Sta facendo molto discutere la blogosfera italiana il caso di rivotiamo.it , sito collegato all’iniziativa di un noto partito italiano volta alla raccolta di firme. Al centro della polemica, tuttavia, non c’è l’agenda politica, bensì le modalità di raccolta di adesioni sul sito .
Sin dal lancio dell’iniziativa, in parecchi si erano espressi negativamente sulle modalità di inserimento delle sottoscrizioni. Per firmare la petizione occorre solo indicare nome, cognome, CAP e indirizzo email: una procedura apparentemente priva di qualsiasi verifica .
La faccenda ha in breve preso la strada dell’ ironia : alle iscrizioni di Lamberto Dini sono seguite quelle di Gambadilegno , Cetto la Qualunque , Hitler e Marx , Vittorio Mangano , Bernando Provenzano e altri. Firme che spesso rimangono online per molte ore , ma che nei casi più palesi spariscono dopo un controllo dei database – probabilmente manuale.
Per capire meglio la dinamica e le problematiche delle petizioni online, Punto Informatico ha chiesto un parere a Matteo Flora , celebre esperto di sicurezza e curatore di Lastknight.com .
Punto Informatico: Sul sito rivotiamo.it è possibile inserire firme fasulle. I gestori hanno rimosso quelle palesemente dubbie, ma è tuttora possibile continuare ad inserire false sottoscrizioni: c’è modo di verificare l’identità e l’autenticità dei firmatari?
Matteo Flora: Per come il sistema è strutturato attualmente, il coefficiente di realtà delle firme espresse è prossimo allo zero. Con pochi spiccioli posso acquistare su web un elenco di centinaia di migliaia di nomi plausibili ma creati artificialmente, con relativa plausibile mail. Ma il sistema attuale non controlla nemmeno la mail di destinazione.
PI: Qualche esempio?
MF: Personalmente ho testato un semplice script che ha creato parecchi voti con dati plausibili. Vedo chiaramente salire il contatore ma non l’ho mai visto scendere una sola volta. Ho monitorato il sistema negli ultimi 4 giorni e mai una volta mi sono ritrovato a vederlo scendere per la rimozione dei dati spuri .
PI: Si potrebbe migliorare la situazione?
MF: Quanta difficoltà vi sarebbe stata nel predisporre per lo meno una mail di conferma? E soprattutto, essendo la soluzione così semplice, perché non approntarla e accollarsi invece tutti questi falsi positivi ?
PI: E il filtro sugli IP suggerito dai gestori di rivotiamo.it?
MF: Anche il filtro su base IP, tanto declamato, è in realtà molto dubbio: ad esempio per Fastweb (che espone su internet centinaia di migliaia di utenti da pochissimi IP utilizzando NAT) sarei curioso di sapere se si è deciso di non fare votare tutte queste persone o se si è preferito non implementare filtri.
PI: Esiste un sistema per creare una petizione online “sicura”? Una petizione, insomma, che sia valida a tutti gli effetti?
MF: Ebbene sì, basterebbe che l’amministrazione statale avesse istruito i cittadini all’utilizzo della firma digitale! Senza andare a questi livelli di complessità, basterebbe un controllo formale più aggressivo, magari con nome, cognome e data di nascita, a tamponare l’enorme quantità di falsi positivi.
PI: Ci sono alternative al fai-da-te?
MF: Esistono piattaforme storiche per la gestione delle petizioni, ma ciascuna di queste implementa per lo meno una serie di meccanismi di autenticazione. Che sia una mail di conferma, che sia un controllo formale dei dati o anche, solamente, l’invito a firmare una dichiarazione di conformità alla realtà dei dati immessi.
PI: E quindi?
MF: E quindi sono perplesso.
Punto Informatico ha contattato i gestori di rivotiamo.it per raccogliere un loro parere sulla vicenda. Qualora pervenisse, sarà nostra cura darne notizia.
a cura di Luca Annunziata