In merito all'attacco hacker ai server del Movimento 5 Stelle relativi alla Piattaforma Rousseau ed al blog www.beppegrillo.it, il 7 agosto l'autorità Garante della privacy aveva aperto un'istruttoria sulla violazione dei dati personali di numerosi cittadini, in conseguenza delle segnalazioni ricevute da alcune persone.

Il 21 dicembre, il Garante della privacy ha comunicato il risultato dell'istruttoria. Alcuni passaggi sono particolarmente interessanti o "divertenti" in considerazione di quale sia il rapporto reale tra la tanto mitizzata rete ed il Movimento 5 Stelle che ha sempre detto di agire sfruttando le possibilità offerte dalla rete.

In particolare è emerso che:

"a) il portale web del Movimento 5 Stelle e parte della piattaforma Rousseau sono stati realizzati avvalendosi di un prodotto software, il CMS Movable Type che, nella versione Enterprise 4.31-en, è risultata affetta da indiscutibile obsolescenza tecnica (il produttore individuava nel 31 dicembre 2013 la data di "fine vita" delle versioni 4.3x).

Il blog www.beppegrillo.it utilizza invece una versione del CMS Movable Type ancora più risalente (versione 3.35), con la quale la registrazione delle password avveniva in chiaro.

Le obsolescenze dei CMS (sistemi di gestione dei contenuti), oltre a esporre i dati personali trattati a rischi di accesso abusivo (rischi derivanti dalle vulnerabilità informatiche già note e segnalate dallo stesso produttore), ha condizionato l'efficacia di alcuni accorgimenti tecnici adottati successivamente dall'Associazione a seguito delle intrusioni informatiche; ad esempio il portale non realizzava policy efficaci sulla qualità delle password, ammettendo l'uso di password banali, facilmente esposte alla decifrazione e ad attacchi di tipo brute force anche in modalità interattiva online;

[...]

c) con riferimento al database Rousseau, il documento trasmesso all'Autorità recante "Estratto delle tabelle principali di Rousseau", ha permesso di valutare alcuni aspetti relativi alla riservatezza delle operazioni di voto elettronico svolte tramite la piattaforma; in particolare, l'esame delle predette tabelle ha mostrato come l'espressione del voto da parte degli iscritti, in occasione della scelta di candidati da includere nelle liste elettorali del Movimento o per orientare altre scelte di rilevanza politica, venga registrata in forma elettronica mantenendo uno stretto legame, per ciascun voto espresso, con i dati identificativi riferiti ai votanti; nello schema del database risulta infatti che ciascun voto espresso sia effettivamente associato a un numero telefonico corrispondente (come del resto confermato dal dottor Casaleggio in sede ispettiva, cfr. verbale 5 ottobre 2017) al rispettivo iscritto-votante.

Tale riferimento sarebbe mantenuto nel database per asserite esigenze di sicurezza, comportando, tuttavia, la concreta possibilità di associare, in ogni momento successivo alla votazione, oltre che durante le operazioni di voto, i voti espressi ai rispettivi votanti.

La possibilità di tracciare a ritroso il voto espresso dagli interessati non risulta neppure bilanciata, per esempio, da un robusto sistema di log degli accessi e delle operazioni svolte da persone dotate dei privilegi di amministratore della piattaforma che consenta, almeno, di condurre a posteriori azioni di auditing sulla liceità dei trattamenti attuati dal detentore dell'archivio elettronico."

Nell'istruttoria, il Garante ha rilevato anche una condotta non corretta nel trattamento dei dati personali degli utenti, per scopi commerciali, tra il blog di Beppe grillo e le società Wind e ITnet.

Al di là dei rilievi tecnici, delle indicazioni per correggerli e delle possibili sanzioni, fa rimanere sbigottiti la noncuranza relativa a quello che dovrebbe essere l'elemento principale su cui il "MoVimento" basa la sua azione politica che è costruito su un software di Content Management System che lo stesso produttore non mantiene più in quella versione.

Ma ancora più grave è la possibilità di tracciare i voti espressi dagli utenti, così da sapere come ognuno abbia votato in rapporto ad ogni singolo quesito: "nello schema del database risulta infatti che ciascun voto espresso sia effettivamente associato a un numero telefonico corrispondente".

La domanda, a questo punto, sorge spontanea. Se questo è il livello di accuratezza che il Movimento 5 Stelle ha in relazione all'elemento su cui basa tutta la sua azione politica, quale potrà mai essere l'approccio che lo stesso Movimento avrà nel caso si trovi, una volta vinte le elezioni, a gestire la "Cosa" pubblica?