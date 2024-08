Lunedì 18 settembre sono stati ufficializzati i nomi dei candidati per la nomina a candidato Premier del Movimento 5 Stelle (M5S). Gli aspiranti Premier saranno votati secondo le regole pubblicate sul blog di Beppe Grillo, utilizzando la piattaforma Rousseau.

Secondo quanto riportato nel blog, “il MoVimento 5 Stelle dal 23 settembre avrà un candidato premier e un programma da presentare agli italiani. Questa è l’unica cosa che conta.” Purtroppo, però, quando si tratta di decisioni di importanza strategica per la definizione dello scenario politico, anche le modalità con cui vengono effettuate le votazioni sono importanti.

Al momento, da un lato Rousseau sembra essere afflitto da notevoli problemi di sicurezza informatica e dall’altro sembra incarnare dei valori diametralmente opposti rispetto quelli professati dal M5S riguardo la democrazia partecipativa.

La fiducia degli iscritti a Rousseau è stata tradita adottando sistemi di sicurezza informatica lacunosi.

Gli attacchi hacker a Rousseau

Ad inizio agosto, Motherboard aveva parlato con Evariste Gal0is, nickname del ricercatore informatico che aveva segnalato una grave vulnerabilità della piattaforma Rousseau, invitando gli addetti della piattaforma a risolvere il problema.

Evariste aveva rivelato la possibilità di eseguire un attacco di tipo SQL Injection, attraverso cui mandare dei comandi specifici per accedere alle tabelle dei database della piattaforma del M5S. Fra i dati ottenuti, le informazioni personali di utenti che avevano effettuato donazioni attraverso Rousseau e, soprattutto, l’indirizzo email ed il numero di telefono degli iscritti.

Subito dopo, però, è apparso su Twitter un hacker con intenzioni ben più pericolose di Evariste, rogue0, che ha affermato di essere all’interno del sistema del M5S da mesi. rogue0 ha pubblicato diversi dati estratti dai database di Rousseau e del sito di Beppe Grillo, offrendo addirittura di venderli per 0,3 Bitcoin.

I dati diffusi da rogue0 mostrerebbero anche la sua capacità di poter modificare le voci all’interno dei database delle donazioni — sembra infatti che abbia inserito una donazione fasulla da parte di Matteo Renzi. Avendo avuto accesso anche ai dati degli iscritti sul blog di Grillo, i dati diffusi rivelano come le password degli utenti fossero mantenute in chiaro senza alcuna protezione.

Se dal punto di vista tecnico, le vulnerabilità dei siti del M5S sono un fatto grave, ancor più grave è stata la reazione del Movimento. È stata avanzata l’intenzione di procedere per vie legali contro Evariste e si è preferito distogliere l’attenzione dalla gravità dell’accaduto parlando di un ipotetico attacco politico ai danni del M5S. In tutto questo, non è stata fatta menzione al fatto che la fiducia degli iscritti alla piattaforma Rousseau è stata tradita adottando dei sistemi di sicurezza informatica estremamente lacunosi.

Le vulnerabilità emerse e la mancanza di certezze sui dati compromessi da rogue0 — lo stesso Garante per la protezione dei dati personali ha aperto un’istruttoria — non sono gli unici aspetti problematici. Le mail per il reset delle password sono state inviate in chiaro, la pagina per modificare la password non era protetta con il protocollo HTTPS e la cifratura delle password degli utenti, salvate nei database, era effettuata utilizzando un algoritmo obsoleto quale il DES. Il DES è un algoritmo di crittografia introdotto nel 1976 e considerato insicuro perché facilmente superabile con attacchi di forza bruta, sostituito ora dal AES.

Come si ottiene una democrazia partecipativa?

Se le vulnerabilità e la mancanza di adeguati livelli di sicurezza informatica rappresentano un paradosso per un movimento politico indissolubilmente legato al web, che si fa portavoce della democrazia digitale, ancor di più dovrebbe far riflettere il funzionamento e la natura della piattaforma Rousseau. Nell’era dell’algoritmo, ci troviamo di fronte all’ennesima scatola nera che prende decisioni per gli utenti senza che questi possano osservarne i meccanismi.

“Una piattaforma di e-democracy si deve basare su tre principi fondamentali: codice aperto, dati aperti, ed infrastruttura auditabile.”

E pensare che il Movimento 5 Stelle avrebbe potuto avere una piattaforma completamente trasparente, adeguando alle proprie esigenze una delle piattaforme di e-democracy più diffuse, LiquidFeedback. Il sistema viene utilizzato anche dal Partito Pirata Italiano (PP-IT), come mi sottolinea in una chiamata telefonica Daniele Monteleone, esponente del PP-IT. Monteleone aveva avuto contatti con alcuni membri del M5S per sviluppare una soluzione personalizzata di LiquidFeedback.

“Una piattaforma di e-democracy si deve basare su tre principi fondamentali: codice aperto, dati aperti, ed infrastruttura auditabile,” chiarifica Monteleone. Al momento, Rousseau è mancante sotto tutti e tre i punti di vista.

L’intervento del fondatore del Partito Pirata, Rick Falkvinge , durante l’evento di nascita del M5S nel 2009

“Rousseau è una soluzione a sorgente chiuso,” ribadisce Monteleone, “cioè nessuno può verificare che la funzionalità della piattaforma sia rispondente alle aspettative.” Inoltre, manca la possibilità di “avere accesso ai dati per verificare i risultati delle votazioni in maniera esatta.”

Oltre a questo, non vi è modo di valutare l’integrità dei server contro eventuali manipolazioni poiché è tutto nelle mani dell’Associazione Rousseau che gestisce la piattaforma. “Con questi presupposti, da strumento di partecipazione democratica, Rousseau potrebbe diventare uno strumento di manipolazione,” conclude Monteleone.

“Ci sono stati incontri con esponenti dei meetup locali in Sicilia, Emilia-Romagna, ma anche con Roma, proprio per stabilire quale potesse essere la piattaforma migliore per avviare questa democrazia partecipativa,” spiega Monteleone. “È stata più volte tesa la mano al M5S ed altrettante volte Grillo e Casaleggio si sono chiusi a qualunque tipo di contaminazione su idee di software libero e di principi etici dell’applicazione democratica,” aggiunge l’attivista.

A livello locale, infatti, i partecipanti ai vari meetup del M5S avevano deciso di prendere l’iniziativa, visti i ritardi nella consegna della piattaforma promessa dallo stesso Grillo al momento della nascita del M5S nel 2009. Ne sono una prova la repository su Github chiamata Parlamento Elettronico M5S ed un documento presente sul sito di Grillo riguardo la “realizzazione di un organo democratico deliberativo online del M5S per la Regione Lazio” risalente al 2013.

Tutti i vari tentativi di contatto fra il mondo dei Pirati e gli attivisti del movimento sono stati però troncati sul nascere dagli ordini di Grillo e Casaleggio, dei “veri e propri ultimatum, con minacce di espulsione dal partito,” aggiunge Monteleone.

Abbiamo contattato la Casaleggio Associati per chiedere dei chiarimenti sulla piattaforma Rousseau da loro sviluppata ma al momento della pubblicazione dell’articolo non abbiamo ancora ricevuto risposte.

Alla luce della gestione degli attacchi hacker e, soprattutto, valutando gli aspetti critici che distanziano Rousseau da una vera piattaforma di democrazia partecipativa, sembrerebbe quindi che gli iscritti al M5S siano costretti ad abbandonarsi completamente alle decisioni prese da Grillo e dalla Casaleggio Associati.

Parafrasando, quindi, quanto scritto sul blog di Grillo dopo l’annuncio dei candidati, nel M5S è tutto più semplice e meno democratico: esce un post su un blog, ci sono delle regole e tutti possono partecipare, senza che nulla di tutto questo sia però deciso democraticamente.