Da "hacker buono" a capro espiatorio dei problemi di Rousseau. Intervista a Luigi Gubello
Domani a Milano si apre il processo a "Evariste Galois". Dopo la querela, Casaleggio gli hanno proposto un accordo: "Non ho accettato né collaborazioni né passerelle"
Il Foglio lo ha definito il Dreyfus 2.0, il primo capro espiatorio digitale. Per la prima volta Luigi Gubello, studente di matematica ed esperto di sicurezza informatica, racconta l'odissea giudiziaria e mediatica a cui lo ha costretto la Procura di Milano su denuncia di Davide Casaleggio. La sua colpa è aver dimostrato, prima del Garante della Privacy, che la piattaforma Rousseau è un colabrodo. Domani a Milano si aprirà il processo che lo vede accusato di accesso abusivo in sistema informatico. Casaleggio ha già ritirato la querela ma la vicenda non è chiusa.
Non posso non chiedertelo. Rifaresti tutto quello che hai fatto? O ti sei pentito di aver verificato la sicurezza di Rousseau, aver avvertito lo staff di Casaleggio e reso note le falle?
Nel tempo ho segnalato molte vulnerabilità a Telecom Italia e a Microsoft, sempre nella maniera più trasparente, e mi hanno sempre ringraziato per le segnalazioni. Sì, segnalerei nuovamente le vulnerabilità per mettere in sicurezza gli utenti e i loro dati.
Puoi dirci come è andata davvero e cosa hai scoperto "controllando la sicurezza di Rousseau?
Io controllo sempre la sicurezza dei siti che frequento. Sono incappato in quella che sembrava essere una debolezza di Rousseau molto grave riguardante la privacy dei dati degli utenti. Ho segnalato tutto allo staff, spiegandone chiaramente i rischi e come sistemare l'errore. La risposta è stata cortese: mi hanno ringraziato, si sono adoperati per "sistemare" (in termini tecnici si dice fixare) il problema, chiedendomi se fossi a conoscenza di ulteriori problemi.
E in poco tempo ti sei trovato indagato. Te lo aspettavi?
Probabilmente sono stato ingenuo. Ho rivelato sul mio blog cosa poteva succedere agli utenti di Rousseau.
Hai messo in pratica uno dei principi del Movimento, la trasparenza.
Ho subito detto allo staff della mia intenzione di informare gli utenti del problema e non mi hanno contestato nulla. Avrei dovuto comprendere che pur volendo fare del bene per qualcuno potevo scontrarmi con gli interessi di qualcun altro. Ho scelto di perseguire un'idea anziché un calcolo.
Quando hai saputo che eri stato indagato su denuncia di Casaleggio cosa hai pensato visto che avevi avvertito più volte i suoi collaboratori dei problemi di Rousseau?
Ho tuttora l'amaro in bocca. Essere prima ringraziato per l'aiuto e poi denunciato mi ha lasciato di stucco. Non avevo avuto alcun cattivo intento. Meno ancora politico. Non ho chiesto nulla in cambio. Ho voluto solamente segnalare una problematica nel sito che reputavo grave. Tutto qui.
Pensi di essere stato un capro espiatorio, la persona che andava accusata per coprire altre responsabilità in particolare le incapacità tecniche di Rousseau come ha dimostrato il Garante?
Confesso che ci ho pensato a lungo. Ho vissuto con amarezza alcune dichiarazioni dai vertici di Rousseau (“Le persone che non avranno agito con dolo non saranno perseguite”, 8 febbraio 2018), rilasciate ai media. Ho temuto, ogni tanto, di diventare un capro espiatorio, anche per via dell'analisi del Garante di dicembre 2017, le cui conclusioni erano state molto severe sull'assenza di misure di sicurezza adeguate della Piattaforma Rousseau.
Ti hanno sorpreso le conclusioni a cui è arrivato il Garante della Privacy su Rousseau?
Leggendo le note del Garante della Privacy la questione che più mi ha colpito è l'obsolescenza del sistema, perché un software non aggiornato e a quanto pare non più aggiornabile rende davvero complicato gestire poi la parte della sicurezza.
Sei stato additato come un hacker che voleva sabotare il Movimento, un criminale. Luigi Di Maio ha aggiunto che gli investigatori dovevano cercare i mandanti della tua azione e che hai potuto contare su potenti mezzi informatici e su ingenti finanziamenti. Come è cambiata la tua vita?
Ho letto spesso imprecisioni, alimentate probabilmente dalla sequenzialità degli eventi, in cui è apparso anche un altro personaggio, Rogue_0, che ha condotto un attacco vero e proprio contro la piattaforma Rousseau; un'azione totalmente diversa da quella che avevo condotto io e che ovviamente condanno. Le vulnerabilità da me scoperte non presuppongono particolari competenze informatiche o ingenti finanziamenti per scoprirla e ovviamente non ho mai ricevuto finanziamenti da nessuno e non c'era nessun mandante dietro di me. Dopo alcune dichiarazioni di Di Maio sul mio caso, io e la mia famiglia abbiamo passato un periodo molto pesante: qualcuno su Facebook [ndr, nel profilo pubblico di Di Maio] e Twitter ha scritto messaggi d'odio, molto preoccupanti. Voglio mettermi alle spalle tutto questo.
Che idea ti sei fatto degli attacchi che hai ricevuto da un certo ambiente politico?
La prima cosa che ho pensato sentendo certe dichiarazioni è stata "qui qualcuno non sa bene di costa sta parlando", perché sembrava esserci una scarsa competenza in campo informatico. Penso che alcune dichiarazioni siano state frutto di un interesse prevalentemente mediatico. A causa di queste dichiarazioni sono stato oggetto di messaggi d'odio sui social network: ho letto di qualcuno che ha scritto che avrebbero dovuto torturarmi per tirare fuori i nomi di mandanti che ovviamente non esistono o che avrebbero dovuto fucilare me e la mia famiglia sulla pubblica piazza. Questa è stata una delle parti più pesanti di tutta la vicenda.
Ti sei mai chiesto perché non sei stato mai chiamato dalla Procura di Milano a spiegare la tua versione dei fatti?
All’inizio credevo che la memoria depositata dai miei avvocati avesse convinto la Procura a non procedere oltre e ad archiviare il tutto. Sì, mi ha un po' sorpreso che non sia mai stata richiesta una mia diretta visione dei fatti sull'accaduto. Ancor di più quando Casaleggio, a fronte dello stesso materiale messo a disposizione della Procura e di un chiarimento avvenuto de visu, si è determinato a rimettere la querela.
Casaleggio ti ha proposto una consulenza e un passerella pubblica oltre ad aver rimesso la querela contro di te. Secondo te perché?
Posso rispondere con un sorriso? Non ho accettato né collaborazioni né passerelle.