CASALEGGIO E LA SINDROME RANCOROSA DEL BENEFICATO? IL GENERALE UMBERTO RAPETTO: ''50MILA EURO DI MULTA SONO UN BUFFETTO PER CHI HA COMMESSO BEN PIÙ IMPERDONABILI INFRAZIONI. RIMUOVERE SORO, MAGARI PER METTERE AL SUO POSTO L'EX AVVOCATO DI FACEBOOK (CHE LA PRIVACY LA CALPESTA CQUOTIDIANAMENTE) SAREBBE UN BEL SEGNALE DI INGRATITUDINE'' - ECCO PASSO DOPO PASSO COME SI È ARRIVATI ALLA SANZIONE DEL GARANTE
1. CASALEGGIO E LA SINDROME RANCOROSA DEL BENEFICATO?
Umberto Rapetto, Generale (ris.) della Guardia di Finanza, già comandante del GAT Nucleo Speciale Frodi Telematiche, per www.startmag.it
Ho sentito Davide Casaleggio tuonare contro Antonello Soro. Non riesco a fare a meno di strillare anch’io contro il Presidente dell’Autorità Garante per la protezione dei dati personali.
Ma c’è una differenza. E nemmeno trascurabile. Mentre Casaleggio echeggia l’immancabile complotto, io invece sono indeciso se accusare Soro di eccessiva bontà o di munificente favoritismo.
La sanzione di 50 mila euro che è stata affibbiata dal Garante per la privacy non è affatto piovuta dal cielo, come qualcuno ha pensato di far credere a simpatizzanti ed accoliti.
A chi è afflitto dalle scie chimiche, non crede allo sbarco sulla Luna, ipotizza accoppiamenti multispecie (forse per non dimenticare che il cane è il miglior “amico” dell’uomo…), teme gli alieni o – così a seguire – è turbato da chissà quale altra preoccupazione, viene spontaneo suggerire di approfondire quel che è successo e scoprirne l’antefatto.
La storia della “super multa” (che di super non ha davvero nulla, né nell’entità finanziaria, né nella fattispecie considerata) ha radici lontane e bisogna raggiungere l’agosto del 2017, quando la celeberrima piattaforma informatica Rousseau (tessuto connettivo digitale) finisce sotto attacco degli hacker.
La non trascurabile violazione dei dati – fortunatamente non sottaciuta dai mezzi di informazione, spesso presi da più scottanti temi – ha inevitabilmente innescato l’attivazione di un procedimento da parte del Garante per la privacy. La disciplina vigente, infatti, parla chiaro e sottolinea che incidenti del genere non danneggiano tanto chi gestisce i dati ma piuttosto i soggetti cui quelle informazioni personali si riferiscono.
I pirati informatici hanno beffato, sì, la Casaleggio & Associati e il relativo entourage tecnico, ma hanno recato pregiudizio ad una platea di “innocenti”, colpevoli solo di aver affidato alla piattaforma Rousseau i propri dati immaginando che questi fossero adeguatamente protetti.
Il 21 dicembre 2017 arriva il provvedimento n° 548: l’Autorità, a conclusione dell’istruttoria relativa alla violazione dei sistemi informatici riferiti alla Piattaforma Rousseau e ad altri siti connessi al Movimento 5 Stelle, ha prescritto nei confronti dei relativi titolari del trattamento l’adozione di misure necessarie e opportune al fine di rendere i trattamenti dei dati personali degli utenti dei predetti siti web conformi ai principi della disciplina in materia di protezione dei dati personali.
Il secondo step di questo contenzioso è datato 16 maggio 2018 e segnato dal provvedimento n° 289. Il Garante, paziente più di Giobbe, dopo aver ricevuto informazioni, documentazione e un approfondimento tecnico (testualmente “dal quale sono emersi alcuni profili di criticità nelle misure di sicurezza fino ad allora adottate”), ha concesso una proroga dei termini precedentemente stabiliti per l’adempimento delle prescrizioni impartite con il provvedimento del 21 dicembre 2017.
davide casaleggio partecipa alla battaglia delle arance del carnevale di ivrea 2
Casaleggio & Associati – pur non avendo soddisfatto gli standard auspicati da Soro e peraltro stabiliti dalla legge – ottengono così una dilazione di tempo potendo mettersi in regola entro il 30 settembre 2018. Per chi avesse scarsa confidenza con il calendario, alla piattaforma Rousseau viene permesso di essere sicura entro un anno dalla devastante breccia aperta nel perimetro dei propri forzieri informatici.
Davide Casaleggio, in qualità di legale rappresentante pro-tempore dell’Associazione Rousseau, risponde in anticipo rispetto il termine accordato, comunicando l’avvenuta adozione di ulteriori accorgimenti assunti al fine di porre rimedio alle criticità rappresentate dall’Autorità con il provvedimento del 16 maggio 2018 e trasmettendo al Garante i report tecnici delle due società incaricate di effettuare i “penetration test”.
Il successivo 7 agosto 2018 l’Autorità si trova costretta a rilevare – proprio dalla documentazione trasmessa ed in particolare dalle risultanze dei security assessment – la presenza di debolezze strutturali degli applicativi testati con conseguente necessità dell’adozione di adeguate contromisure. Il Garante chiede quindi di far pervenire, entro il già concesso termine del 30 settembre 2018 ogni ulteriore elemento di valutazione in ordine alle misure e alle iniziative assunte a tutela dei dati personali degli utenti.
Il 4 ottobre 2018 Soro e gli altri componenti dell’Autorità concedono una ulteriore proroga a Casaleggio per allineare la piattaforma Rousseau alle prescrizioni sancite dalla normativa in vigore e per tutelare finalmente gli utenti che si servono del sito e dei relativi servizi. Il termine ultimo per “dare completo adempimento alle prescrizioni contenute nel paragrafo 7 del provvedimento n. 548 del 21 dicembre 2017” viene così fissato al 15 ottobre 2018.
L’Ufficio del Garante informa in anticipo i predetti responsabili che nei giorni 12 e 13 novembre 2018 sarebbe stato effettuato un accertamento ispettivo di natura prettamente tecnica avente lo scopo di verificare in concreto – attraverso una serie di accessi ai sistemi informatici svolti in presenza di tutte le professionalità necessarie – la robustezza dei sistemi di sicurezza adottati rispetto alle criticità rappresentate dall’Autorità.
Questo l’iter, lungo e travagliato, che si profila ben diverso da una coltellata a tradimento – Bruto docet – tipica di una congiura.
Non va sottovalutato che il Garante già nel suo primo provvedimento aveva suggerito “la cancellazione o la trasformazione in forma anonima dei dati personali trattati, una volta terminate le operazioni di voto, nonché il disaccoppiamento del numero telefonico del votante (dato personale particolarmente identificativo) dal voto espresso, allo scopo di rendere i dati relativi alle votazioni meno direttamente riconducibili ai votanti o, addirittura, del tutto anonimi”.
A questo proposito non può passare inosservato che (come si legge nel punto 2.2 del tanto vituperato provvedimento sanzionatorio) il Garante ha «constatato che la tabella di database contenente le informazioni relative alle operazioni di e-voting effettuate nelle settimane e mesi precedenti l’accertamento ispettivo (ultimi dati relativi alla votazione online del 12 settembre 2018) “non contiene [più] il numero di cellulare del soggetto votante” e che la medesima tabella “contiene un ID utente [che] permette indirettamente di risalire [al] soggetto votante”». Ogni considerazione qui la lasciamo a chi – tra i lettori – è appassionato di democrazia diretta e di segretezza del voto.
Al punto 3.4 del provvedimento del Garante si legge poi, sempre a proposito della piattaforma Rouseeau, che “La stessa, infatti, non appare in grado, tra l’altro, né di prevenire gli eventuali abusi commessi da addetti interni, non essendo stati in essa previsti accorgimenti per partizionare il loro dominio d’azione (in particolare, degli amministratori di sistema e dei DBA – data base administrators), né di consentire l’accertamento a posteriori dei comportamenti da questi tenuti, stante la limitata efficacia degli strumenti di tracciamento delle attività”.
Potrei continuare in un impietoso “taglie e incolla” dei brani del provvedimento n° 83 che il 4 aprile scorso l’Autorità Garante ha emesso comminando la contestata sanzione.
Il provvedimento è a disposizione di chi vuole prenderne visione e, consideratane l’estrema leggibilità, può soddisfare chi intende sapere la verità sulla vicenda e fare le proprie valutazioni sull’intera architettura della piattaforma da molti identificata come il Paradiso terrestre della democrazia partecipativa.
Alla fine della storia quei cinquantamila euro sono l’equivalente di un divieto di sosta a chi per strada, forse, ha commesso ben più imperdonabili infrazioni in danno ai cittadini e ai loro diritti civili.
Rimuovere Soro (magari per mettere al suo posto l’ex avvocato di Facebook, nota realtà in cui la privacy è calpestata quotidianamente) sarebbe un evidente segnale di ingratitudine. Forse addirittura un indizio della sindrome rancorosa del beneficato.
2. RISCHIO MULTA DA 10 MILIONI IL M5S VUOLE IL «SUO» GARANTE
Giuseppe Marino per “il Giornale”
La prima multa l' hanno pagata senza fiatare, rinunciando a opporsi in tribunale. Alla seconda hanno reagito con gli strepiti di Davide Casaleggio e l' ordine di conquistare la poltrona del Garante, subito fatto suo dal vicepremier Luigi Di Maio che, a dispetto della pretesa di rendere indipendente l' Authority, sarebbe intenzionato a piazzare alla guida un suo uomo. Forzatura che portata a termine a multa già comminata avrebbe il sapore della porta della stalla chiusa dopo la proverbiale fuga dei buoi. A meno che a scatenare la voglia di mettere la museruola al Garante non ci sia qualche altro interesse.
Una possibile spiegazione può essere cercata in una serie di mail recapitate agli iscritti alla piattaforma Rousseau all' inizio di settembre e resa nota praticamente in tempo reale da Matteo Flora, fondatore di The Fool e brillante imprenditore con aziende che si occupano di cybersecurity, reputazione sul web e diritto in campo tecnologico: «Caro iscritto al Movimento 5 Stelle, - recitava il messaggio di posta elettronica - abbiamo ricevuto notizia di un possibile accesso illecito ai dati presenti sul server dei servizi erogati per il Movimento 5 Stelle e le autorità stanno già indagando assieme a noi e alcune società che ci supportano per identificare le eventuali modalità di accesso e ulteriori protezioni da attivare alcune delle quali sono già state messe in piedi. In linea con quanto richiesto dalla nuova normativa sulla protezione dei dati personali (Gdpr) ti informiamo di questa potenziale violazione dei tuoi dati».
La mail fa riferimento alla violazione della piattaforma Rousseau da parte di un hacker avvenuta a settembre 2018. Si tratta di un episodio diverso da quello che ha fatto scattare la multa del Garante, risalente a due anni fa. Il fattore tempo è decisivo: perché il Gdpr, la nuova e molto più stringente normativa europea sulla Privacy, prevedeva un' entrata in vigore posticipata del nuovo regime di sanzioni, in modo da dare tempo alle aziende di adeguare le proprie procedure di difesa. Il termine previsto era il 25 maggio 2018, circa tre mesi prima dell' ultima violazione subita da Rousseau ad opera del solito hacker, Rogue0.
Nonostante le raccomandazioni del Garante e le promesse dei gestori di Rousseau di migliorare le difese, il misterioso incursore si era fatto beffe della creatura tecnologica di Casaleggio, mettendo in rete una lista di donazioni effettuate a luglio 2018 con nomi, cognomi, importi e indirizzi email dei donatori messi alla mercè di chiunque.
La violazione è avvenuta appena due giorni dopo la pubblicazione in Gazzetta ufficiale. Il che apre all' applicazione dell' articolo 83 della norma, dove sono previste sanzioni durissime, fino a 10 milioni di euro. Tra le condizioni per valutare l' entità della sanzione c' è anche la presenza di precedenti provvedimenti subiti dal «responsabile del trattamento in questione relativamente allo stesso oggetto» e «il rispetto di tali provvedimenti». Rousseau ci ricadrebbe in pieno e, anche senza arrivare al massimo della multa, sarebbe una batosta ben maggiore dei 50mila euro impartiti in base alle norme pre-Gdpr.
«Oltretutto - spiega Flora -la norma prescrive di avvisare gli utenti del sito violato entro 72 ore specificando una serie di dettagli che nella mail di Rousseau sembrano mancare».
Il sospetto che con un nome gradito ai grillini il Garante possa diventare più tenero non è azzardato. E infatti Di Maio ieri ha accusato Antonello Soro di partigianeria, invocando un nome non politico, ma il nome che circola è quello dell' avvocato barese Marco Bellezza, che non solo è stato legale di Facebook (azienda spesso nel mirino per questioni di privacy), ma soprattutto consigliere giuridico dello stesso Di Maio per l' innovazione digitale. Alla faccia dell' indipendenza.
