In molti hanno scritto e stanno scrivendo su quanto ha dichiarato il Garante nel suo parere circa la piattaforma Rosseau. Ho atteso prima di scrivere anche io, più che altro per vedere i toni che avrebbe preso la faccenda. L’attesa è durata poco e tutto si è trasformato in un siparietto poco gradevole.
Antefatto
Il Garante, in questi anni, ha avuto molto da fare con la piattaforma Rosseau dedicata al voto online. Si tratta di una piattaforma che ha vissuto momenti di sviluppo molto controversi di cui parlai in un articolo dedicato all’hacking etico ma anche in un altro articolo dedicato all’azione di hacking accusata dal gruppo Rosseau e oggetto di indagine da parte del Garante.
Il Garante alla fine si è espresso con un parere che, a mio avviso, è molto completo ed è soprattutto molto comprensibile anche a chi non ha nozioni tecniche (così andrebbero scritti i pareri). L’azione del Garante può essere in realtà riassunta in una frase di questo parere (che trovate qui):
In questo senso, la piattaforma Rousseau non gode delle proprietà richieste a un sistema di evoting, come descritte, per esempio, nel documento “E-voting handbook – Key steps in the implementation of e-enabled elections” pubblicato dal Consiglio d’Europa a novembre 2010 e nel documento “Recommendation CM/Rec(2017)5 of the Committee of Ministers to member States on standards for e-voting” adottato dal Comitato dei Ministri del Consiglio d’Europa il 14 luglio 2017, che prevedono la protezione delle schede elettroniche e l’anonimato dei votanti in tutte le fasi del procedimento elettorale elettronico.
Fonte: Garante della Privacy
Il parere del Garante della Privacy non avrà stupito gli addetti ai lavori. Molti di noi avranno anche lanciato un pensiero all’utente di Twitter (@evaristegal0is) denunciato per aver fatto l’azione di hacking etico di cui ai link precedenti.
Le reazioni…
Ora, in un Paese normale, dopo un parere di questo tipo (ma sarebbe bastato anche il primo richiamo) ci si sarebbe messi di gran lena a correggere ogni singolo aspetto. Cosa che, a dire il vero, in parte è stata fatta…ma solo in parte. Inoltre si sarebbe proceduto con una riorganizzazione interna in modo da dipanare tutti quei dubbi in merito all’anonimato del voto, all’automazione e alla segretezza dello stesso.
Invece in Italia le cose vanno diversamente. Il parere riporta frasi pesantissime che aprono una breccia in quello che può essere considerato il baluardo del Movimento 5 Stelle: la trasparenza.
Tuttavia, nel corso dell’attività ispettiva presso Wind è stata rilevata l’esistenza di un’ulteriore tabella di database contenente informazioni relative a operazioni di voto (ultimi dati relativi alla votazione online del 22 settembre 2017) ed è stato constatato che “la stessa contiene il numero di cellulare e l’ID utente del soggetto votante” oltre che i dati relativi all’espressione di voto (v. verbale ispezione presso Wind del 12 novembre 2018, p. 4). Al riguardo, l’Associazione ha dato successivamente prova di “aver immediatamente avviato e ultimato le operazioni per procedere alla cancellazione dei dati presenti nella tabella” (v. verbale ispezione presso l’Associazione del 13 novembre 2018, p. 3).
Fonte: Garante della Privacy
Ma ciò che proprio non funziona in questo Paese è la risposta a fenomeni come questo provvedimento. Invece di farne uno strumento di miglioramento e continuare a integrare e rafforzare la sicurezza, si deve finire con il leggere contenuti di questo tipo.
La risposta del Garante…
Dovete infatti considerare un dettaglio che forse sta sfuggendo a molti commentatori: il provvedimento scritto dal Garante della Privacy si basa su un’ispezione atta a rilevare evidenze: ossia prove oggettive della carenza di sicurezza che, in parte, sono state descritte nel provvedimento ed in parte no. La risposta del Garante non si è comunque fatta attendere. Con un comunicato del 5 aprile scrive:
Con riferimento alle dichiarazioni rese da esponenti del Movimento 5 stelle sul provvedimento emesso nei confronti della piattaforma Rousseau, l’Autorità precisa che:
le dichiarazioni dell’Associazione Rousseau in ordine a misure asseritamente migliorative che sarebbero state adottate sono giunte, via mail, ad istruttoria già chiusa, il giorno precedente l’adozione definitiva del provvedimento e senza alcuna documentazione a sostegno. Tali misure risultano comunque ininfluenti ai fini delle pregresse criticità evidenziate e sanzionate nel provvedimento;
la durata del procedimento è stata condizionata anche dalle due proroghe richieste dalla stessa Associazione Rousseau;
le accuse di parzialità rivolte, reiteratamente, all’Autorità in ragione della pregressa esperienza politico-istituzionale del suo Presidente, sono smentite dall’adozione di plurimi provvedimenti, anche sanzionatori, nei confronti di altre forze politiche o di loro esponenti, rinvenibili sul sito dell’Autorità al pari di quello relativo alla piattaforma Rousseau;
le decisioni del Garante sono collegiali e come tali non riferibili individualmente ai componenti del Collegio.
Fonte: Garante della Privacy – Link
Il lavoro del Garante è fondamentale per il futuro dell’Italia: è un ruolo necessario per evitare che l’informatica cresca fuori controllo. Accusarlo senza valide prove è pura propaganda politica, finalizzata a demolire o infangare una figura istituzionale e credo proprio che questa è l’ultima cosa di cui abbiamo bisogno.