Sulla home page del blog ufficiale del Movimento 5 stelle di martedì 7 febbraio si potevano vedere due post con due titoli molto diversi tra loro. Uno recita: "Tutti gli hacker sono criminali". Il secondo, poco dopo, invece: "Hacker e hacker", dove Davide Casaleggio sembra aprire all'ipotesi che l'hacker individuato ieri dalla polizia potrebbe non essere perseguito se "verrà dimostrato che non ha agito con dolo", perché, aggiunge, "abbiamo sempre ringraziato chi ci ha aiutato".
Una contraddizione che si giustifica se si ripercorrono gli eventi degli ultimi due giorni, e alla confusione generata dai ruoli e dalle azioni dei protagonisti di questa vicenda. E che forse aprirà la strada, per ora difficile solo da immaginare, alla possibilità che anche in Italia si discuta dei bug bounty program, cioè dei piani che ricompensano economicamente chi scopre vulnerabilità senza sfruttarle, invece di mandarli in galera, come avviene in molti Paesi e usati da aziende come Microsoft, Google, Facebook. Insomma tutte le grandi aziende del digitale, che davvero sanno davvero cos'è internet.
Ma come si spiega questo cambio di approccio?
Martedì 6 febbraio la polizia ha individuato un ragazzo di 26 di Portogruaro, Luigi Gubello, che secondo gli inquirenti è l'hacker che lo scorso primo agosto ha denunciato alcuni difetti nella sicurezza dei server della Casaleggio associati. L'hacker, che in rete si fa chiamare Evariste Galois, da quanto risulta non ha pubblicato dati sensibili, nè ha mai detto di essere mai entrato nei server.
Ha denunciato dei problemi nella sicurezza di Rousseau, prima all'azienda via mail, ricevendo da quanto ha scritto anche una risposta di ringraziamento, poi agli utenti della piattaforma affinché tutelino i loro dati. Gubello si è sempre definito un 'white hat', un berretto bianco, un hacker etico, di quelli che dicono di lavorare sulla sicurezza dei siti per la tutela dei dati e della privacy dei naviganti. Di quelli che sarebbero premiati dai programmi di Bug Bunty.
Non deve suonare strano, questo è anche il senso originario di hacker, prima della sua declinazione mediatica: qualcuno che mette a disposizione le sue conoscenze informatiche per il bene della società. A differenza del cracker, che ha le stesse competenze di un hacker, ma le utilizza per azioni malevole: rubare dati, farci soldi.
Ed eccolo in cracker. Il 5 agosto invece Rogue_0 che pubblica dati degli iscritti, indirizzi email e donazioni fatte alla piattaforma, sfidando pubblicamente Davide Casaleggio e Beppe Grillo.
Qualche giorno dopo dice anche di aver venduto alcuni dataset in cambio di Bitcoin. Infine questa notte Rogue_0 pubblica un post sulla piattaforma dei 5 stelle in cui pubblica il numero di telefono personale di Casaleggio, il numero della sua patente, username e password dei suoi accessi a Rousseau. Una nuova sfida, in evidente sprezzo del pericolo che la polizia, che ha detto di stare indagando su di lui, possa individuarlo. E un nuovo crimine informatico commesso.
Quando ieri la polizia ha comunicato l'individuazione di Gubello (Evariste Galois), sul blog del Movimento è apparso un post a firma di Davide Casaleggio in cui si ringraziava le forze dell'ordine e continuava: "L'attacco al sistema Rousseau ha rappresentato una grave violazione nei confronti di migliaia di iscritti ed è giusto che chi è responsabile dei crimini paghi. Chi ha voluto colpire Rousseau lo ha fatto per scopi politici".
Il post è apparso alle 10.30. Almeno un'ora e mezza prima che si venisse a conoscenza pubblicamente del nome dell'hacker. È probabile quindi che Casaleggio non sapesse quale fosse l'hacker individuato (la notiia è stata battuta dalle agenzie alle 7 del mattino), che quindi pensasse che fosse stato individuato Rogue_0, che al momento risulta l'unico ad aver violato gravemente la piattaforma, e i dati degli iscritti. Era quello che molti hanno pensato all'inzio.
Questo giustificherebbe il secondo post, dove il presidente della Casaleggio associati rispondendo ad un gruppo di hacker che hanno lanciato una petizione in favore di Evariste Galois (2.500 firme raccolte finora), precisa che sono in corso delle indagini, ma che "le persone che non avranno agito con dolo non saranno perseguite". Agi ha provato in più occasioni a contattare Casaleggio e i 5 Stelle per confermare l'ipotesi, ma non è stato possibile.
Non è chiaro se questo vorrà dire che saranno fatte cadere le accuse, ma in qualche modo dimostrerebbe che Casaleggio è consapevole che non tutti gli hacker sono dei criminali. Che ci sono "hacker e hacker". E i fatti di questa notte sembrano dimostrarlo.