“Ooops! Rousseau inciampa in un (altro) data breach?”

Il portale dell'associazione di Davide Casaleggio ha subito un ennesimo attacco informatico con esposizione dei dati

SIENA. Volereste mai su un aereo con una vistosa crepa sopra un’ala? Anche se la compagnia vi garantisse e giurasse e spergiurasse che l’aereo è sicurissimo? Personalmente no.

Un simile principio di precauzione andrebbe adottato anche per i nostri dati personali che comunichiamo ai siti web per ottenere in cambio servizi di ogni tipo. Dati che rivelano, potenzialmente, molte informazioni su di noi e possono essere utilizzate per limitare la nostra libertà o danneggiarci, come dalla definizione contenuta nella nuova normativa europea sulla protezione dei dati personali “GDPR”.

Dati che potenzialmente possono venire violati da malintenzionati o webmaster imbranati e che possono finire sul web, alla mercé di chiunque voglia utilizzarli anche per scopi non leciti. Questi eventi si chiamano “data breach” e rivestono una particolare importanza nella definizione di tutti quei processi per la protezione dei dati personali stabilita dal Garante e dal GDPR.

A quanto pare, da una serie di tweet dell’utente r0gue_0 (si, sempre lui…), il portale Rousseau dell’omonima associazione di Davide Casaleggio, ha subito un ennesimo attacco informatico con conseguente esposizione dei dati contenuti nel database. Tecnicamente, un “data breach” con tanto di pubblicazione sul web di alcune informazioni, tra cui un elenco delle tabelle.

Quanto sia grave ed esteso l’attacco, nel caso ovviamente sia confermato, ancora non lo sappiamo. Ma certamente non può essere solo una coincidenza che la notizia arriva proprio il giorno in cui, sempre su Rousseau, si voterà per la sostituzione di un membro nel Collegio dei Probiviri dell’Associazione MoVimento 5 Stelle.

Attacco di matrice politica ? Forse. Ma su Rousseau, portale di proprietà di una Associazione privata composta da pochi soci e che, per statuto, è il “sistema operativo” del MoVimento 5 Stelle, oggi forza di governo (che incassa, da ogni Parlamentare eletto nel M5S, 300€ mensili per i “servizi informatici” (1)), sono contenuti i dati di decine di migliaia di cittadini italiani: nomi, cognomi, indirizzi, recapiti telefonici ed e-mail, copia del documento di identità (necessario per essere autorizzati) e pure le informazioni relative alle votazioni, come peraltro ha evidenziato molto bene lo stesso Garante della Privacy nella sua relazione del 21 dicembre 2017 (2), in merito al precedente episodio di data breach.

L’aspetto più grave della vicenda, però, è che insinua il dubbio che tutte le votazioni avvenute tramite questo portale potrebbero essere state manipolate. E su Rousseau sono stati votati i candidati in Regione e al Parlamento, il programma, le espulsioni ed altri aspetti importanti dell’azione di governo del MoVimento 5 Stelle. Ed è a rischio anche l’anonimato delle preferenze espresse da ogni votante, violando il diritto costituzionale di segretezza del voto di ogni singolo iscritto a Rousseau ed esponendo potenziali opinioni politiche (dato “sensibile”) ! E non voglio considerare le eventuali altre informazioni in cui r0gue_0 potrebbe potenzialmente essere entrato in possesso, comprese le comunicazioni via e-mail anche con membri dell’esecutivo…

La normativa europea prevede che in caso di “data breach”  è necessaria una comunicazione al Garante della privacy ed a tutti i potenziali interessati entro le 72h (“senza ingiustificato ritardo”, art. 33 del GDPR) dall’avvenuta conoscenza del fatto. Personalmente, da iscritto alla piattaforma, non posso non essere preoccupato delle conseguenze di un tale fatto. Ed ho quindi deciso -in attesa di capire cosa è successo- di non salire su questo aereo, almeno per il momento.

Michele Pinassi

1. Regolamento Parlamentarie 2018, MoVimento 5 Stelle, https://s3-eu-west-1.amazonaws.com/associazionerousseau/documenti/regolamento_parlamentarie2018.pdf
2. Provvedimento su Data Breach, Garante della Privacy, http://www.garanteprivacy.it/garante/doc.jsp?ID=7400401