La violazione della piattaforma Rousseau del Movimento 5 Stelle, avvenuta negli scorsi giorni da parte dell’utente di Twitter r0gue_0, ha aperto nuovamente il dibattito non solo sull’organo di democrazia diretta del partito guidato da Luigi Di Maio, ma anche sul tema della democrazia online e sulla protezione dei dati personali degli utenti di qualsiasi piattaforma che operi nello spazio virtuale, anche considerata l’entrata in vigore della nuova normativa europea sulla protezione dei dati personali, Gdpr, che ha messo ulteriori vincoli a protezione dell’identità virtuale dei cittadini.
Per capire qualcosa di più Formiche.net ha intervistato l’avvocato Luca Bolognini, presidente dell’Istituto Italiano per la Privacy, tra i massimi esperti europei in diritto della privacy e utilizzo dei dati personali e autore del libro “Follia artificiale” (Rubbettino), in cui vengono esaminati i grandi temi giuridici ed etici posti dall’intelligenza artificiale, dal tracciamento continuo dei dati nell’universo digitale, dalla robotizzazione e dalla tecnologizzazione dei rapporti umani.
Avvocato, partiamo dalla violazione della piattaforma Rousseau. Sono stati pubblicati, gli scorsi giorni, sul Blog delle Stelle, i risultati di alcune votazioni che si sono tenute su Rousseau, proprio mentre era in corso un attacco hacker. Ci sono delle garanzie – per gli utenti che hanno votato, gli iscritti, ma anche per chi al Movimento non è iscritto, essendo una forza di governo – che questa votazione sia valida?
Da quanto risulta in base alle notizie fatte circolare dall’hacker, non sembrerebbe essersi trattato di un attacco danneggiante o modificativo dei dati o dei sistemi, ma solo di un accesso abusivo ai dati. Questo non dovrebbe avere avuto impatti sulle votazioni. In astratto, senza riferimenti a Rousseau in questo caso, certamente ha comunque senso porsi il problema della validità delle votazioni on line in caso di sistemi vulnerabili.
Il Garante della Privacy aveva già segnalato diverse criticità sulla piattaforma Rousseau, cosa potrebbe succedere con questa nuova violazione?
Il Garante Privacy aveva prescritto l’adozione di una serie di misure di sicurezza, il 21 dicembre 2017, oltre a rilevare una necessità di maggiore chiarezza informativa nell’identificazione dei ruoli (la cosa ha peso politico non banale perché Beppe Grillo risulta titolare del trattamento dei dati della piattaforma Rousseau, e ha nominato l’associazione Rousseau quale responsabile del trattamento: questo significa che le finalità e le modalità del trattamento dei dati degli iscritti alla piattaforma sono decise da Beppe Grillo in persona, e non dall’associazione). Ora il Garante Privacy valuterà se questa nuova, asserita violazione dei dati sia stata causata dal mancato adeguamento al provvedimento dell’autorità o da una nuova vulnerabilità che prima non era emersa.
Quali sono le ripercussioni, nei due casi?
Nel primo caso, titolare e responsabile del trattamento potrebbero essere sanzionati per non avere osservato le prescrizioni del Garante e anche per false attestazioni (di avere adottato misure in realtà non implementate). Ma questa è solo una supposizione teorica: sarà il Garante ad accertare la verità e, personalmente, non credo probabile che la piattaforma Rousseau non fosse stata adeguata dopo il provvedimento. Credo più verosimile la seconda ipotesi, e cioè che l’attaccante informatico abbia scoperto una nuova vulnerabilità; magari anche con l’aiuto di tecniche di ingegneria sociale, molto difficili da fronteggiare, visti gli agganci interni all’organizzazione che questo hacker parrebbe avere. In questa seconda ipotesi, il Garante prescriverebbe nuove ed ulteriori misure di sicurezza e garanzia, ma non ci sarebbero aggravi di responsabilità legale per titolare e responsabile del trattamento dei dati.
Ad essere cambiata è anche la normativa: con l’entrata in vigore del Gdpr quali rischi corre chi gestisce una piattaforma come Rousseau?
Premetto che la piattaforma Rousseau, come altri esperimenti che si stanno realizzando nell’ambito dell’attivismo politico, anche intorno a diversi partiti e movimenti, rappresenta un tentativo pionieristico e massivo di tecnologizzazione della partecipazione democratica. Può piacere o no, come esperimento innovativo e come ideologia di fondo, ma resta un fatto obiettivo e, per così dire, pacifico: chi innova, rischia. È naturale che, se sei così massivamente esposto e ti avventuri nell’evoluzione dei mezzi di partecipazione elettronica, ti attacchino e a volte facciano centro. Questo non può voler dire che si sia “colpevoli” sempre e oggettivamente di qualunque aggressione si riceva, anzi un attacco violento o fraudolento a un partito o movimento politico dovrebbe sempre indignare in democrazia (una molotov contro l’ingresso di una sede di partito indigna e preoccupa, e genera solidarietà trasversale, perché non dovrebbe farlo un attacco informatico?); ma certamente questo significa anche che coi dati in politica non si scherza, non a caso le opinioni politiche e l’appartenenza a partiti sono considerate informazioni sensibili. E significa che un movimento o un leader politico devono fare i conti con gli adempimenti e le difese privacy, come e più di un’azienda. Se non lo fanno, rischiano – in base alle nuove norme del Gdpr e in particolare del suo art. 83.5 – fino a 20 milioni di euro di multa e il blocco dei trattamenti di dati.
Ieri sera, agli iscritti di Rousseau, è stata inviata una mail di avviso di possibile data breach della piattaforma. Alcuni osservatori dicono che non sia conforme ai vincoli di legge, è così?
La comunicazione agli interessati potrebbe essere un primo passo di trasparenza, anche in ossequio a quanto previsto dall’art. 34 del Gdpr (sebbene non contenga tutti gli elementi previsti da quella norma, ma evidentemente stanno ancora valutando il livello di rischio per i diritti e le libertà delle persone che questa breach può comportare). Più che altro, una comunicazione ex art. 34 Gdpr dovrebbe indicare dettagli relativi all’attacco e ai tipi di dati aggrediti, e fornire elementi utili all’autodifesa per gli interessati. Il contenuto obbligatorio ex lege dovrebbe comprendere: 1. il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; 2. la descrizione delle probabili conseguenze della violazione dei dati personali; 3. la descrizione delle misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Questo potrebbe portare ulteriori problemi al gestore, in questo caso Casaleggio?
Non è detto. L’art. 34 scatta e si applica l’obbligo solo se la violazione dei dati comporta elevato rischio per i diritti e le libertà delle persone fisiche, e non sappiamo se questo possa essere il caso. Insomma, bisogna aspettare ulteriori approfondimenti.
Ampliando lo sguardo, si parla di democrazia digitale, intelligenza artificiale, ma l’identità online e i dati raccolti sugli utenti possono essere uno strumento di ricatto. Quali sono le strategie per evitare l’uso improprio di questi dati?
Misure tecniche e organizzative di sicurezza e garanzia. Formazione delle persone che trattano dati, anche per prevenire attacchi di ingegneria sociale. Poi, ad impossibilia nemo tenetur e certe vulnerabilità si possono scoprire solo col tempo, perché derivano dalla continua evoluzione delle tecniche di attacco. Il Gdpr, non a caso, impone a titolari e responsabili del trattamento di verificare periodicamente e continuativamente il grado di adeguatezza delle misure. E notate bene, tra le misure di sicurezza ci sono anche le tecniche per accorgersi di essere stati oggetto di violazione: le data breach peggiori sono infatti quelle che non si percepiscono e non si sospettano, ma si verificano silenziosamente. Ciò detto, con l’evoluzione delle strumentazioni digitali e degli algoritmi, più che di intelligenza io parlerei di rischio di caos artificiale, e proprio a questo tema ho dedicato il mio ultimo saggio di riflessioni per la resistenza dell’intelligenza umana.
In molti Paesi, ormai, si può votare per via digitale. Si parla da anni di diritto di accesso alla rete, insomma nascono nuovi diritti, ma non si sa ancora come proteggerli. Quali sono i prossimi passi in questo ambito e quali i Paesi da prendere come esempio?
Da un lato, ha senso incrementare sempre di più l’utilizzabilità legittima e riconosciuta di strumenti digitali per abilitare l’esercizio di diritti, libertà, poteri e doveri. Non penso solo al voto, penso anche alla raccolta di firme per la presentazione di candidature alle elezioni. Tuttavia, ad oggi, quasi tutti i sistemi di voto elettronico e telematico hanno presentato gravi vulnerabilità, tanto che in diversi contesti vi sono state “marce indietro” verso il fisico e l’analogico. Quello che bisogna evitare è anche la sostituzione o simulazione d’identità; non solo ad opera di umani.
A cosa si riferisce?
Pensate al rischio del bot e del robot abilitati all’esercizio di diritti, libertà, doveri e poteri umani. Pensate all’incubo di avere membri dei parlamenti non umani, o anche solo consigli direttivi di partiti o associazioni che siano composti da identità algoritmiche e non da persone vere. Chi di noi, già oggi, sarebbe in grado di capire che dall’altra parte della rete sta dialogando con un chatbot intelligente, anziché con un impiegato di customer care in carne ed ossa? Finché siamo a uno sportello commerciale possiamo tollerarlo, nei limiti delle garanzie dovute ai consumatori, ma quando si entra in ambiti istituzionali e sensibili tutto cambia. Soluzioni potranno derivare dall’uso delle tecnologie biometriche, che verificano l’identità e la “vivezza” univoca delle dichiarazioni della persona fisica che agisce dietro la maschera virtuale dell’Id elettronico.
Cosa consiglia ai leader politici del futuro, italiani e non?
Se potessi dare un consiglio ai leader politici italiani, europei e di tutto il mondo, come scrivo nel mio pamphlet “Follia Artificiale”, direi di avere il coraggio di integrare le costituzioni e i trattati con norme specifiche sulla trasparenza degli algoritmi usati in ambito pubblico e istituzionale, da un lato, e dall’altro di inserirvi la nuova regola fondamentale dello “Stato di diritto umano” (rule of human law) per scongiurare il rischio che – in un futuro neanche troppo lontano – le leggi e i privilegi di super-admin-in-chief siano dominio di macchine e non di esseri umani.