Lo so, scusate. Sembra un titolo sensazionalistico acchiappa clic ma, come vedrete, non è così.
Riassunto delle puntate precedenti: il 4 aprile 2019 il Garante per la tutela dei dati personali multa per 50.000 euro l’Associazione Rousseau. Il motivo, in sintesi, è che la piattaforma è insicura. I suoi gestori, Davide Casaleggio e chi lavora con lui, non hanno adottato le migliori pratiche per la gestione dei dati degli utenti e non hanno ottemperato completamente alle prescrizioni dello stesso Garante. Hanno violato la legge, quindi viene comminata una sanzione.
Ovviamente, la risposta è una starnazzante accusa all’ufficio del Garante di aver politicizzato la pratica, respinta giustamente al mittente. La documentazione che si può visionare facendo un accesso agli atti parla chiaro: ci sono inoppugnabili limiti tecnici e manageriali da parte di Rousseau e Casaleggio. Non sono in grado di gestire quel progetto, hanno violato la legge e non sono stati in grado di mettere al sicuro i dati sensibili degl’iscritti al Movimento 5 Stelle (senza punti di domanda, davidavi, contento?).
Ebbene, siamo in grado di pubblicare il motivo che ha portato il Garante a quelle conclusioni: gliel’ha detto Casaleggio.
Nel corso dei due anni d’ispezione ci sono stati numerosi scambi di comunicazioni tra Rousseau e il Garante. Una delle prescrizioni imposte all’Associazione era che fossero svolti dei test per verificare la sicurezza dopo gli interventi suggeriti per migliorare la piattaforma. Questi test sono stati svolti: Casaleggio ha pagato ben due società esterne, terze, imparziali. Casaleggio aveva comunicato di aver fatto svolgere tali test, ma non aveva inviato l’esito. Nel provvedimento del 21 dicembre 2017 il Garante sollecita: “[serve] l’indicazione dell’operatore (società o professionista) che ha condotto l’assessment e degli esiti di tale attività in forma di report tecnico”. Rousseau aveva detto di aver fatto svolgere le prove, ma non aveva detto quale fosse l’esito. Per un buon motivo.
Come dimostra il documento che pubblichiamo, l’esito era disastroso.
Le due società incaricate rilevano “l’esistenza di problematiche strutturali negli applicativi testati” (la piattaforma Rousseau) consigliando di revisionare completamente il codice e di condurre altri test. La conclusione è chiara: “the security posture of the internet-facing web pages was found to be out of line with industry best practices”. Tradotto: “l’approccio alla sicurezza delle pagine esposte in rete è risultato essere inadeguato rispetto alle migliori pratiche del settore“.
Insomma, Casaleggio è obbligato a condurre test di sicurezza, paga due società per svolgere questa attività e siccome l’esito è un disastro ritarda la consegna dei rapporti al Garante. Sollecitato li produce, certificando lui stesso la violazione delle norme che gli veniva contestata.
Ora la strategia è quella di dire “la piattaforma è cambiata”. Occhio: allarme supercazzola. Se bastava un anno e mezzo per rifarla da zero come mai ce ne hanno messi dieci per produrre la prima versione? La risposta la dà sempre il Garante: “le dichiarazioni dell’Associazione Rousseau in ordine a misure asseritamente migliorative che sarebbero state adottate sono giunte, via mail, ad istruttoria già chiusa, il giorno precedente l’adozione definitiva del provvedimento e senza alcuna documentazione a sostegno. Tali misure risultano comunque ininfluenti ai fini delle pregresse criticità evidenziate e sanzionate nel provvedimento”.
Non serve che entrino i clown: sono già in scena. Sipario.