In risposta all’articolo “Come sono riuscito a votare due volte su Rousseau” pubblicato su Wired.it
Oggi leggiamo l’ennesimo attacco alla piattaforma Rousseau da parte di un giornalista che tramite un esperto informatico ha cercato di aggirare il sistema di verifica iscrivendosi due volte.
Il sistema di sicurezza e le procedure di verifica come confermato anche dal giornalista evolvono continuamente e infatti il workaround informatico messo in piedi dal giornalista assieme ad una persona specializzata in sicurezza informatica per modificare i dati identificativi del proprio account è stato possibile per un tempo limitato e da svariati mesi non è più possibile grazie ai penetration test che vengono condotti regolarmente. Da una verifica fatta oggi su tutti gli iscritti non risultano altri account falsificati dal singolo utente.
I due account che segnala il giornalista sono stati messi in verifica dal sistema antifrode prima che i nomi fossero comunicati da Wired stesso. Tutti gli account in verifica devono fornire informazioni aggiuntive per certificare la corretta identità del titolare, come ad esempio la bolletta della luce o altri documenti che vengono chiesti secondo la procedura utilizzata da molte aziende come le banche, nota come KYC. Questo sistema ha l’obiettivo di identificare eventuali frodi sul 99,99% delle utenze, per le restanti 0,01%, se falsificate ed identificate successivamente, vengono denunciate alle autorità.
Si segnala, infatti, che l’operazione di fornire false generalità in presenza di determinate condizioni, che nel caso di specie sembrano essersi verificate, è un reato definito dall’art. 494 del codice penale (sostituzione di persona) e l’ufficio legale valuta di volta in volta se ci sono gli estremi per la denuncia querela, come anche in questo caso sta facendo.
Rousseau, infatti, esegue controlli settimanali programmati, seriali e a campione e quando vengono rilevati profili non conformi dai processi di controllo vengono messe in atto procedure di verifica, utilizzate anche da parte delle banche e assicurazioni che devono verificare le identità online, attraverso le quali vengono chiesti dettagli specifici e puntuali all’interessato, come possono confermare le ormai migliaia di persone che hanno ricevuto un contatto diretto di questo tipo.
Nella maggior parte dei casi sono meri errori di digitazione dell’iscritto. Nel caso in cui registriamo che l’attività è eseguita con intenti dolosi e si procede alla denuncia presso la polizia postale.
