4 aprile 2019 - 17:12

Il Garante per la privacy multa Rousseau per 50 mila euro: «Il sistema di voto non è adeguato»

L’autorità di Antonello Soro ha comunicato le conclusioni della sua istruttoria sullo strumento di voto dell’Associazione di Davide Casaleggio

di Martina Pennisi

Il Garante per la privacy multa Rousseau per 50 mila euro: «Il sistema di voto non è adeguato» Imagoeconomica
shadow

Alle 22 di ieri sera si è chiuso su Rousseau il voto del secondo turno delle Europarlamentarie, per selezionare i futuri candidati pentastellati alle europee. Lo scorso 18 febbraio, sulla stessa piattaforma dell’omonima associazione, gli iscritti al Movimento 5 Stelle si sono detti contrari a processare il vice premier Matteo Salvini per il caso dei migranti della Diciotti, dando un parere determinante per la sopravvivenza del governo gialloverde.

In entrambi in casi, e in tutti gli altri in cui il sistema di voto elettronico dell’Associazione di Davide Casaleggio è stato utilizzato, non si possono tecnicamente escludere «possibili alterazioni» dei risultati imputabili alla scarsa sicurezza della struttura, che persiste nonostante la rimozione di alcune delle vulnerabilità segnalate in precedenza, soprattutto a causa «dell’obsolescenza dei sistemi in uso». È la conclusione a cui è giunto il Garante per la privacy, dopo quasi due anni di indagini — cominciate dopo le segnalazioni e (le prime) intrusioni di due hacker nell’estate del 2017 — e a pochi mesi dalla chiusura del mandato del presidente Antonello Soro.

L’Associazione Rousseau dovrà pagare 50mila euro di multa, che si vanno ad aggiungere ai 32mila dello scorso marzo per il trattamento illecito dei dati personali degli utenti nel rapporto con i datacenter di Wind e Itnet. «L’ex capogruppo Pd, oggi garante della privacy, ha deciso di multare nuovamente Rousseau per un sistema di voto che non è quello utilizzato oggi e che non è più online. Ha mai controllato gli altri partiti? Il suo partito per esempio? Temiamo che ci sia un uso politico del Garante», è stata la reazione pubblicata sul blog delle Stelle. Mentre la numero due di Casaleggio Enrica Sabatini sostiene che la denuncia sporta ieri in Procura dal suo presidente per la clonazione di alcuni profili durante le Europarlamentarie dimostri come abbia «funzionato il potenziamento dei processi. Quel sistema di segnalazione che ha consentito e consente agli iscritti di poter inviare segnalazioni documentate per strutturare il controllo». Da parte sua, il Pd si è mosso due giorni fa, dopo che erano filtrate le prime notizie sulle conclusioni dell’indagine, depositando un’interrogazione alla Camera sui «tanti, troppi interrogativi sulla privacy (e la democrazia digitale) della piattaforma Rousseau», come ha scritto su Twitter il deputato Filippo Sensi. Alle accuse dei 5 Stelle, il Garante ha risposto che «le misure asseritamente migliorative che sarebbero state adottate sono giunte, via mail, ad istruttoria già chiusa e senza alcuna documentazione a sostegno» e che «risultano comunque ininfluenti ai fini delle pregresse criticità evidenziate e sanzionate nel provvedimento». Sul legame fra Soro e il Pd: «Le accuse di parzialità sono smentite dall’adozione di plurimi provvedimenti, anche sanzionatori, nei confronti di altre forze politiche o di loro esponenti».

Entrando nel dettaglio del provvedimento, Rousseau, su cui nella votazione di febbraio si sono espressi in poco meno di 60 mila, «non gode delle proprietà richieste a un sistema di evoting[...] che prevedono la protezione delle schede elettroniche e l’anonimato dei votanti in tutte le fasi del procedimento elettorale elettronico». Il documento sottolinea come nel novembre 2018 esisteva ancora nei datacenter Wind «una tabella con numero di cellulare e l’ID utente del soggetto votante oltre che i dati relativi all’espressione di voto». Chi ha scelto cosa, quindi. L’Associazione, scrive l’Autorità, si è poi attivata per cancellare questi dati.

Incalza il Garante, le informazioni sui votanti e sulle loro preferenze sono risultate essere accessibili ed elaborabili da più soggetti, con le stesse credenziali di accesso, senza che i loro eventuali interventi o alterazioni siano del tutto verificabili a posteriori. Per questo vengono evidenziati i rischi dell’intero contesto ormai datato — non è più aggiornabile dal 2013 — per la funzione primaria cui è dedicato. «Emerge limportanza della privacy come garanzia delle regole democratiche, non solo come libertà fondamentale dell’individuo», afferma l’avvocato ed esperto Ernesto Belisario.

Oltre al pagamento della multa, per scongiurare ulteriori future sanzioni, all’Associazione Rousseau viene chiesto di garantire la verifica a posteriori delle attività compiute, di evitare che vengano ulteriormente usate delle credenziali condivise, di aggiornare il sistema e rivedere le iniziative di sicurezza adottate e di fare una valutazione d’impatto sulla protezione dei dati, specificamente riferita alla funzionalità di voto elettronico.

Articolo aggiornato il 5 aprile con la risposta del Garante al Movimento 5 Stelle

© RIPRODUZIONE RISERVATA
ALTRE NOTIZIE SU CORRIERE.IT