A seguito della pubblicazione, datata 4 aprile 2019, del procedimento del Garante della Privacy e della sanzione di 50 mila euro all'Associazione Rousseau, sono stati sollevate diverse critiche e accuse di parzialità rivolte all'autorità, in particolare al suo presidente Antonello Soro in quanto vanta un passato politico nelle file del Partito Democratico. In questo articolo cerchiamo di spiegare il più possibile in cosa consiste il provvedimento e quante dichiarazioni errate sono state diffuse.

Il 5 aprile 2019 l'eurodeputato del Movimento 5 Stelle Ignazio Corrao, ospite di Myrta Merlino a L'Aria Che Tira in onda su La7, ha criticato la presenza di Antonello Soro alla guida dell'Autorità sostenendo i suoi dubbi sull'imparzialità. Corrao sostiene che sia molto strano l'atteggiamento del Garante: «Loro fanno riferimento a un sistema che è stato modificato perché quando sono state mosse delle osservazioni l'anno scorso si è intervenuti sulla piattaforma per rispondere a quelle osservazioni che sono state mosse. Quindi, a me sembra molto, molto strano questo tipo di atteggiamento da chi, comunque, imparziale non può essere».

Storico del Provvedimento

A seguito dei primi attacchi informatici dell'agosto 2017 alla piattaforma Rousseau - e ai siti Movimento5stelle.it e Beppegrillo.it - da parte del black hat R0gue_0. dove sono stati diffusi i dati personali di iscritti e personaggi pubblici, alcuni di questi oggi ministri della Repubblica, il Garante della Privacy aveva richiesto all'Associazione Rousseau di adottare le misure necessarie al fine di proteggere i dati personali degli utenti secondo quanto previsto dalla disciplina in materia.

Il primo provvedimento risale al 21 dicembre 2017. da allora ne sono susseguiti altri - 16 maggio 2018 e 4 ottobre 2018 - prevedendo anche delle proroghe su richiesta del titolare del trattamento dei dati personali, l'Associazione Rousseau, al fine di «poter disporre di un termine ulteriore per l’effettivo e completo adempimento delle prescrizioni».

L'ultima proroga poneva la data del 15 ottobre 2018 come termine ultimo per il completamento delle operazioni. Il 16 ottobre 2018 l'Associazione Rousseau aveva dichiarato di aver completato tutti gli adempimenti previsti. Il Garante, al fine di verificare quanto dichiarato dall'Associazione, ha provveduto ad avviare il 12 e 13 novembre 2018 un accertamento ispettivo di natura tecnica sulla reale «robustezza dei sistemi di sicurezza adottati rispetto alle criticità rappresentate dall’Autorità» presso Wind Tre S.p.a e ITnet s.r.l., società che detengono all'interno del loro data center i server che ospitano i siti presi in esame.

Voto manipolabile senza possibilità di prevenzione e controllo

Al punto 3.4 del Provvedimento del Garante vengono riportate le mancanze della piattaforma Rousseau in merito al servizio di voto online fornito:

A ciò si aggiunge che la rilevata assenza di adeguate procedure di auditing informatico, escludendo la possibilità di verifica ex post delle attività compiute, non consente di garantire l’integrità, l’autenticità e la segretezza delle espressioni di voto, caratteristiche fondamentali di una piattaforma di e-voting (almeno sulla base degli standard internazionali comunemente accettati).

Siamo nel 2019 e in Rete non si fa fatica a sentir parlare di Log, il «registro degli eventi» all'interno di una piattaforma, sistema operativo o in questo caso un database. Tale registro è fondamentale al fine di effettuare un auditing informatico - una sorta di «revisione dei conti» - in una piattaforma come quella di Rousseau e il Garante della Privacy, durante le indagini svolte, si è interfacciata con la Wind, ITnet s.r.l. - società che possiede e gestisce nel proprio data center i server dell'Associazione Rousseau - ottenendo come riposta le due seguenti modalità di accesso e gestione del database:

una riservata agli amministratori di sistema di ITnet, muniti delle loro credenziali di accesso, dove vengono registrate tutte le operazioni compiute;

una riservata al personale tecnico dell'Associazione Rousseau attraverso l'uso di un'interfaccia web di gestione che non prevede alcuna registrazione degli accessi e delle operazioni compiute.

A ritenere fornire queste informazioni, come riportato nel Provvedimento in merito al verbale di ispezione del 12 novembre 2018, è la stessa società ITnet.

Le perplessità sulla «certificazione»

Secondo quanto dichiarato dal Ministro Toninelli «Tutte le votazioni di Rousseau sono certificate da un ente esterno», senza però fornire indicazioni su chi sia questo «ente». Il 9 marzo 2019, durante la prima giornata dei Villaggio Rousseau a Milano, Open aveva ottenuto risposta in merito: a certificare le votazioni è un notaio, di cui non è stato fornito il nome. In passato, durante le Quirinarie e il voto dello Statuto, si conosceva l'identità di una società terza (Dnv) che certificava il voto, un ente terzo competente nell'ambito informatico rispetto a un notaio.

Di fronte al problema dei dati alterabili e dell'impossibilità di prevenire eventuali abusi da parte degli addetti interni, il Garante sostiene che sussistano «forti perplessità sul significato da attribuire al termine “certificazione” riferito dal titolare del trattamento all’intervento di un notaio o di altro soggetto terzo di fiducia in una fase successiva alle operazioni di voto, con lo scopo di asseverarne gli esiti».

Le accuse di parzialità

In merito al Collegio, questo viene eletto dal Parlamento:

Il Garante per la protezione dei dati personali è un organo collegiale, composto da quattro membri eletti dal Parlamento, i quali rimangono in carica per un mandato di sette anni non rinnovabile. L´attuale Collegio è stato eletto dal Parlamento (ai sensi dell´art. 153, comma 2 del Codice) il 6 giugno 2012 e si è insediato 19 giugno 2012

Fatta questa premessa, su Il Blog delle Stelle viene posta le seguenti domande e richieste:

Il garante ha mai controllato gli altri partiti? Il suo partito per esempio, del quale è stato presidente e capogruppo è mai stato messo sotto la lente d’ingrandimento? Ha mai controllato le primarie del suo partito? Il modo in cui vengono contati i voti e il modo in cui vengono acquisiti i dati? Le multe che sono state comminate al Pd sono proporzionali a quelle comminate a Rousseau?

Temiamo che ci sia un uso politico del garante della privacy e che possa risentire della sua pregressa appartenenza al Pd.

Il garante della privacy dovrebbe tutelare tutti, non solo le persone del suo partito.

Il Garante della Privacy non si è occupato solamente del Movimento 5 Stelle e le critiche di Ignazio Corrao, il quale mette in dubbio l'imparzialità dell'Autorità partendo dal passato politico del Presidente Soro, trovano risposta attraverso il motore di ricerca presente nel sito Garanteprivacy.it:

Entrambi gli interventi, firmati Antonello Soro, sono rivolti a violazioni del Partito Democratico in tema di protezione dei dati personali.

Il Blog delle Stelle pone ulteriori domande:

Può il garante della privacy essere un esponente politico di un partito? Noi riteniamo di no e non ci sentiamo tutelati in alcuna maniera. I dati degli iscritti al MoVimento 5 Stelle di cui il garante è entrato in possesso sono stati condivisi con terzi soggetti o fatti oggetto di accesso agli atti?

In questo caso bisognerebbe cambiare tutto il sistema di elezione del Collegio del Garante, siccome composto da quattro membri eletti dal Parlamento. La carica dura sette anni ed essendo l'attuale composizione eletta nel 2012 siamo ormai prossimi a una nuova elezione con un Parlamento a maggioranza Movimento 5 Stelle e Lega.

Il tema della «pirateria»

Durante la puntata del 5 aprile 2019 di L'Aria Che Tira, il deputato di Forza Italia Giorgio Mulè interviene sul tema della piattaforma in merito alla vulnerabilità: «Cosa vi dice oggi il Garante? Guarda che fino a poco tempo fa non solo era manipolabile e vulnerabile, ma esponevi gli utenti a essere oggetto di... come dire.. "pirateria" da parte di altri con i loro dati». Secondo Ignazio Corrao la dichiarazione di Mulè non risulta vera.

Risulta un fatto che, a seguito della violazione della piattaforma da parte del black hat R0gue_0, siano stati diffusi dati sensibili degli utenti iscritti ai siti del Movimento 5 Stelle. Tra questi troviamo anche le password degli utenti per accedere al Blog Beppegrillo.it, fatto che aveva costretto l'invio massivo di email per modificarle. Il delinquente dimostrò di poter fare di più, accedendo al sito Movimento5stelle.it con le credenziali dell'account di Davide Casaleggio pubblicando all'interno un post burla dal titolo «Preso l'hacker di Rousseau, adesso tocca ai mandanti». Durante le votazioni del capo politico del Movimento si era introdotto con gli account di alcuni utenti votando al loro posto. Ricordiamo che possedere le password di un servizio e diffonderle online espone gli utenti a ulteriori tentativi di violazione presso terzi, siccome può capitare che venga usata la stessa password per diversi siti o servizi per comodità.

Conclusioni

Le verifiche del Garante della Privacy che hanno portato al Provvedimento del 4 aprile 2019 si sono svolte nel mese di novembre 2018, a seguito di proroghe richieste dall'Associazione Rousseau e alla comunicazione di quest'ultima del 16 ottobre in cui sosteneva il completamento di tutti gli adempimenti previsti.

I problemi riscontrati sono sicuramente precedenti a novembre 2018 e le possibilità di un voto manipolato potrebbero essere sollevate dagli esclusi alle candidature così come per gli scontenti delle decisioni politiche dello stesso Movimento votate attraverso la piattaforma Rousseau.

A fornire le informazioni tecniche è stata la società che gestisce il data center dove sono presenti i server dell'Associazione Rousseau al momento della verifica.

Il Garante si è espresso anche in altri casi riguardanti lo stesso partito di cui era parlamentare l'attuale Presidente del Garante della Privacy, Antonello Soro.