duro: "Temiamo che ci sia un uso politico del garante della privacy e che possa risentire della sua pregressa appartenenza al Pd. Il garante della privacy dovrebbe tutelare tutti, non solo le persone del suo partito".



Il voto non è segreto

Possibilità di manipolazione

Controlli impossibili

Ma torniamo alla relazione del Garante. Anche se, dopo una precedente istruttoria, l'Associazione Rousseau ha adottato alcuni accorgimenti mirati a garantire la libertà e la segretezza del voto - come la cancellazione o la trasformazione in forma anonima dei dati personali trattati, una volta terminate le operazioni di voto, nonché il disaccoppiamento del numero telefonico del votante dal voto espresso - il Garante ritiene che gli interventi non siano ancora sufficienti. Anzi - scrive - "sono state evidenziate persistenti criticità" scrive.Oltre ad aver scoperto l'esistenza di una tabella esterna alla piattaforma (presente all'interno del data center di Wind, con cui l'associazione Rousseau aveva un contratto di servizi) contenente tutte le informazioni relative alle operazioni di voto, al numero di telefono e all'ID dei votanti, insieme all'espressione di ciascun voto, il Garante ritiene che "la mera rimozione del numero telefonico, a fronte della presenza di un altro identificativo univoco dell'iscritto", come Casaleggio rivendica di aver fatto, "non possa essere considerata quale misura coerente con gli obiettivi di protezione dei dati personali che si intendevano promuovere".Non solo "la rilevata assenza di adeguate procedure di auditing informatico, eludendo la possibilità di verifica ex post delle attività compiute, non consente - scrive il Garante - di garantire l'integrità, l'autenticità e la segretezza delle espressioni di voto, caratteristiche fondamentali di una piattaforma di e-voting (almeno sulla base degli standard internazionali comunemente accettati)".La protezione dei dati personali è messa a rischio anche da un'altra condotta, ovvero quella di lasciare "esposti i risultati delle votazioni (per un'ampia finestra temporale che si estende dall'istante di apertura delle urne fino alla successiva "certificazione" dei risultati, che può avvenire a distanza di diversi giorni dalla chiusura delle operazioni di voto) ad accessi ed elaborazioni di vario tipo (che vanno dalla mera consultazione a possibili alterazioni o soppressioni, all'estrazione di copie anche offline)". E ciò perché gli amministratori di sistema, cioè le persone in possesso delle credenziali per accedere e operare sulla piattaforma (mediante due diverse utenze con privilegi) sono cinque per il sito www.movimento5stelle.it e altre cinque per il sito rousseau.movimento5stelle.it, alcune delle quali uguali per l'uno e l'altro sito.Ma non è possibile identificarle. Perciò "la modalità di assegnazione delle credenziali e dei privilegi relativi alle varie funzionalità dei siti dell'Associazione (...) risultano inadeguate sotto il profilo della sicurezza - avverte il Garante - poiché la condivisione delle credenziali impedisce di attribuire le azioni compiute in un sistema informatico a un determinato incaricato, con pregiudizio anche per il titolare, privato della possibilità di controllare l'operato di figure tecniche così rilevanti"."La regolarità delle operazioni di voto è quindi affidata alla correttezza personale e deontologica di queste delicate funzioni tecniche, cui viene concessa una elevata fiducia in assenza di misure di contenimento delle azioni eseguibili e di suddivisione degli ambiti di operatività, cui si aggiunge la certezza che le attività compiute, al di fuori del ristretto perimetro soggetto a tracciamento, non potranno essere oggetto di successiva verifica da parte di terzi". È cioè fare un controllo su chi fa cosa, sua ex ante, sia ex post. "In questo senso la piattaforma Roussau non gode delle proprietà richieste a un sistema di e-voting", sentenzia il Garante richiamando il documento adottato dal comitato dei ministri del consiglio di europa il 14 luglio 2017 "che prevede la protezione delle schede elettroniche e l'anonimato dei votanti in tutte le fasi del procedimento elettorale elettronico".La piattaforma, infatti "non appare in grado né di prevenire eventuali abusi commessi da addetti interni, né di consentire l'accertamento a posteriori dei comportamenti da questi tenuti, stante la limitata efficacia degli strumenti di tracciamento delle attività" scrive il Garante. E "in questo senso sussistono forti perplessità sul significato da attribuire al termine 'certificazione' riferito al titolare del trattamento all'intervento di un notaio o di un soggetto terzo di fiducia in una fase successiva alle operazioni di voto con lo scoop di asseverarne gli esiti"."Non c'è dubbio infatti - si legge - che qualunque intervento ex post di soggetto di pur comprovata fiducia (notai, certificatori accreditati) poco possa aggiungere, dal punto di vista della genuinità dei risultati, in un contesto in cui le caratteristiche dello strumento informatico utilizzato, non consentendo di garantire tecnicamente la correttezza delle procedure di voto, non possono che produrre una rappresentazione degli esiti non suscettibile di analisi, nell'impossibilità di svolgere alcuna significativa verifica su dati che sono, per loro natura e modalità di trattamento, tecnicamente alterabili in pressoché ogni fase del provvedimento di votazione e scrutinio antecedente la cosiddetta certificazione".