@parlamentari5stelle.it – An inconvenient truth

Massimo Artini 8 marzo 2016M5S

5stelle

Il server parlamentari5stelle.it – Come sono andate le cose.

Questa è la cronistoria delle vicende che hanno riguardato il server parlamentari5stelle.it. Si tratta di un piccolo contributo per fare chiarezza, visto che il Movimento nato facendo della trasparenza la sua stella polare pare aver perso per strada questo valore.

Il dominio parlamentari5stelle.it

Il dominio nasce l’8 marzo 2013, su richiesta dell’assemblea dei deputati del movimento 5 stelle, al fine di creare un forum, forum.parlamentari5stelle.it, basato su una piattaforma commerciale VBullettin. Dominio e Forum li ho acquistati per conto del gruppo, li ho configurati, ho creato tutti gli utenti, consegnato le configurazioni tramite email mirate alle singole persone, supportato tutti coloro che avevano problemi di configurazione.

Lo stesso sistema fu inizialmente utilizzato per la divisione dei curricula da vagliare per i legislativi (oltre 15.000 mail) come iniziale repository dati.

Il sistema server ospitato su parlamentari5stelle.it

Nei giorni successivi all’insediamento (14 marzo 2013) e durante la votazione del presidente della Repubblica, fu formato un gruppo di lavoro che trattasse il sistema informatico: era composto da me stesso insieme a Cristian Iannuzzi, Eleonora Bechis, Gianluca Rizzo, Emanuele Scagliusi e Nicola Bianchi.

Fu organizzato un lavoro che portasse ad coordinamento informatico camera/senato per i lavori e la documentazione interna.

Al fine di evitare di investire risorse eccessive per quello che era un beta-test, in questa fase iniziale fu deciso di utilizzare un’infrastruttura preesistente. Fu quindi utilizzato un sistema che già era stato provato in Toscana per gruppi del 5 stelle. Dopo una valutazione effettuata con la Casaleggio Associati, il 27 marzo 2013, fu implementato un sistema che comprendeva:

  • Posta elettronica
  • Calendario
  • Contatti
  • Attività
  • File System
  • Forum
  • E-Democracy interna

Durante la riunione, svoltasi appunto a Milano il 27 marzo del 2013, con la Casaleggio Associati, oltre ad avere informazioni sulle release del software che, nel rispetto del codice etico firmato da noi parlamentari, doveva darci la possibilità di applicare quella democrazia partecipata, fu specificatamente indicato da Davide Casaleggio che i sistemi interni della camera non erano di pertinenza della Casaleggio Associati, lasciando così libertà di implementare il sistema di cui sopra.

Da quella riunione risultò inoltre che in ogni caso la pubblicazione delle informazioni sulle commissioni ed i parlamentari dovevano essere fatte su beppegrillo.it/movimento/parlamento.

Approvazione dell’assemblea

L’assemblea dei deputati del Movimento 5 Stelle, nel mese di maggio 2013, approvò l’uso del sistema informatico, dopo ampia spiegazione da parte mia. Vennero attivate le caselle per ogni singolo deputato ed avviate le configurazioni. Mi venne affidato il compito di amministratore del sistema informatico con diritti amministrativi.

L’assemblea deliberò che il gruppo di lavoro informatico si occupasse di reperire un tecnico informatico, dipendente del Gruppo Camera del MoVimento 5 Stelle, premurandosi che tale soggetto fosse ed al di fuori delle regole di comunicazione imposte dal codice etico. In modo che tale soggetto riferisse direttamente ai deputati e non alla Casaleggio.

L’Assemblea deliberò inoltre che il gruppo di lavoro aveva a disposizione 10.000€ per l’acquisto di materiale informatico anche per il gruppo di comunicazione (vedi acquisto di un PC, un notebook ed una telecamera). Questo è l’ultimo momento in cui l’assemblea ha nozione delle spese gestite dal direttivo del Gruppo Camera (sotto i 10.000€).

Tecnico e sviluppo sito web

Nel mese di maggio 2013 viene contrattualizzato un tecnico, ancora presso il gruppo camera, che viene impiegato da subito nello sviluppo del sito web parlamentari5stelle.it e delle sotto-pagine per ogni singola commissione. Gli accessi (che si basano sul sistema Movable Type) della Casaleggio Associati (lo stesso usato per il sito beppegrillo.it) sono implementati nella forma: nomecommissione.ramodelparlamento@parlamentari5stelle.it (es. difesa.camera@parlamentari5stelle.it). Che altro non era che la mail per poter poi raggiungere (nello spirito di Democrazia diretta) tutti i parlamentari facenti capo alla commissione.

La Casaleggio associati, per implementare gli accessi e poi dare le giuste configurazioni, impiega circa un mese di tempo. Il tecnico sviluppa il sito web a settembre del 2013.

L’approvazione successiva di ulteriori strumenti informatici

Nel settembre 2013 viene nuovamente approvata la piattaforma anche per la condivisione organizzata, progettata dal Capogruppo Alessio Villarosa, dei documenti per un migliore lavoro di gruppo.

Il trasferimento delle competenze

Da gennaio 2014, su richiesta dei componenti della commissione di cui facevo parte, il capogruppo Federico D’Incà, richiede di trasferire le competenze di gestione del server al tecnico contrattualizzato l’anno precedente al fine di sgravarmi da un po di lavoro, visto che ero ormai subissato di domande di supporto gratuito informatico da parte dei colleghi. Mi premurai di creare la documentazione per il trasferimento delle competenze.

Viene anche valutata la necessità di sfruttare un sistema server più potente, giacché il precedente, che ospitava fin dall’inizio, non riusciva a sopperire il carico di lavoro. Venne contrattualizzato con un provider di servizi di housing, un server dedicato con canone mensile di proprietà del Gruppo Camera del MoVimento 5 Stelle.

Nella primavera del 2014, viene affiancato al tecnico preesistente, una nuova persona alla quale viene assegnata la password di Operator (l’account predefinito come amministratore del sistema operativo) e che mi supportasse nella gestione del sistema informatico.

Su suggerimento dello stesso tecnico e su richiesta espressa del Presidente (Riccardo Nuti), viene pianificata la scissione del sistema informatico rispetto alle precedenti configurazioni. Questa operazione richiede la copia dei dati presenti sul server, che ospitava i dati. Tale copia fu fatta da me, direttamente sui server presenti nel provider. Tale lavoro fu autorizzato espressamente dal presidente Nuti, in quanto unico titolare e responsabile legale che poteva autorizzare l’accesso alla Farm.

Ecco intanto spiegato il perché della copia del server. Tale copia consentì di separare alcune funzioni ed i dati del server parlamentari5stelle.it furono spostati su una macchina autonoma (luglio 2014).

Dal luglio 2014 a Settembre 2014, non fu possibile effettuare il cambio della macchina per l’impossibilità di organizzare l’intervento con il tecnico, nonostante la mia disponibilità garantita per tutto agosto 2014. In quel periodo mi premuro di creare tutta la documentazione necessaria per la completa gestione del nuovo sistema informatico.

A luglio 2014 vengono modificate le password del sistema informatico e da allora io non ho più accesso in modalità amministrativa a quel sistema.

Il controllo del server durante la fase di cambio del sistema

Nel settembre del 2014 viene pianificata l’attivazione del nuovo server. Il 30 settembre 2014 era la data prevista di cambio del sistema. Il 30 settembre appunto vengono inviati i documenti finali di configurazione ai tecnici.

Il 2 ottobre 2014, alle ore 8.00 vengo contattato via SMS dal tecnico informatico contrattualizzato nel 2014, perché era impossibilitato all’accesso al sistema. Una verifica fatta da remoto indica che gli accessi con l’utente Operator non erano più di livello amministrativo. Qualcuno aveva modificato tutte le impostazioni. La domanda era: chi? Perché il tecnico che il gruppo conosceva come responsabile del sistema informatico era impossibilitato all’accesso?

Nella mattina del 2 ottobre 2014, il tecnico e io, ci rechiamo dal presidente e rappresentante legale, Alessio Villarosa per comunicargli la situazione. Si viene così a scoprire che il direttivo del gruppo camera del Movimento 5 Stelle, su richiesta espressa da parte della Casaleggio Associati, per il tramite del capogruppo Paola Carinelli, aveva contrattualizzato con la WR Networks un controllo sul sistema (indicando il nome di un tecnico di fiducia della Casaleggio associati, come riportato da Paola Carinelli durante la riunione del gruppo Camera del 6 ottobre 2014). Tale tecnico, su spunto della Casaleggio, aveva richiesto pieno accesso al sistema informatico, in modalità amministrativa. Ma il contratto fu stipulato, per contrarietà del presidente del Gruppo Villarosa e di altri, solo per un accesso non amministrativo. Venne perciò creato un utente (Claudio Genova) che non poteva avere accesso ai sistemi di posta, alla modifica delle configurazioni o all’esportazione di tali dati.

Questo accadeva indicativamente alla metà di settembre. La contrattualizzazione era valutata in € 550/giornalieri più rimborsi spese. Il contratto sottostava a precise regole di rispetto della privacy ed in particolare:

OBBLIGHI DI RISERVATEZZA

La WRNetwork S.r.l. si obbliga a mantenere riservati i dati e le informazioni, ivi compresi quelli che transitano per le apparecchiature di elaborazione e di trasmissione dati, di cui verrà in possesso e, comunque, a conoscenza, a non divulgarli in alcun modo né in qualsiasi forma e a non farne oggetto di utilizzazione a qualsiasi titolo per scopi diversi da quelli strettamente necessari all’esecuzione del presente accordo.

L’obbligo di cui al precedente comma sussiste, altresì, relativamente a tutto il materiale originario o predisposto in esecuzione del presente contratto.

La WRNetwork S.r.l. è responsabili per l’esatta osservanza da parte dei propri dipendenti, consulenti e collaboratori, degli obblighi di segretezza anzidetti.

La violazione dell’obbligo di riservatezza potrà comportare la risoluzione del contratto, salvo in ogni caso il diritto al risarcimento del danno che ne derivi.

Il contratto, salvo proroghe, doveva durare fino al 19 settembre 2014.

Di tale contratto l’assemblea non ne era a conoscenza. Tale lavoro andava in contrasto con alcuni principi, in primo luogo il fatto che una decisione del direttivo non poteva sostituire una decisione assembleare. In secondo luogo il fatto che si trasferiva il controllo ad un terzo non dipendente del gruppo, e senza nessun controllo da parte di un parlamentare (così come vale per il tesoriere del gruppo, che è per regolamento un parlamentare).

Il contratto parlava di “eventuale riorganizzazione” e fu per questo motivo che il presidente Villarosa non autorizzò l’assegnazione a Claudio Genova di diritti amministrativi sul sistema.

Dal 2 ottobre al 6 ottobre il sistema era assolutamente fuori controllo. Claudio Genova il 3 ottobre, pur rilevando che il sistema non stava funzionando, ritornò alla propria sede di Torino, in quanto venerdì (e fine settimana per lui) alle ore 17.00.

Si venne a scoprire che la capogruppo Paola Carinelli, il 1 ottobre 2014 aveva obbligato, senza informare il presidente Villarosa, e con l’aiuto della Responsabile della Comunicazione Ilaria Loquenzi a far consegnare la password di sistema dal tecnico a Claudio Genova. Che nella notte provvide alla modifica delle password degli accessi amministrativi e successivamente al blocco del sistema.

Durante tutto il fine settimana il sistema risultò inaccessibile e nella sera del 3 ottobre arrivò la seguente email:

Da: "Staff" <parlamentari@beppegrillo.it>
Data: 03 ottobre 2014 18:32:35 GMT+02:00
A: <parlamentari@beppegrillo.it>
Oggetto: Tua email su @parlamentari5stelle.it
Caro Cittadino 5 stelle,
abbiamo riscontrato una situazione non sanabile
nella gestione attuale della posta e dei calendari
riferiti al dominio @parlamentari5stelle.it che risulta
compromessa nonostante alcuni interventi che
sono stati adottati nelle ultime settimane.
Ti invitiamo a svuotare la posta e non utilizzare
questo account fino a quando il servizio non verrà
esternalizzato su un servizio in cui il controllo
della propria posta e calendario non sia gestibile
solo direttamente dall'utente.
Ad ora risultano meno di 30 persone che stanno
utilizzando in modo continuo o la posta o il calendario
su questo dominio per cui suggeriamo venga dismesso
nell'immediato.
Lo staff di Beppe Grillo
Saluti

Questo messaggio provocò lo sgomento di molti parlamentari. Massimo Artini era in volo da Catania verso Firenze (a seguito di un evento parlamentare sul terrorismo a cui avevano partecipato anche altri colleghi).

Nell’attesa all’aeroporto Massimo Artini ebbe modo di incontrare Giulia Sarti, anch’ella sbalordita del messaggio.

Analisi del messaggio della Casaleggio o “Staff di Beppe Grillo”

Lo stupore fu quello di ricevere un messaggio che:

  1. Era stato scritto da una entità terza che non aveva e non doveva avere relazione nel rapporto tra Movimento 5 Stelle Camera e WR Networks srl
  2. Il messaggio era proveniente direttamente dalla sede della Casaleggio Associati: questa l’intestazione (header) della mail precedente.

 

Return-Path: <parlamentari@beppegrillo.it>
Received: from trinettacPC (89.96.28.97) by mr001msr.fastwebnet.it (8.5.140.03) id 5410A852051F6C36; Fri, 3 Oct 2014 18:30:25 +0200
X-Cnfs-Analysis: v=2.1 cv=BOo9rTgG c=1 sm=2 tr=0 a=2hhqPtFR5tkv9ECoHDfmWA==:117 a=ovZvCKDM366OOPw4nNKbqg==:17 a=ghuvRfiwaUsA:10 a=DAwyPP_o2Byb1YXLmDAA:9 a=Zr7miEi8wWIA:10 a=cKsnjEOsciEA:10 a=dieEohZhg3dPG1LD2P4A:9 a=wPNLvfGTeEIA:10 a=yMhMjlubAAAA:8 a=SSmOFEACAAAA:8 a=AMXcnawkAAAA:8 a=jjynDpAGPk6sC-fvsCYA:9 a=gKO2Hq4RSVkA:10 a=UiCQ7L4-1S4A:10 a=hTZeC7Yk6K0A:10 a=frz4AuCg-hUA:10 a=tXsnliwV7b4A:10
X-Cnfs-Analysis: v=2.1 cv=BOo9rTgG c=1 sm=2 tr=0 a=2hhqPtFR5tkv9ECoHDfmWA==:117 a=ovZvCKDM366OOPw4nNKbqg==:17 a=ghuvRfiwaUsA:10 a=DAwyPP_o2Byb1YXLmDAA:9 a=Zr7miEi8wWIA:10 a=cKsnjEOsciEA:10 a=dieEohZhg3dPG1LD2P4A:9 a=wPNLvfGTeEIA:10 a=yMhMjlubAAAA:8 a=SSmOFEACAAAA:8 a=AMXcnawkAAAA:8 a=jjynDpAGPk6sC-fvsCYA:9 a=gKO2Hq4RSVkA:10 a=UiCQ7L4-1S4A:10 a=hTZeC7Yk6K0A:10 a=frz4AuCg-hUA:10 a=tXsnliwV7b4A:10
Message-Id: <016a01cfdf27$dd576340$9805f9c0$@beppegrillo.it>
Mime-Version: 1.0
Content-Type: multipart/alternative; boundary="----=_NextPart_000_016B_01CFDF38.A0E1F800"
X-Mailer: Microsoft Outlook 14.0
Thread-Index: Ac/fJBXU0ScMojqFRMaKXiuoJVuDow==
Content-Language: it

Si può chiaramente notare nella riga Received il PC da cui è stato inviato il messaggio: trinettaPC. Chiara Trinetta è una dipendente della Casaleggio Associati (come si evince facilmente da internet: https://it.linkedin.com/in/trinettachiara)

  1. Dalla mail si evince con chiarezza che chi ha scritto il messaggio è a conoscenza del sistema parlamentari5stelle.it senza averne nessun titolo legale: “abbiamo riscontrato” in italiano significa che hai avuto modo di verificare personalmente come era configurato il sistema e se fosse bloccato o meno. La Casaleggio Associati non ha mai avuto legalmente la possibilità di accesso a quelle informazioni.
  2. La scelta di esternalizzare il sistema non competeva, nemmeno come suggerimento, alla Casaleggio Associati. Peraltro esternalizzare il servizio non significa renderlo solo accessibile dall’utente.
  3. La situazione non sanabile del server era volutamente indicata come non sanabile. Infatti il 6 ottobre il Presidente richiede al tecnico a cui era stata forzatamente estorta la password ed a me di tentare comunque un ripristino e di verificare che tipo di accesso Claudio Genova aveva fatto sul sistema e che tipo di informazioni poteva aver recuperato. In 3 ore ripristinammo il sistema, rilevando però alcune manomissioni che non potevano essere state effettuate solo da chi aveva effettuato l’accesso con poteri da amministratore del sistema.

Nei giorni successivi ci sono state richieste espresse di spiegazione al Capogruppo Paola Carinelli che si limitò a segnalare che la cosa era stata fatta “a sua insaputa”. Quindi sorge il dubbio, ancora più forte, di chi abbia comunicato alla Casaleggio Associati le informazioni contenute nella mail, visto che il Capogruppo si riteneva ignorante e deficiente di informazioni.

La rilevanza dell’azione della Paola Carinelli, nell’imporre al tecnico la consegna della password scatenò nel gruppo un notevole risentimento. Come indicato anche da alcuni post pubblici successivi da parte di parlamentari del Movimento 5 Stelle.

Nei giorni in cui il black-out è stato completo non è dato sapere se sono state effettuate copie dei dati che contenevano per molti deputati:

  • Posta elettronica generata durante il lavoro parlamentare
  • Contatti memorizzati durante l’attività parlamentare
  • Calendario di appuntamenti svolti durante l’attività parlamentare e non
  • Tutti i file personali e delle commissioni elaborati durante l’attività parlamentare

Il sistema, come provato da numerose email intercorse successivamente, ha funzionato anche oltre il 27 novembre 2014, a riprova di come la volontà di compromissione del sistema fosse stata imposta dalla WR Networks, in palese violazione del contratto stipulato, che prevedeva soltanto un controllo ed una verifica, e nessun intervento immediato.

Considerazioni finali

Come riportato in questo documento, avvalorabile da ulteriori documenti a mia nostra disposizione, nessun fango nei confronti del MoVimento 5 Stelle bensì la necessità di fare chiarezza su una serie di spunti errati indicati anche in recenti post del sito Beppegrillo.it.

La volontà della Casaleggio Associati è il trasferimento su sistemi informatici di terze parti (per la maggior parte su sistemi controllati dalla Google Inc.), i cui rapporti commerciali non sono né chiari né trasparenti.

Circa la possibilità di un controllo ed una violazione delle caselle di posta dei singoli deputati da parte della Casaleggio Associati, la considerazione corretta e minima da fornire è la seguente: è plausibile che possa essere successo in quanto gli accessi amministrativi al sistema sono stati fuori controllo dei responsabili legali per 4 giorni, da 2 ottobre al 6 ottobre 2014. La WR Network srl, nella persona del presidente Claudio Genova, non ha inviato alcun rapporto al gruppo Camera del Movimento 5 Stelle durante quei giorni.

I rapporti del registro eventi di Windows evidenziavano durante il periodo dal 2 al 6 ottobre accessi mirati alle caselle di posta elettronica. Di questi rapporti il tecnico del gruppo Camera aveva fatto della documentazione da fornire al presidente. Dopo alcuni giorni il tecnico è stato attaccato duramente sul blog per altri motivi, non legati al dominio parlamentari5stelle.it.

PS. Un PS quando si parla della Casaleggio Associati ci sta sempre bene: il dominio di cui parla la Casaleggio nei post pubblicati è plausibilmente toscana5stelle.it. Operativo fin dal 2010 e utilizzato per creare quella forza che era il Movimento 5 Stelle in Toscana: oltre 200 consiglieri eletti, 95 comuni su 250 in Toscana grazie al lavoro svolto da un insieme di attivisti, poco utilizzato solamente dai gruppi del nord della Toscana, gruppi dove al momento si registrano più eletti che partecipanti. Il dominio dal 2010 al 2014 ha funzionato come collettore, ed a settembre 2014 viene diffidato il proprietario del dominio all’uso del simbolo. Del dominio viceversa viene richiesto un cambio di proprietà e ceduto successivamente a Giacomo Giannarelli (ora consigliere regionale M5S e già candidato presidente alla Regione Toscana per il M5S) il quale, pochi mesi fa ha ceduto la proprietà a Giuseppe Piero Grillo ed alla Casaleggio Associati. Ma non era un dominio diffidato?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

© 2014 - Massimo Artini. All Rights Reserved. Powered by Wordpress and Design by We Create Web Designs