Lo scorso 18 maggio il Movimento 5 Stelle ha annunciato di aver concluso le votazioni online sul Contratto per il Governo del Cambiamento: 42.274 iscritti hanno votato a favore e 2.522 contrari. Per Di Maio si sarebbe trattato di “un voto blindato” ma il recente provvedimento del Garante per la protezione dei dati personali fa sorgere alcuni dubbi.In questo caso, fortunatamente, non abbiamo visto l’applicazione di soluzioni assurde come il voto sulla blockchain — a cui ha accennato lo stesso Di Maio — ma dobbiamo accontentarci della certificazione di un notaio a garanzia della regolarità del processo di voto.
Pubblicità
Se molto ci sarebbe da dire sul contenuto stesso del contratto — a partire dall’eclatante confusione fra cybersicurezza e cyberbullismo — bisogna necessariamente fare un passo indietro e puntare lo sguardo sulla piattaforma di voto del M5S, Rousseau, già riconosciuta a inizio anno come un caso esemplare di incompetenza informatica.Il provvedimento di fine dicembre del Garante indicava diverse misure e accorgimenti necessari per garantire la sicurezza informatica della piattaforma:
analisi delle vulnerabilità da svolgersi prima che le funzioni della piattaforma siano messe online;
miglioramento del sistema di login richiedendo password più lunghe di otto caratteri e soprattutto introduzione di una difesa contro gli attacchi di tipo brute force per evitare accessi illegali;
protocollo https per consentire una navigazione sicura agli utenti;
algoritmi crittografici più sicuri per la conservazione delle password degli utenti nel database;
adozione di misure che consentano l'auditing informatico della piattaforma attraverso la registrazione degli accessi e delle operazioni compiute sul database del sistema Rousseau.
Il risultato finale: sono state adottate alcune soluzioni ma rimane ancora un grosso problema con il sistema di votazione.
Il 16 maggio, il Garante ha emesso un nuovo provvedimento in cui valuta l’effettiva adozione delle misure indicate sopra. Il risultato finale: sono state adottate alcune soluzioni ma rimane ancora un grosso problema con il sistema di votazione.
Pubblicità
Dal documento si legge che Davide Casaleggio ha inviato una nota lo scorso 20 febbraio in cui descrive le misure di sicurezza già adottate e richiede una proroga per il sistema di auditing della piattaforma di voto in quanto “sebbene sia stata intrapresa una "ricerca di mercato" per l'affidamento del servizio di auditing informatico in outsourcing, tale attività avrebbe subìto rallentamenti in ragione della riorganizzazione associativa del Movimento.”Segui Motherboard Italia su Facebook e Twitter.Il Garante ha quindi richiesto che entro il 30 giugno vengano inviati informazioni e documenti per valutare l’effettivo aggiornamento — incluso l’invio del codice sorgente utilizzato per garantire algoritmi crittografici più sicuri per la conservazione delle password degli utenti.Per quanto riguarda la proroga, invece, il Garante ha concesso un’estensione fino al 30 settembre. Questo vuol dire che la votazione per il contratto di governo si è svolta probabilmente con la stessa piattaforma di cui erano state ampiamente discusse le criticità.
Rousseau non offre la possibilità di verificare gli accessi e le operazioni sul database e non è quindi possibile sapere se qualche malintenzionato abbia interferito con le procedure di voto — l’hacker rogue0 aveva già affermato e dimostrato di poterlo fare.Inoltre, come chiaramente indicato nel provvedimento di dicembre del Garante, il sistema di votazione di Rousseau non garantisce alcuna riservatezza del voto: ogni voto è registrato in una tabella con a fianco il numero di telefono del votante.
Pubblicità
Lo stesso Garante indicava alcuni rischi poiché i voti espressi sulla piattaforma “vengono archiviati, storicizzati e restano imputabili a uno specifico elettore anche successivamente alla chiusura delle operazioni di voto, consentendo elaborazioni a ritroso con — in astratto — la possibilità di profilare costantemente gli iscritti sulla base di ogni scelta o preferenza espressa tramite il sistema operativo.”
Risata nervosa.
Quando un cittadino esercita il proprio diritto di voto deve poter essere sicuro dell’integrità, dell’autenticità, e della riservatezza del voto espresso, ma nel caso della piattaforma Rousseau tutte e tre queste caratteristiche vengono meno. Non vi è certezza che il voto espresso non sia stato modificato, non c’è modo di sapere se il voto sia autentico e non vi è alcuna garanzia di voto segreto.Non c’è bisogno di alcuna blockchain per la votazione, quindi, il Movimento 5 Stelle ha già un database su cui registrare in chiaro i voti espressi dai propri utenti. E non è nemmeno decentralizzato: è tutto in mano all’Associazione Rousseau.Segui Riccardo su Twitter: @ORARiccardo
