Cominciamo dalla fine, ovvero dalle ultime novità in senso temporale. Le operazioni per la presentazione delle candidature alle parlamentarie del MoVimento 5 Stelle si sono chiuse come al solito: problemi tecnici, slittamento dei termini, polemiche e accuse sulla mancanza di trasparenza. Prevedibile, considerando il “problema” del MoVimento 5 Stelle nell’utilizzo delle piattaforme informatiche. Così come prevedibile è la lentezza con cui saranno diffusi i nomi di chi si è candidato, causa meccanismi di convalida manuali (e farraginosi).
Poche ore fa, Thomas Fox-Brewster, un giornalista di Forbes esperto di sicurezza informatica, evidenziava come il blog di Beppe Grillo stesse raccogliendo “gli indirizzi email memorizzati nei gestori di password dei browser degli utenti che visitano il sito sfruttando una pratica conosciuta e basata su un software francese chiamato Adthink”. Per farci cosa, Grillo e la Casaleggio non lo dicono (e, cosa più grave, non lo specificano nelle policy).
In precedenza, il Garante per la privacy aveva letteralmente demolito l’infrastruttura tecnologica della Casaleggio, mettendo nero su bianco l’arretratezza e i rischi per la trasparenza del sistema alla base non solo del blog di Grillo, ma anche della piattaforma Rousseau, su cui avvengono le votazioni online. I rilievi su Rousseau sono particolarmente interessanti, perché evidenziano gli enormi limiti dei proclami grillini sulla centralità della rete, sul cambiamento dei luoghi della politica, eccetera. Per il garante, ad esempio, “il portale web del Movimento 5 Stelle e parte della piattaforma Rousseau sono stati realizzati avvalendosi di un prodotto software, il CMS Movable Type che, nella versione Enterprise 4.31-en, è risultata affetta da indiscutibile obsolescenza tecnica (il produttore individuava nel 31 dicembre 2013 la data di "fine vita" delle versioni 4.3x). Il blog www.beppegrillo.it utilizza invece una versione del CMS Movable Type ancora più risalente (versione 3.35), con la quale la registrazione delle password avveniva in chiaro”; inoltre, “risulta infatti che ciascun voto espresso sia effettivamente associato a un numero telefonico corrispondente […] tale riferimento sarebbe mantenuto nel database per asserite esigenze di sicurezza, comportando, tuttavia, la concreta possibilità di associare, in ogni momento successivo alla votazione, oltre che durante le operazioni di voto, i voti espressi ai rispettivi votanti; la possibilità di tracciare a ritroso il voto espresso dagli interessati non risulta neppure bilanciata, per esempio, da un robusto sistema di log degli accessi e delle operazioni svolte da persone dotate dei privilegi di amministratore della piattaforma che consenta, almeno, di condurre a posteriori azioni di auditing sulla liceità dei trattamenti attuati dal detentore dell'archivio elettronico”.
In poche parole: tecnologia vecchia, struttura facilmente hackerabile, ma soprattutto nessuna garanzia che il voto online sia effettivamente segreto.
L’associazione Rousseau ha ringraziato Garante e polizia postale, spiegando però di aver già messo in campo una serie di azioni volte a sanare le criticità evidenziate. La relazione del Garante, però, sembra dubitare anche degli accorgimenti presi in questi ultimi mesi.
La questione non è di lana caprina, però. Perché l’associazione Rousseau avrà un ruolo centrale nei prossimi mesi, che i grillini vadano o meno al governo del paese. Da Statuto del M5s, infatti, l’associazione Rousseau si occuperà di fornire gli “strumenti informatici attraverso i quali l’associazione si propone di organizzare le modalità telematiche di consultazione dei propri iscritti disciplinate nel prosieguo del presente Statuto, nonché le modalità di gestione delle votazioni, di convocazione degli Organi Associativi, di pubblicazione di – a titolo esemplificativo e non esaustivo – avvisi e/o provvedimenti e/o direttive e/o decisioni”.
In particolare la piattaforma Rousseau dovrà provvedere alla verifica dell'abilitazione al voto dei votanti e al conteggio dei voti in ogni consultazione, la cui regolarità sarà poi verificata da un organismo indipendente. Ma quali garanzie ci sono che il singolo voto non sia tracciabile? Nessuna, secondo il garante, la cui relazione lascia intendere che sia probabile che “qualcuno” possa o abbia potuto risalire alle scelte dei singoli militanti grillini in precedenti votazioni. Così come è peraltro acclarato che in passato sia esistita la possibilità di hackerare le consultazioni online, nonostante le rassicurazioni "singolari" pubblicate sul blog. E, infine, è evidente come dal punto di vista della sicurezza delle password la piattaforma non garantisca nemmeno gli standard minimi (sono ammesse password brevi e semplicissime, vulnerabili anche ad attacchi informatici banali).
Fugare tali ombre è, o dovrebbe essere, una priorità. Magari evitando di ignorare segnalazioni e critiche.
