Il Garante non garantisce Rousseau

Il Garante della Privacy Antonello Soro non si fida di Davide Casaleggio. Impone di fornire all’Autorità il codice della piattaforma Rousseau, la dichiarazione di un professionista o una società terza sulla sicurezza delle nuove modifiche e, soprattutto, prende in carico personalmente la pratica.

È questa la sintesi del nuovo provvedimento, datato 16 maggio 2018, che segue quello dello scorso dicembre e riguarda lo stato di avanzamento delle prescrizioni imposte al capo-ombra del MoVimento 5 Stelle.

La vicenda inizia ad agosto dello scorso anno quando la piattaforma Rousseau subisce due violazioni di sicurezza, qui raccontate dall’ottimo David Puente, talmente gravi da mettere in allarme il Garante della Privacy. Viene condotta un’indagine che si conclude con alcune prescrizioni: vanno garantite la sicurezza del voto e la protezione dei dati personali. L’indagine, infatti, aveva fatto emergere una grave insufficienza tecnica e, soprattutto, aveva confermato che i voti espressi sulla piattaforma sono direttamente riconducibili agli iscritti.

Per le violazioni riscontrate, l’Associazione Rousseau è già stata multata per 32.000 euro dal Garante.

Ebbene, il provvedimento di due giorni fa segna anzitutto un cambio di passo. A differenza del precedente, il relatore è personalmente il Presidente dell’Authority Soro. In gergo si chiama “escalation”: ora se ne occupa il massimo livello, segno della gravità del caso e dell’insufficienza delle risposte fornite dall’Associazione Rousseau e da Davide Casaleggio.

Analizziamo nel dettaglio il nuovo provvedimento.

Nella prima parte, si dà notizia di due comunicazioni, una del 20 febbraio da parte di Casaleggio l’altra di una settimana dopo, il 27, da parte di Beppe Grillo.

Nella prima, Casaleggio “ha dato conto delle misure di sicurezza già adottate chiedendo, al contempo, la proroga del termine fissato dal Garante” per implementare un sistema che consenta di tracciare gli accessi e le operazioni effettuate sul database. Insomma, si chiede la certificazione del voto da parte di un ente terzo. Questa prescrizione è richiesta perché il sospetto è che il sistema di e-voting sia consultabile e/o manipolabile da soggetti non autorizzati e/o per motivi diversi dalle finalità previste. Come ho raccontato più volte, Casaleggio ha potenzialmente accesso a tutti i dati degli iscritti, ed è questo che gli conferisce un potere di influenza sul Movimento che il Garante, evidentemente, ritiene di dover limitare. Eppure implementare un sistema di “log” non è tecnicamente così difficile, men che meno richiedere a un ente terzo di certificare le procedure di voto: l’hanno già fatto in passato. Chissà perché si richiede una proroga di addirittura sei mesi.

Grillo, invece, si defila: rimanda tutte le richieste all’Associazione Rousseau e si assume la responsabilità solo per il nuovo Blog, attraverso il quale non vengono raccolti dati personali. In breve: Casaleggio è solo, se la deve sbrigare lui, Grillo non tira fuori un soldo.

Si passa poi ai “profili di criticità” emersi nella comunicazione di Casaleggio del 20 febbraio “rispetto ai quali si rende necessario acquisire ulteriori informazioni e/o documentazione al fine di poter valutare l’effettivo adeguamento alle prescrizioni impartite”. Insomma: Soro non si fida e vuole vedere le carte. In un modo, come vedremo, del tutto inusuale: un ulteriore indizio della serietà della situazione.

Ecco le criticità.

Primo: Casaleggio ha informato delle nuove misure di sicurezza in una comunicazione considerata “temporaneamente soddisfacente”; il Garante però vuole che glielo dica un professionista terzo indipendente, non l’Associazione, e infatti la risposta “deve essere integrata con l’indicazione dell’operatore (società o professionista) che ha condotto l’assessment e dagli esiti di tale attività in forma di report tecnico”.

Secondo: era stato richiesto che gli utenti utilizzassero necessariamente password sicure, più lunghe di otto caratteri e sottoposte a una verifica di complessità. Il Garante ritiene la prescrizione applicata solo parzialmente: al momento vale solo per i nuovi iscritti mentre dovrebbe essere imposta anche a quelli vecchi. Addirittura si spinge a dare un suggerimento imbarazzante per l’Associazione Rousseau, che ci sarebbe dovuta arrivare da sola: “Occorre piuttosto intraprendere una campagna di invito alla modifica della password nei confronti degli interessati già iscritti, prevedendo l’obbligo di attuare tale modifica alla prima sessione di collegamento utile attivata con le credenziali (tuttora) deboli”.

Terzo: si ritiene soddisfatta la prescrizione di applicare un certificato di sicurezza al dominio, un’operazione banalissima; era già incommensurabilmente grave che non fosse stato fatto prima.

Quarto: “al fine di consentire a questa Autorità di verificare la veridicità di quanto dichiarato, si rende necessario acquisire la documentazione relativa al codice di programmazione modificato […] (cd. codice sorgente)” utilizzato per implementeare un sistema più robusto di sicurezza delle password.

Traduco: dite di utilizzare una tecnologia più sicura per salvare le password. Bene, mi fate vedere se l’avete fatto davvero e come?

La frase così formulata da Soro è gravissima. Dice chiarissimamente di non fidarsi di Davide Casaleggio e sembra chiedere addirittura di visionare il codice sorgente della piattaforma per verificare quanto da lui dichiarato. Per intenderci, è l’equivalente di chiedere al proprio partner di vedere le chat di WhatsApp.
La prescrizione è talmente grave che ho chiesto a un mio collega esperto di sicurezza quanto sia frequente: “non c’è una ragione plausibile per cui un ente garante debba chiedere il codice sorgente”. Se l’ha fatto, dunque, la situazione deve essere davvero compromessa.

Quinto: il Garante prende atto che il Blog di Beppe Grillo è stato spostato su un’altra piattaforma, non gestita dall’Associazione Rousseau né da Casaleggio Associati e sulla quale non viene richiesto alcun dato personale. La prescrizione relativa a beppegrillo.it decade.

Casaleggio ha quindi tempo fino al 30 giugno per fornire la documentazione richiesta “che consenta di valutare l’effettivo adempimento delle prescrizioni”; viene accolta la richiesta di prorogare al 30 settembre il termine per l’implementazione di un sistema di certificazione del voto ma viene ricordato che il 25 maggio entra appieno in vigore la GDPR, le nuove norme sul trattamento dei dati che prevedono altissime sanzioni in caso di violazione. Sottinteso: su questo non verrà concessa alcuna deroga, anzi: “i soggetti destinatari del presente provvedimento dovranno pienamente adeguarsi”.

Firmato, come dicevamo, il relatore e Presidente Antonello Soro.

In conclusione, Davide Casaleggio e l’Associazione Rousseau sono sotto stretta sorveglianza del Garante della Privacy, che non si fida più dell’Erede per via dei pregressi e già sanzionati illeciti e per la mancata ottemperanza di molte delle prescrizioni imposte a dicembre.

Che la legislatura abbia inizio con un bel voto su Rousseau!