La raccolta firme del deputato di Italia Viva recita “basta fake”, ma si può firmare comodamente con dati falsi: non c’è conferma della registrazione (e non rispetta nemmeno il Gdpr)
La prova su strada di Wired
Sui social network e i giornali il tema di dibattito del giorno è senza dubbio la proposta di Luigi Marattin, deputato ferrarese di Italia Viva che su Twitter ha prima ripreso un tweet del regista Gabriele Muccino, il quale auspicava l’avvento di “una legge che obblighi chiunque apra un account social a registrarlo solo tramite l’invio di un documento di identità”, e poi è passato all’azione avviando una petizione online “per impedire che il web rimanga la fogna che è diventato” – per usare le sue parole – e dare il benservito ai “profili falsi sui social network”. Di lotta all’anonimato online si parla da ormai parecchi anni, e non è la prima volta che incontriamo proposte di questo tipo, ma Marattin e il gruppo renziano si sono detti determinati a procedere in questa direzione.
La raccolta firme online – che nel momento in cui scriviamo non è lontana da quota 2mila firme – è ospitata dal sito della nuova formazione di Matteo Renzi, ma si è già distinta per avere parecchi problemi: per cominciare, permette al visitatore di firmare senza presentare alcuna prova della propria identità, generando con una certa ironia esattamente ciò che si prefigge di combattere (diversi utenti hanno provato a sostenere la raccolta firme con nomi e indirizzi email evidentemente inesistenti, per poi ricevere il messaggio di avvenuto conteggio della sottoscrizione). Inoltre il sistema non prevede il consueto invio dell’email per la conferma di registrazione, cosa che apre alle sottoscrizioni multiple con lo stesso indirizzo, nonché a utilizzi non autorizzati di indirizzi altrui realmente esistenti: tutto, alla fine della procedura, entrerà regolarmente nel counter delle firme.
A prendere parte alla sortita marattiniana abbiamo provato anche noi di Wired, e come si può notare dagli screenshot con identità serissime e assolutamente non tendenti all’anonimato (“Babbo Natale” e “Jessica Rabbit” hanno lo stesso indirizzo email esistente, per la cronaca, ma è solo un caso).
Alla fine della registrazione, “Babbo Natale” e “Jessica Rabbit” hanno ricevuto due distinte e appassionate email di congratulazioni da parte da Italia Viva. Poi abbiamo registrato “Grande Puffo”, stavolta con un’email puffosamente inventata (screenshot all’inizio dell’articolo).
“Ciao Jessica”
Se ciò non bastasse – e per una petizione che si chiama “Basta fake” dovrebbe francamente bastare – c’è poi da considerare che la raccolta firme proposta da Marattin è agli antipodi rispetto al regolamento europeo sui dati personali del Gdpr: in un pop-up sul sito si ricorda quanto “i comitati di Azione Civile” tengano alla privacy, ma – come notato su Twitter dall’hacker del caso Rousseau Evariste Galois – non esistono policy di trattamento dei dati personali inseriti nel form. Quella generale del sito di Italia Viva specifica che “il fondamento giuridico del trattamento risiede pertanto nel consenso esplicito degli interessati”, ma manca del tutto la richiesta di consenso dell’utente in fase di firma. Il web specialist Andrea Ganduglia ha segnalato anche l’assenza di un sistema antispam, token riciclati e la mancanza di una lista pubblica delle firme registrate.
Regaz no parole. Nessun sistema antispam, nessuna verifica sulla mail, token riciclati, nessuna autorizzazione al trattamento dei dati personali, nessuna lista pubblica delle firme. @raistolo @quinta @DavidPuente @jacopo_iacoboni @marcocanestrari pic.twitter.com/MN1QKv0o9n
— Andrea Ganduglia (@andreaganduglia) October 29, 2019
Quindi, cosa rimane? Di certo una brutta figura: c’era forse un passo falso peggiore, per avviare una Grande Battaglia Culturale contro i fake che dovrebbe addirittura salvare “le democrazie”, di permettere ai buontemponi di firmare con nomi del tutto falsi e ai malintenzionati di alterare il risultato della consultazione? La parola a Grande Puffo.
Leggi anche