di Nicola Biondo e Marco Canestrari
“Non ho fatto alcuna donazione a Rousseau o al Movimento cinque stelle”.
A parlare è uno dei sette donatori della piattaforma Rousseau i cui dati sono stati divulgati dall’hacker r0gue_0 durante la violazione effettuata tra il 5 e il 6 settembre 2018, qui raccontata da David Puente.
Con questa testimonianza l’intera vicenda si arricchisce di un nuovo capitolo, quello dal risvolto più sorprendente: il donatore a sua insaputa.
Il suo nome è finito in rete insieme a quelli di altri sei cittadini italiani: finanziatori, per poche decine di euro, di Rousseau, la piattaforma già finita nel mirino del Garante per la protezione dei dati personali e multata per 32mila euro per le sue carenze in tema di sicurezza informatica.
Il Corriere della Sera ha avuto conferma da due di questi donatori che la lista pubblicata è vera e che quelle donazioni sono state effettivamente operate. Ma un terzo donatore citato nel leak — che abbiamo contattato — nega di essere perfino iscritto.
“Non sono iscritto a Rousseau, né sono mai stato iscritto al Blog di Grillo”.
Eppure nella lista compare la sua mail, oltre che il suo nome e il cognome, com’è possibile?
Non ne ho idea.
Forse qualcuno aveva l’accesso alla sua mail e ha fatto per lei quella donazione?
Nessuno utilizza la mia mail, le assicuro.
Quindi lei nega di aver mai fatto quella donazione a Rousseau?
Sì, assolutamente. Mai fatta.
Ce ne sarebbe abbastanza per chiedere un ulteriore approfondimento su come vengono utilizzati i dati a Via Morone, perché questo episodio ci permette di dedurre alcuni fatti nuovi.
È entrato in vigore il nuovo Regolamento Generale per la protezione dei dati (GDPR), molto più severo della normativa precedente. L’utente coinvolto che abbiamo contattato sostiene di non essere iscritto a nessuno dei servizi informatici gestiti prima da Casaleggio Associati e poi dall’associazione Rousseau, quindi verosimilmente il Garante per la Privacy dovrà indagare sul come e perché questi dati fossero in possesso dell’Associazione di Casaleggio.
La GDPR prevede che si possa chiedere al gestore dei dati quali informazioni possieda su di noi: questa possibilità e le modalità di esercitare tale diritto devono essere chiaramente riportate sul sito interessato, cosa che il sito di Rousseau non fa. C’è solo un generico link “Contatti” che rimanda a un form sul sito del Movimento. Non si capisce nemmeno se i dati siano in carico al Movimento o a Rousseau. Non si capisce se iscrivendosi alla piattaforma di un’associazione privata ci si iscrive anche a un partito politico.
In materia di “data breach”, cioè di perdita dei dati in seguito a violazione, questo episodio dovrebbe rientrare nell’ambito degli articoli 33 e 34 della GDPR, che impongono la comunicazione della violazione al Garante e ai soggetti interessati. Vedremo nelle prossime 72 ore se tale obbligo verrà ottemperato. Sarà interessante soprattutto verificare se e quali protocolli di risposta, test periodici, attività di indagine sono stati predisposti. Non è secondario: uno dei responsabili di Rousseau è il ministro della Giustizia Bonafede.
In ogni caso, le cose per Davide Casaleggio si mettono male: c’è un procedimento aperto dopo la violazione dell’estate 2017 in seguito al quale il Garante Soro, dopo aver preso personalmente in carico la pratica, aveva imposto di raggiungere alcuni obiettivi minimi di sicurezza. Casaleggio aveva chiesto e ottenuto una proroga che scade il 30 settembre, in virtù del periodo elettorale: questa proroga non sembra è stata sfruttata per risolvere i problemi di sicurezza; non del tutto, almeno, perché nel frattempo sono state sviluppate e presentate altre iniziative ospitate dalla piattaforma e/o promosse dall’Associazione Rousseau. Ne troviamo traccia anche nei nuovi dati diffusi: “rsu_academy_proponi_corso” sembra fare riferimento alla nuova “Rousseau Open Academy”.
Tra le altre cose, i tecnici del Garante dovranno verificare che i sistemi siano stati aggiornati e che ogni possibile minaccia alla sicurezza sia stata individuata e disinnescata. Se i problemi che hanno portato a questa nuova violazione sono gli stessi dello scorso anno, si configura una palese violazione e sottovalutazione delle normative in vigore.
Come già spiegato, Casaleggio può godere di un fiume di soldi di provenienza pubblica, ossia gli stipendi dei parlamentari del Movimento 5 Stelle. Per questo privilegio deve ringraziare l’avvocato Luca Lanzalone — adesso agli arresti per la vicenda dello stadio della Roma — che inserì nello statuto del MoVimento l’associazione Rousseau come unico fornitore possibile per le lo sviluppo della piattaforma di democrazia diretta e degli strumenti di comunicazione. Di fatto, il partito ha appaltato a Casaleggio anche il reperimento di nuovi iscritti.
Di questi soldi e di questo tempo, Casaleggio che ne ha fatto? In un anno ha perso il 30% degli iscritti, come ha raccontato Luciano Capone sul Foglio, ha subìto almeno tre violazioni di sicurezza, ha utilizzato le risorse previste per lo sviluppo e la messa in sicurezza della piattaforma per attività diverse, come la Rousseau Open Academy che addirittura è ospitata su un sito diverso da quello del Movimento e della piattaforma.
Queste domande fanno tornare alla mente le inquietanti dichiarazioni di David Borrelli. Contattato sempre da Luciano Capone, fece intendere di sapere qualcosa sulla gestione allegra dei dati e dei fondi dell’Associazione di Casaleggio, cercando di allontanare da sé ogni responsabilità. Poche settimane dopo lasciò il Movimento e l’Associazione Roussseau. Un episodio del tutto singolare, soprattutto per l’inconsueta cortesia a lui riservata dai vertici del primo partito di governo.
Piano piano, si compone il rompicapo degli interessi che ruotano attorno alla macchina costruita dai Casaleggio in dieci anni. Una macchina ormai rodata anche se gestita in modo dilettantistico, per cui episodi come la promessa di relazioni agli sponsor di Casaleggio o le cene private organizzate per finanziare una delle scatole cinesi — l’associazione Gianroberto Casaleggio — non possono essere più considerati tra loro scollegati e casuali.