Questo sito utilizza cookies tecnici (propri e di terze parti) come anche cookie di profilazione (di terze parti) sia per proprie necessità funzionali, sia per inviarti messaggi pubblicitari in linea con tue preferenze. Per saperne di più o per negare il consenso all'uso dei cookie di profilazione clicca qui. Scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie Ok, accetto

Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

 2016  marzo 13 Domenica calendario
La storia raccontata da Giorgio Dell'Arti 

il Fatto Quotidiano, 13 marzo 2016

Cosa è successo ai server del M5s

Per il Pd è il Watergate a 5Stelle, la prova che Gianroberto Casaleggio tutto vede e “tutto spia” dentro il M5s. Per il Movimento è solo “fango piddino”. Non ci sono mezze misure quando si litiga sul caso di parlamentaria5stelle.it, storia complicata, riemersa con un’inchiesta del Foglio. La piattaforma conteneva mail e dati riservati degli eletti, che la pagavano e gestivano in autonomia. Ma nell’ottobre 2014 fu chiusa, dopo la verifica di un consulente, perché nel M5s sospettavano falle nella sicurezza e perché non si fidavano del gestore, l’allora deputato grillino Massimo Artini. Però ad annunciare lo stop e a diffondere dati sugli utenti (“meno di 30”) fu una lettera della Casaleggio Associati. Il sospetto dei dissidenti di allora, degli ex grillini e dei dem oggi, è che proprio Casaleggio abbia messo il naso in quelle mail. Il Fatto ha ricostruito la storia incrociando le versioni del M5s, di Artini e di altri coinvolti.
Marzo 2013, nasce la piattaforma. Il M5s decide di crearne una per custodire dati, mail e comunicazioni interne. A richiederla, secondo Artini, informatico fiorentino ora in Alternativa libera dopo essere stato espulso dal M5s (ufficialmente per problemi con la rendicontazione), è l’assemblea dei deputati. “Volevamo fosse staccata da beppegrillo.it e da qualsiasi altro fornitore”. Nasce così “il server di Artini”, magazzino virtuale. Il deputato utilizza “una macchina pre-esistente, già usata da vari gruppi Cinque Stelle in Toscana” e lavora su un nuovo dominio che si chiamerà parlamentari5stelle.it, legato al server di Artini. Ogni parlamentare del M5s riceve le credenziali e un indirizzo di posta. Il 27 marzo, in una riunione alla Casaleggio, Artini e il suo gruppo di lavoro chiedono all’azienda se intende partecipare. La risposta è no.
Maggio 2013. Artini dice di essere stato autorizzato a gestire il server dall’assemblea del gruppo Camera, ma delle delibere non c’è traccia e il M5s non risponde sul punto. Gestire un server significa avere accesso a tutto ciò che contiene: anche alle caselle email. Può farlo l’amministratore, cioè Artini. Ad affiancarlo c’è un tecnico, Eric Festa. “Per ogni operazione – dice il deputato– dovevo essere autorizzato dal rappresentante legale, il presidente del gruppo”.
Quando il server non basta più – troppi dati, troppo traffico – si decide di spostare le caselle di posta su un fornitore esterno. È l’estate del 2014, Artini sta lasciando il suo ruolo di responsabile informatico perché, dice oggi, doveva “fare il parlamentare”. Dal M5s raccontano un’altra verità: “Molti si lamentavano della gestione superficiale della pagina mirror”. È una pagina web simile a quella ufficiale (c’era anche la scritta parlamentari5stelle), su cui Artini, membro della commissione Difesa, indisse la votazione su un progetto di legge per una “rappresentanza militare sindacale”. Una copia del sito a uso personale.
Prima di lasciare la gestione della piattaforma ufficiale, però, il deputato avvia il processo di sdoppiamento. Per farlo, copia manualmente i dati, le caselle email, e li sposta nel nuovo server. A suo dire, è autorizzato dall’assemblea e dall’allora presidente Riccardo Nuti. Ad agosto, però, il trasferimento si arena.
Metà settembre 2014. Il M5s assume un consulente per controllare la piattaforma. È Claudio Genova, capo dell’azienda torinese Wr Network, fornitrice di servizi per la Casaleggio Associati. A consigliarlo sarebbe proprio la Casaleggio. Come si legge nel suo contratto – che il Fatto ha visionato – Genova è assunto dal Gruppo M5s. In quel momento la capogruppo è Paola Carinelli, il presidente è Alessio Villarosa. Il consulente, pagato 550 euro al giorno, deve verificare, tra le altre cose, la sicurezza delle password e testare le debolezze. I primi giorni riesce a fare poco: gli viene concesso un accesso limitato. Nel gruppo non tutti sembrano felici della sua presenza. È affiancato dal tecnico Eric Festa che, secondo Artini, è costretto dalla Carinelli a fornire a Genova la password per entrare nel sistema come amministratore. Il M5s la racconta così: “La capogruppo fornì un account con grado di amministratore al tecnico (Genova, ndr), ma mantenne la password da super-amministratore. Uno dei motivi per cui fu richiesta la consulenza era proprio la gestione poco trasparente delle password d’accesso fino ad allora. Solo così si scoprì che all’account da amministratore creato da Artini avevano accesso più persone, non ben definite”. Ma i parlamentari sapevano dei legami tra Genova e la Casaleggio? “No. Ma le società di sicurezza informatica a livelli alti non sono tante”. Genova, come Artini in precedenza, può accedere a tutto. A quanto risulta al Fatto, la verifica della sicurezza evidenzia debolezze. Le mail in uso sono effettivamente poco meno di trenta. Intanto, il sistema continua a funzionare.
Il 2 ottobre 2014. Alle 17 di un venerdì il servizio sui domini inizia a bloccarsi. Secondo alcuni avrebbe prima rallentato, poi smesso di funzionare il giorno dopo per poi rimanere inattivo fino al 6 ottobre, quando Artini e il tecnico lo avrebbero ripristinato con una manovra di emergenza. Secondo questa versione, Genova avrebbe modificato le password di amministratore, impedendo così al tecnico di accedere, e poi rallentato e bloccato il sistema per qualche motivo. C’è poi l’altra versione: il disservizio sarebbe durato solo tre ore, causato da Festa o Artini che, poi, avrebbero ripristinato il sistema. Genova, comunque, va via quel venerdì da Roma senza porre rimedio – il suo contratto è scaduto – e non torna. Redige un report e lo consegna ai 5Stelle. La capogruppo e gli altri dirigenti lo danno alla Casaleggio? Il M5s nega: “Abbiamo riferito a Beppe (Grillo, ndr) solo il risultato statistico, quanti utilizzavano la posta su quel server. Era preoccupato per le segnalazioni di diversi parlamentari”. Nessuna trasmissione di dati sensibili, come ribadito dalla Casaleggio. Si spiegherebbe così la mail inviata dallo staff di Milano il 2 ottobre a tutti i parlamentari, in cui si riferiva di meno di 30 utenti attivi. Il M5s precisa: “I parlamentari hanno avuto il tempo di salvare ciò che gli serviva, poi è stato consigliato loro di ricorrere alla mail dei server comuni o la posta della Camera”.
Qualche giorno fa Artini ha detto a Repubblica di aver notato come “il registro eventi, dopo il ripristino, mostrava che erano state fatte azioni per controllare singole caselle di posta”. Genova, o qualcun altro, ha spiato le mail? “Quello che ho visto – specifica Artini al Fatto – è che c’è stata un’operazione sulle mail, ma non si può dire con certezza che siano state sottratte o spiate”. Un’attività che, spiega un esperto, potrebbe essere riconducibile al controllo sul traffico ma anche alla sottrazione di mail. “E che – spiega – può essere cancellata dal registro con un semplice clic”.
L’unico dato certo, quindi, è che oltre al gruppo e alla capogruppo che ne avevano legittima facoltà, la Casaleggio è venuta a conoscenza quanto meno dell’entità di traffico di mail. E, tra le azioni effettuate da Genova c’è stato sicuramente quel tipo di monitoraggio, di norma poi annotato nel report (Genova firma clausole di riservatezza). Nessuna prova che le mail siano state spiate. E comunque, dopo tanto tempo, sarebbe difficile per chiunque provarlo. Forse anche per le forze dell’ordine.