Tutto pronto per il voto su Rousseau, in merito all'alleanza M5S-Pd per dare vita al nuovo governo di Giuseppe Conte. Una piattaforma sempre sotto la luce dei riflettori e, in occasioni come questa, ancora di più. In previsione del voto, nei giorni scorsi, sul Blog delle Stelle è stata pubblicata una lunga e puntuale precisazione, con la smentita che Rousseau 'appartenga' alla Casaleggio Associati che, invece, l'ha solo sviluppata "gratuitamente".
Poi 10 informazioni per fare chiarezza sulla piattaforma su cui militanti e iscritti del M5S sono chiamati a votare sull'accordo di governo. Un voto, che è assolutamente sicuro, è stato puntualizzato, sul Blog. Il voto, si sostiene, non può essere manipolato ed è certificato da un notaio. Scongiurati anche i tentativi di orientarlo con iscrizioni di massa dell'ultim'ora. Al voto, infatti, accedono solo gli iscritti certificati da almeno sei mesi prima la data della consultazione stessa. Ed ecco le 10 cose da sapere, pubblicate sul Blog.
1) La piattaforma Rousseau non è gestita dalla Casaleggio Associati. Inizialmente la Casaleggio Associati ha sviluppato la piattaforma Rousseau per il Movimento 5 Stelle e lo ha fatto gratuitamente. Nel 2016 la piattaforma viene rilasciata e donata al Movimento 5 Stelle e la sua gestione viene affidata all''Associazione Rousseau' fondata da Gianroberto e Davide Casaleggio proprio con lo scopo di sostenere e sviluppare l’omonima piattaforma di democrazia diretta.
L’Associazione è senza scopo di lucro e composta da Massimo Bugani (socio e responsabile organizzazione eventi), Enrica Sabatini (socio e responsabile ricerca e sviluppo), Pietro Dettori (socio e responsabile editoriale) e Davide Casaleggio (Presidente). Le donazioni versate mensilmente dai parlamentari sono finalizzate al supporto delle attività dell’Associazione Rousseau. La Casaleggio Associati non percepisce nulla di quegli importi.
2) L’area voto utilizzata negli ultimi 5 mesi e che verrà utilizzata per il voto sul 'Progetto di Governo' NON è stata oggetto di contestazioni da parte del Garante della privacy. I problemi evidenziati dal Garante riguardavano la precedente piattaforma non più in uso. Tutte le contestazioni del Garante sono state risolte nel vecchio sistema e non sono mai state presenti nel nuovo. Il sistema scrutinato dal Garante è stato messo in sicurezza e comunque non ha alcun accesso all’attuale sistema voto.
Nello specifico, la nuova area voto attualmente utilizzata è stata scritta da zero seguendo lo stato dell’arte per quanto riguarda la sicurezza, la privacy, la trasparenza e la robustezza. In particolare: il Login è garantito da un software open source di nome Keycloak che si appoggia allo standard de facto OpenID Connect. Il software è aggiornato, sviluppato da una ampia community oltre che da una azienda leader nel settore (Red Hat).
Al momento il software non è mai stato hackerato. Come livello di sicurezza ed identificazione aggiuntivo abbiamo implementato il 2 Factor Authentication via SMS. Il Database non è esposto esternamente e non vi sono utenze che vi hanno accesso al di fuori dell’applicativo di backend. I framework usati sono aggiornati e hanno out of the box diverse feature di sicurezza che rendono il sistema immune a diversi attacchi conosciuti (tipo sql injection, xss…). L’accesso al cluster è protetto da VPN ed è auditabile (ed auditato).
3) L’area voto prevede due tabelle distinte per i voti e i votanti. Una tabella dice che una persona ha partecipato alla votazione senza indicazione di cosa ha votato e c’è una seconda tabella distinta che contiene l’elenco delle preferenze espresse.
Quindi non si può risalire a quale scelta è stata fatta dall’utente. Inoltre, non è possibile che uno stesso utente voti più volte perché il sistema consente un unico accoppiamento utente-partecipazione al voto. E’ come nel voto fisico in cui è presente un registro votanti che contiene l’elenco di chi ha partecipato al voto ed un’urna all’interno della quale vengono inserite le schede. Il collegamento diretto voto-votante è impossibile
4) Grazie al miglioramento dell’infrastruttura ed un’allocazione ad hoc di risorse hardware che vengono incrementate in maniera proporzionale alle esigenze del voto, la nuova area voto, in uso da 5 mesi, ha dimostrato buone performance in condizioni di carico. Durante la votazione per la conferma di Luigi di Maio come capo politico, hanno votato 56.127 persone e il sistema è stato oggetto di 3 attacchi DDos che sono stati sventati.
Le performance dell’area voto sono rimaste intatte, a parte un lieve rallentamento durati meno di 30 minuti. Nell’arco delle operazioni di voto, malgrado gli attacchi subiti, il tempo del server per processare le richieste (latenza) è stato di: massimo 71 millisecondi nella metà dei casi, massimo 207 millisecondi nel 90% dei casi e 409 millisecondi nel 99% dei casi. Abbiamo gestito una media di 116.25 richieste https al secondo, con picchi di 305 richieste al secondo durante il picco di voto (escludendo il DDoS). Considerando gli attacchi, i tentativi di attacco e gli errori legittimi, possiamo dire di non aver avuto alcun errore nel processare i voti.
5) Le modifiche del codice possono solo passare da un sistema di version control tracciato. Eventuali, improbabili, modifiche del codice nel file system non comporterebbero alcuna alterazione. Il database con i risultati dei voti non è accessibile direttamente da parte degli amministratori. Tutte le connessioni alle macchine sono protette da VPN e sono tracciabili. A conclusione di ogni operazione di voto, la procedura prevede l’attivazione di rigidi controlli di verifica sulla presenza di anomalie.
6) Le votazioni sono certificate da un notaio che ha accesso in tempo reale al monitoraggio del sistema di voto. Questo permette di verificare e certificare eventuali anomalie.
7) La piattaforma Rousseau è sostenuta da donazioni di iscritti e portavoce per un totale, nel 2018, di 1.254.031 euro di entrate a fronte di 1.123.990 euro di spese. Come evidenziato nel bilancio 2018, il 59% dell’importo totale (ossia 659.710 euro annui) è utilizzato specificatamente per il supporto della piattaforma ossia per sostenere le spese del personale, gli investimenti sull’infrastruttura tecnologica e per il funzionamento degli uffici, mentre il 40% del totale (464.281 euro) è dedicato alle spese di supporto legale e per gli accantonamenti dei rischi legali del MoVimento 5 stelle, per le spese di comunicazione e di organizzazione di incontri di formazione e per gli oneri diversi di gestione.
Nello specifico: Spese del personale dipendente (230.676 euro di stipendi) e a supporto in partita iva (105.130 euro), ossia 12 persone che lavorano in 10 ampie aree di azione (assistenza agli iscritti, gestione delle segnalazioni e delle questioni legali, ricerca e sviluppo, project management, web design development, coordinamento delle funzioni, organizzazione eventi, produzione contenuti editoriali, comunicazione e rapporto con la stampa, amministrazione e contabilità). Investimenti per sostenere e potenziare l’infrastruttura tecnologica (220.318 euro). Spese per il funzionamento degli uffici (103.583 euro annui). Spese per il supporto legale e per gli accantonamento dei rischi legali (272.973 euro). Spese di comunicazione e di organizzazione degli eventi di formazione (87.858 euro). Oneri diversi di gestione (103.450 euro
8) Per poter votare su Rousseau è necessario essere iscritti alla piattaforma da almeno sei mesi. Questo rende impossibile che iscrizioni di massa all’ultimo minuto possano influenzare una votazione. Inoltre, questa finestra temporale così lunga consente di effettuare controlli e verifiche accurate sulle richieste di iscrizioni presentate ed è attivo un sistema di segnalazioni quotidiano attraverso il quale gli iscritti stessi possono inviare comunicazioni in merito.
9) Per poter votare è necessario essere iscritti certificati. La certificazione viene rilasciata solo se l’iscritto è identificato da un documento ufficiale (dalla carta d’identità alla patente, al passaporto), da un indirizzo e-mail e da un numero di telefono che vengono verificati. La certificazione di un iscritto avviene in 3/5 giorni lavorativi a seguito di ulteriori controlli sulla validità delle informazioni fornite. Gli aventi diritto al voto su Rousseau sono ad oggi 115.372.
10) La nuova piattaforma Rousseau non è stata hackerata il 29 agosto 2019. L’immagine che è stata diffusa è frutto di un fotomontaggio che gli stessi utenti della Rete hanno smascherato.