La piattaforma Rousseau è un colabrodo e Davide non sa aggiustarla
Gli hacker fanno festa a casa di Casaleggio e rubano dati sensibili
Roma. I dati iscritti al Movimento 5 stelle, e di conseguenza i processi decisionali del primo partito italiano che delibera solo online, non sono al sicuro. Il sito dell’Associazione Rousseau, la “piattaforma” della “democrazia diretta” casaleggina, è stato bucato per l’ennesima volta da un hacker che ha diffuso i dati e i numeri di telefono del capo politico e vicepremier Luigi Di Maio, del ministro della Giustizia Alfonso Bonafede e del ministro dei Trasporti Danilo Toninelli. Lo scorso febbraio lo stesso hacker, Rogue0, aveva pubblicato sempre su Twitter i dati e il numero di telefono di Casaleggio. A due giorni dall’accaduto da parte dell’Associazione Rousseau e del suo capo assoluto, Davide Casaleggio, nessun commento. Ma non ancora per molto, visto che secondo il Gdpr, il nuovo Regolamento europeo sulla protezione dei dati, devono comunicare entro oggi (“entro 72 ore dal momento in cui ne è venuto a conoscenza”, dice la norma) la violazione al Garante della privacy e fornire spiegazioni. Qui poi si apre un altro capitolo. Perché bisognerà capire se il data breach è dipeso dalla mancata adozione delle misure prescritte dal Garante nel precedente provvedimento che è già costato a Casaleggio una sanzione, già pagata, di 32 mila euro. Se così fosse rischierebbero una sanzione amministrativa molto più elevata (oltre cause in sede civile per i danneggiati).
Say #pisQAnon to your favorite @casaleggio 's puppet !
— rogue0 (@r0gue_0) 6 settembre 2018
... or ask about #Lanzalone , #ILVA , #Ponte #Morandi, #WTF you want.https://t.co/AuQndjIB7y#Rousseau #M5S #Casaleggio#pisQAnon is here#APT0
Ma al di là degli aspetti tecnici e burocratici, ci sono varie questioni interessanti in questa vicenda. La prima è la totale non competenza tecnica e manageriale di Casaleggio nella gestione di questo sistema operativo. Dal punto di vista tecnico ha già detto tutto l’ispezione del Garante della privacy, a cui Casaleggio ha pagato la multa senza fiatare (anche perché il Garante ci è andato con la mano leggera): il software è vecchio, inadeguato, penetrabile come il burro, incapace di garantire la protezione dei dati e la segretezza del voto. Nonostante Casaleggio venga presentato dai giornaloni come un esperto di “Intelligenza artificiale” e “blockchain”, a metà tra Elon Musk e Satoshi Nakamoto, il colabrodo che ha donato al M5s è scadente (oltre che scaduto, da quattro anni, secondo il Garante).
Dal punto di vista manageriale, il disastro è stato peggiore. Come ha gestito Casaleggio gli attacchi hacker? Ne ha avuti di due tipi, uno da parte di un white hat (hacker buono), e uno da parte di un black hat (hacker cattivo), che è appunto Rogue0. L’hacker buono è Luigi Gubello alias Evariste Galois, uno studente di 26 anni, che ha bucato Rousseau per testarne la sicurezza, ha segnalato il problema allo staff e l’ha aiutato a risolverlo. Casaleggio avrebbe dovuto ringraziarlo (e magari premiarlo) per il servizio svolto. E invece l’ha denunciato (ora lo studente è sotto inchiesta e rischia fino a tre anni di carcere), perché doveva coprire la propria incompetenza rispetto all’elettorato esponendo il “criminale” alla gogna. Ovviamente non ha risolto alcun problema tecnico. E così ora si trova con l’hacker buono sotto inchiesta, quello cattivo che continua a bucare il suo sito, e nessuno della comunità dei white hat disposto ad aiutarlo visto il precedente di Gubello/Galois.
Di fronte a un problema del genere, qualsiasi partito, soprattutto dopo che i dati e il numero di telefono dei suoi leader ora al governo del paese sono stati diffusi, ne chiederebbe conto al suo fornitore di servizi informatici. O forse lo licenzierebbe senza neppure chiedere spiegazioni. L’Associazione Rousseau svolge per il M5s compiti essenziali: procacciare gli iscritti, custodire i loro dati, gestire i processi democratici.
A fronte di questi compiti, con gli iscritti diminuiti del 30 per cento in un anno e un sito in cui entra chiunque, l’Associazione Rousseau riceve dal M5s un fiume di soldi: oltre alle donazioni, 300 euro al mese dai parlamentari (che fanno circa 1,2 milioni di euro l’anno e 6 milioni nella legislatura). I soldi, come dimostrano le continue intrusioni, nonostante le rassicurazioni di Casaleggio, non sono stati investiti per la sicurezza e il miglioramento dell’infrastruttura. Nell’ultimo bilancio di Rousseau, che presenta un disavanzo di 135 mila euro, gli investimenti in sicurezza sono stati 18.300 euro mentre il fondo per le spese legali causate dall’inadeguatezza di Casaleggio cinque volte di più: 89.741 euro. Come hanno efficacemente sintetizzato Nicola Biondo e Marco Canestrari, gli autori di “Supernova”: “Casaleggio si comporta come il Benetton di Luigi Di Maio. Ci sarebbero ampi margini per la revoca della concessione”. Ma non si può, perché in realtà Casaleggio non è un semplice concessionario. E’ blindato per statuto e grazie a un sistema di scatole cinesi è il padrone effettivo del M5s.