Che la piattaforma Rousseau non fosse sicura lo si sapeva dal 4 agosto 2017 quando il black hat R0gue_0 aveva pubblicato online informazioni prelevate illegalmente dal database, rendendo noti email e numeri di cellulare di iscritti e di persone importanti all'interno del Movimento 5 Stelle. Non è stata l'unica prova di forza, gli attacchi sono continuati anche durante il voto del candidato premier dove si era impossessato degli account di altri utenti votando al posto loro. Il Garante della Privacy, di fronte a questi problemi così evidenti, aveva verificato ulteriormente, notando il problema relativo alla «possibilità di profilare costantemente gli iscritti sulla base di ogni scelta o preferenza espressa tramite il “sistema operativo”». Oggi, il Garante della Privacy – con il provvedimento su data breach – 4 aprile 2019 [9101974] - ha sanzionato l'associazione Rousseau, quale responsabile del trattamento dei dati, per un totale di 50 mila euro di multa da pagare entro 180 giorni a partire da oggi.
Il voto di R0gue_0 con l'account di un iscritto.
A seguito delle critiche su come è stata ideata e gestita la piattaforma – definita più volte erroneamente «sistema operativo» – c'è voluto il provvedimento del Garante per sentenziare che la piattaforma Rousseau «non gode delle proprietà richieste a un sistema di e-voting». Il motivo è spiegato nello stesso documento dove si evidenzia che mancano le basi previste anche dagli standard internazionali comunemente accettati per le piattaforma di e-voting, dove in pratica non viene garantito in alcun modo che il voto non sia di fatto manipolabile dall'interno: «gli addetti tecnici alla gestione della piattaforma e, in particolare, coloro che svolgono la funzione di Dba (Data Base Administrator), pur individuati tra persone di elevata affidabilità, sono comunque tecnicamente in grado di accedere alle delicate funzionalità del Dbms in cui vengono registrati i dati relativi alle espressioni di voto mantenendo una capacità d’azione totale sui dati e sfuggendo alle procedure di auditing».
Lo screen del post pubblicato con l'account di Davide Casaleggio dal black hat R0gue_0
Per gli iscritti alla piattaforma Rousseau non rimane che «fidarsi» dei tecnici e della associazione stessa, ma – come sostiene il Garante – la mancanza di possibilità di verifica ex post delle attività svolte al suo interno non garantisce «l’integrità, l’autenticità e la segretezza delle espressioni di voto». Gli iscritti potrebbero decidere se ritenere valide o meno le passate votazioni, ma viste le evidenze il nuovo problema del Movimento 5 Stelle potrebbe essere il ricorso da parte degli esclusi e degli scontenti.
Davide Casaleggio potrebbe essere costretto a far fronte a un nuovo problema legato sempre alla piattaforma e alle Europarlamentarie: una donna avrebbe segnalato di essersi trovata iscritta a sua insaputa e il suo voto sarebbe andato a uno dei candidati, ma potrebbe non essere l'unico caso. Secondo Adnkronos, il Presidente dell'associazione Rousseau si sarebbe recato in Procura per denunciare i «profili clone» mentre Enrica Sabatini, una dei responsabili dell'associazione, avrebbe elogiato il sistema di segnalazione che avrebbe consentito agli iscritti di avviare i controlli, ma il problema è altrove: come è stata certificata l'iscrizione della donna che avrebbe denunciato l'uso improprio della sua identità?
