Rousseau, il «non sistema operativo» del M5s che può far cadere il governo

Lanciata nell’aprile 2016, la piattaforma è l’ultimo lascito di Gianroberto Casaleggio, fondatore assieme a Beppe Grillo del Movimento

Il governo Conte bis dipende da un voto online per una percentuale minima rispetto ai votanti dello stesso partito che lo appoggia, il Movimento 5 Stelle. Non è la prima volta che il destino dell’Italia viene messo in discussione tramite questa piattaforma che molti insistono ancora a chiamare «sistema operativo».

Era accaduto con il «Contratto di governo» con la Lega e con il salvataggio di Matteo Salvini dai guai giudiziari sul caso Diciotti, di conseguenza non dovrebbe sorprendere la decisione di Luigi Di Maio affidare il giudizio sull’esecutivo nascente agli attivisti M5s. Tuttavia la piattaforma suscita molti dubbi dopo i passati trascorsi.

Cos’è Rousseau, l’ultimo lascito di Gianroberto Casaleggio

La piattaforma Rousseau è stata lanciata ufficialmente il 12 aprile 2016, lo stesso giorno della morte di Gianroberto Casaleggio. Un omaggio, un lascito o semplicemente un ricordo. L’ultima creatura dell’uomo che il 4 ottobre 2009 aveva fondato assieme a Beppe Grillo il Movimento Cinque Stelle.

A gestire questo strumento è ora l’Associazione Rousseau, fondata sempre da Gianroberto Casaleggio con il figlio Davide che al momento ricopre la carica di presidente. Assieme a lui, tre soci: Massimo Bugani, responsabile dell’organizzazione eventi, Pietro Dettori, responsabile editoriale, e Enrica Sabatini, responsabile del settore ricerca e sviluppo.

Rousseau è molto più di una piattaforma di voto, è il «sistema operativo» del Movimento Cinque Stelle. L’evoluzione dei MeetUp e del blog di Beppe Grillo, definito da Massimo Bugani «uno strumento straordinario che saranno costretti a copiarci in tantissimi partiti politici e nazioni». Le funzioni sono tante, tutte orientate a facilitare la partecipazione dei cittadini alla vita politica.

Ci sono sezioni che permettono di proporre e discutere leggi, come Lex Iscritti o Lex Parlamento, c’è Scudo della Rete che permette agli iscritti di ricevere assistenza legale, o ancora la funzione E-Learning con corsi di formazione per consiglieri comunali. E poi, ovviamente, la funzione più criticata: Vota, con cui gli iscritti possono esprimere le loro preferenze.

Tutto è finanziato dalle quote versate dagli eletti del Movimento Cinque Stelle: 300 euro al mese per un totale di circa 1,6 milioni di euro all’anno.

Le altre votazioni e quella tendenza al plebiscito

Il voto per approvare il contratto di governo con il Pd si presenta come uno di quelli più importanti mai avvenuti sulla piattaforma. Un voto delicato, visto i giudizi espressi dal Movimento Cinque Stelle sui Dem nelle ultime legislature. Toni difficili da dimenticare, visto che ancora poche settimane fa il capo politico Luigi Di Maio definiva i partito guidato da Nicola Zingaretti come il «Partito di Bibbiano».

Eppure le premesse perché la base confermi le decisioni dei vertici ci sono tutte. Nelle votazioni passate gli iscritti hanno sempre votato nella direzione indicata dal direttivo. I dati che da qui in poi riporteremo sono quelli forniti dalla piattaforma stessa. Non esiste nessun ente terzo che certifichi né il numero dei votanti, né i risultati finali di ogni votazione.

Secondo quanto dichiarato da Luigi Di Maio, gli iscritti alla piattaforma sarebbero 100mila. Non tutti però partecipano attivamente alle votazioni. Il 15 aprile 2018 solo 20.541 hanno votato per scegliere le donne capolista alle elezioni europee mentre il 18 maggio successivo sono stati in 44.796 a votare per il contratto di governo Lega-Cinque Stelle.

Il 18 febbraio 2019 in 52.417 si sono espressi sull’autorizzazione a procedere chiesta dal tribunale di Catania al Parlamento italiano nei confronti di Matteo Salvini per i fatti dalla nave Diciotti. In questo caso a chiedere che il ministro dell’Interno venisse processato sono stati oltre 21mila iscritti, mentre 31mila hanno chiesto di non accettare la richiesta dalla magistratura.

Tranne questo ultimo caso, più in bilico, gli iscritti si sono sempre mostrati d’accordo con la testa del Movimento con percentuali da plebiscito. Il contratto Lega-Cinque Stelle è stato appoggiato dal 94% dei votanti, mentre l’80% ha confermato Di Maio come capo politico dopo i risultati disastrosi delle Europee del 2019, quando il M5s aveva ottenuto il 17 % dei voti cedendo lo scettro di primo partito d’Italia alla Lega.

La tendenza al plebiscito nelle votazioni del Movimento Cinque Stelle è stata analizzata anche su YouTrend da Giovanni Forti. Riprendendo i dati degli anni passati si può vedere infatti che la differenza fra gli iscritti a favore e quelli contro la linea del Movimento raramente è scesa sotto il 27%.

Solo una volta questa tendenza si è invertita. Nel gennaio 2014, quando ancora Rousseau non era attivo, gli iscritti del Movimento Cinque Stelle avevano partecipato a delle votazioni online sull’abrogazione del reato di immigrazione clandestina. A proporlo erano stati i senatori Andrea Cioffi e Maurizio Buccarella mentre i vertici del Movimento si erano espressi contro.

A votare a favore dell’abrogazione, sconfessando i big del partito, è stato il 63% dei 24.932 votanti. Ai tempi Gianroberto Caselleggio aveva dichiarato: «Sono soddisfatto. Così dimostriamo finalmente che non siamo io e Grillo a comandare». Forse, per questo contratto giallo rosso, la reazione dei nuovi vertici potrebbe non essere la stessa.

Il tallone di Achille: la sicurezza

Il 2 agosto 2017 un account Twitter di nome R0gue_0 pubblica nella piattaforma opensource Zerobin.net delle tabelle di un database riportante i dati di alcuni utenti. C’erano codice fiscale, nome, cognome ed email in chiaro, ma la cosa più sorprendente è che erano dati degli iscritti alla piattaforma Rousseau e che non avrebbero dovuto mai essere divulgati pubblicamente senza il consenso degli interessati. Non a caso era poi intervenuto il garante della Privacy, ma ci arriveremo.

Si poteva pensare a una presa in giro da parte di qualcuno che voleva far credere che la piattaforma del Movimento 5 Stelle fosse stata violata, ma alcune delle tabelle pubblicate contenevano delle parole chiave che solo chi ha lavorato all’interno della Casaleggio Associati poteva riconoscere. Una di queste era «legalizzamelo».

«Associamelo», «approvamelo», «passamelo», «salutemelo», «pubblicamelo» erano espressioni tipiche di uno dei programmatori all’interno dell’azienda e quel «legalizzamelo» era stato inserito presumibilmente per testare il sistema e il database.

Quest’ultimo era a disposizione del blackhat, il pirata informatico R0gue_0, a dimostrazione del fatto che nei giorni successivi aveva continuato a pubblicare altre tabelle con altri dati sensibili e molto recenti. Era persino riuscito a far visualizzare tra le donazioni a Rousseau anche una falsa da un milione di euro a nome di Matteo Renzi.

Il voto degli utenti a loro insaputa

In vista delle Primarie del M5S il blackhat R0gue_0 aveva dimostrato quanto era possibile accedere agli account di un utente e votare il capo politico del Movimento nonostante la doppia verifica dell’accesso tramite l’Sms. Aggirare il problema era semplice, fin troppo: la gestione dell’utente Rousseau veniva fatta da un altro sito del Movimento dove per accedere e modificare i dati non serviva la doppia verifica tramite cellulare. R0gue_0, utilizzando dei numeri utilizzabili online, si era introdotto a nome di altri senza problemi.

Il post pubblicato con l’account di Davide Casaleggio.

Per dimostrare ulteriormente le sue possibilità, R0gue_0 si era introdotto con diversi account all’interno della piattaforma. Dopo alcuni screenshot dove c’erano anche vittime illustri come Giancarlo Cancelleri si è passati alla mossa successiva: nel 2018 si era introdotto con un account associabile a Davide Casaleggio.

Un grosso problema di privacy

L’azione fraudolenta di R0gue_0 aveva attivato il garante della Privacy, ma in alcuni casi non serviva per forza un pirata informatico. Una volta era bastata una banale ricerca Google per scovare un elenco in chiaro di email dei partecipanti alla «Marcia virtuale» di Beppe Grillo.

La schermata con il codice in chiaro fornito dal sito dell’iniziativa grillina.

Una volta resa nota la faccenda, i tecnici che operavano per conto del sito di Grillo avevano rimosso tutto il contenuto dell’iniziativa. Troppo tardi, anche se al momento era il «problema minore». La piattaforma, per come era stata sviluppata, risultava vulnerabile a livello di sicurezza informatica e poteva dare ampie possibilità a qualunque delinquente informatico di farne quello che voleva. Senza contare che nel 2018 aveva pubblicato anche i numeri di cellulare in chiaro degli esponenti del Movimento 5 Stelle, come Danilo Toninelli.

Il colpo di grazia del garante al voto su Rousseau

Il 4 aprile 2019 il garante pubblica un provvedimento in cui evidenzia, a seguito dei rilievi tenici sulla piattaforma, le gravi problematiche riscontrate. La più importante, quella che ha caratterizzato l’importanza e le battaglie per la «democrazia diretta» del Movimento, era proprio quella del voto. Questo fa chiaramente comprendere che le votazioni prima del novembre 2018 erano manipolabili e soprattutto senza possibilità di prevenzione e controllo. Se ne parla al punto 3.4 del provvedimento del Garante:

A ciò si aggiunge che la rilevata assenza di adeguate procedure di auditing informatico, escludendo la possibilità di verifica ex post delle attività compiute, non consente di garantire l’integrità, l’autenticità e la segretezza delle espressioni di voto, caratteristiche fondamentali di una piattaforma di e-voting (almeno sulla base degli standard internazionali comunemente accettati). Infatti, gli addetti tecnici alla gestione della piattaforma e, in particolare, coloro che svolgono la funzione di Dba (Data Base Administrator), pur individuati tra persone di elevata affidabilità, sono comunque tecnicamente in grado di accedere alle delicate funzionalità del Dbms in cui vengono registrati i dati relativi alle espressioni di voto mantenendo una capacità d’azione totale sui dati e sfuggendo alle procedure di auditing.

Come se non bastasse, sempre al punto 3.4 scrive:

In questo senso, la piattaforma Rousseau non gode delle proprietà richieste a un sistema di evoting […] La stessa, infatti, non appare in grado, tra l’altro, né di prevenire gli eventuali abusi commessi da addetti interni, non essendo stati in essa previsti accorgimenti per partizionare il loro dominio d’azione (in particolare, degli amministratori di sistema e dei DBA – data base administrators), né di consentire l’accertamento a posteriori dei comportamenti da questi tenuti, stante la limitata efficacia degli strumenti di tracciamento delle attività.

La situazione odierna

Non è facile comprendere cosa sia successo dalle ultime analisi e/o operazione fatte dagli addetti ai lavori a seguito dell’intervento del garante. Sta di fatto che il blackhat R0gue_0 da parecchio tempo non pubblica più alcuna azione fraudolenta e non si è fatto vivo nelle recenti consultazioni. L’ultimo messaggio è rivolto a Di Maio, ma senza alcun risultato:

Come evidenziato dal garante, in passato erano state concesse diverse proroghe per adempiere alle richieste per evitare le sanzioni. Nonostante arrivò una multa a 50 mila euro per le violazioni riscontrate. Non ci sono novità riguardo il garante e non si hanno notizie certe, se non a voce, di avvenute correzioni per la messa in sicurezza della piattaforma.

Certo è che la gestione dell’account su Rousseau non è più di competenza del vecchio sito Movimento5Stelle.it e per poter effettuare delle modifiche c’è bisogno della doppia verifica con il cellulare. Un passo avanti, ma rimane tutto il trascorso di una piattaforma che ha fatto acqua da molte parti e che non era possibile ritenere sicura.

Rimane il nodo della certificazione del voto. In passato solo due votazioni erano state certificate da un ente terzo di controllo, la società Dnv, e riguardavano il voto delle Quirinarie del 2013 e quella del «Non Statuto» nel 2016, mentre quelle successive erano state «certificate» da un notaio. C’è da domandarsi se il notaio in questione, o chi per lui di indipendente rispetto all’associazione Rousseau, abbia effettuato gli stessi controlli della Dnv.

Leggi anche: