Come leader M5S possono fare critiche pubbliche costruttive su Piattaforma Rousseau aumentando chance di vittoria elettorale

I più competenti ed onesti leader del M5S sono dilaniati  fra 2 esigenze.

Da un parte c’è la necessità di essere uniti e solidali – evitando critiche interne e negando anche l’evidenza – fino alla metà della conquista del potere. Ciò è a maggior ragione necessario nel contesto attuale di forte inferiorità rispetto ad avversari in termini di risorse economiche, mediatiche e di legami con poteri forti.

Da una parte c’è la necessità diammettere gravi errori e prospettare come rimediarvi, rispetto alla (A) grave carenza sicurezza, fruibilità e trasparenza della Piattaforma Rousseau – e assenza di voto di persona per chi vuole la privacy o non digitali –  e (B) ad alcune clausole fortemente autarchiche nel nuovo statuto del M5s che accentrano un forte potere in chi gestisce o hacker la Piattaforma o l’associazione Rousseau.

Ecco come Martin Buber riassunse questo dilemma: “Per la natura delle cose, non ci si puà aspettare che spuntino foglie da un piccolo albero che è stato trasformato in un bastone” (“One cannot in the nature of things expect a little tree that has been turned into a club to put forth leaves.”)

Gli ultimi gravi sviluppi relativi a Rousseau e lo statuto, rendono quest’ultima esigenza essenziale per non perdere gli attivisti e candidati migliori e grandi fette di elettorato che – basta eggere ovunque nei social . stanno consolidando dubbi sulle competenze di chi gestisce Rousseau e ha deciso lo statuto, che sono talmente enormi da portare un buon numero a dubitare della loro buona fede, e di conseguenza di chi lo avalla dicendo: “tutto bene”.

Ma per fortuna c’è sia modo di fare pubblica autocritica, mantenere l’anima del movimento, e al contempo migliorare le proprie possibilità di vittoria!

In un post del 16 agosto Grillo ripostò integralemnte un mio commento che da una parte parlava della “gestione pessima ad oggi della cybersicurezza interna da parte del M5S” e dei rischi che essa portava al movimento ed al paese, e concludevo dicendo:

Come può l’M5S salvarsi da tale stillicidio e le sue conseguenze?

Segnare una svolta andando a promuovere un modificato programma di cybersecurity – sia per i sistemi interni che per i sistemi del paese – che siano davvero radicali e all’avanguardia mondiale, per restaurare la sovranità digitale dello stato, dei cittadini e degli iscritti al M5S.

Ad esempio il programma M5S per la Regione Lazio e per l’Italia in tema di cybersicurezza, dove il movimento potrebbe essere esteso a dire quanto segue.

SULLA PARTECIPAZIONE ONLINE E CYBERSICUREZZA

Rispetto alla grave carenza sicurezza, fruibilità e trasparenza della Piattaforma Rousseau potrebbe dire:

“La [Nazione o Regione] implementerà gradualmente estesi programmi di partecipazione onnline dei cittadini, complementari a processi di persona, con i massimi standard internazionali di sicurezza, privacy, trasparenza, fruibilità e facilità d’uso.

Si farà tesoro di quanto l’M5S e la comunità di esperti in Italia hanno potuto imparare dall’esperienza dalle recenti implementazioni in larga scala di tecnologie di partecipazione in Italia, unica per scala, importanza e per livelli di criticità.

In primis, si andranno ad allocare risorse adeguate per rispondere alla necessità congiunta di rispondere a minacce cibernetiche di attori statali determinati e la capacità di gestire alti flussi di utenti.

Si implementeranno processi indipendenti e trasparenti di verifica prima, dopo e durante, in eccesso dei massimi standard internazionali per procedure di voto.

Si promuoverà la partecipazione e  consenso da parte della comunità di attivisti ed esperti per la sicurezza informatica e i diritti civili digitali.”

 

Posted in general, personal1, work1 | Leave a comment

ERRORE NELLO STATUTO DEL M5S POTREBBE PERMETTERE A CHI CONTROLLA O HACKERA ROUSSEAU DI RENDERNE IMPOSSIBILE LA SUA MODIFICA

Nel nuovo statuto del M5S il ruolo centrale dell’Associazione Rousseau di cui pochissimo si sà è “incorporata”, e quindi non rimuovibile, e inoltre ogni eletto ha obbligo di usare la sua Piattaforma come primario mezzo di comunicazione e azione politica, (anche se si dice pure che altri strumenti telematici potranno essere autorizzati).

Inoltre lo statuto, praticamente, prevede che in caso di attacchi (interni e/o esterni) alla Piattaforma Rousseau di Denial-of-Service-Attack – ovvero che ne limitano radicalmente la fruizione – vengano impedite modifiche allo statuto. L’elevatissimo rischio di duraturi attacchi interni e/o esterni, acuiti da effettiva incompetenza e pochi fondi, sono fortmente acuiti da una eventuale voluta perdurante incompetenza interna che – con enormi lentezze, problemi tecnici, bassissima usabilità e pessima fruibilità – possono virtualmente impedire che voti più della metà degli iscritti e quindi si possa modificare lo statuto.

In nuovo Statuto M5S recita infatti:
“Le votazioni aventi ad oggetto le modifiche del presente Statuto sono valide, in prima istanza, solamente qualora vi abbia partecipato almeno la maggioranza assoluta degli iscritti, in seconda istanza qualunque sia il numero dei partecipanti, e in ogni caso sono assunte a maggioranza dei voti espressi. 
… 
Entro 5 giorni, decorrenti dal giorno della pubblicazione dei risultati sul sito dell’Associazione, il Garante può chiedere la ripetizione della votazione che, in tal caso, s’intenderà confermata qualora abbiano partecipato alla votazione almeno la metà più uno degli iscritti.”

Urge una modifica statutaria urgente, da chiedere a gran voce prima che i migliori abbandonino il progetto, per evitare questa deriva dittatoriale che porta il M5S as essere uno strumento in mano a Associazione Rousseau e/o chi la hackera da dentro o da fuori.

Posted in general, work1 | Leave a comment

Perchè e come il M5S dovrebbe muovere il potere sulla PIattaforma Rousseau dall’Associazione ad una associazione di iscritti M5S

Di recente, il Movimento 5 Stelle ha approvato un nuovo statuto che rende alla lunga i ruoli di sgretario e financo di garante eleggibili. Altresì inserisce nello statuto, e quindi immodificabile, un ruolo determinante della Piattaforma Rousseau ed anche un obbligo per gli eletti M5S ad utilizzarla come mezzo di comunicazione primario.

Essendo tale piattaforma gestita senza i benchè minimi principi di trasparenza e controllo da parte degli iscritti, chi la controlla, gestisce e sviluppa ha l’enorme potere di scegliere le funzionalità, regole di discussione, interfaccia, policy di discussione, livelli di sicurezza, e potenzialmente accesso diretto a lettura e potenzialmente modifica dei dati.

E’ comprensibile che ci sia un controllo centrale di gestione della piattaforma ma – in democrazia e ancor più in democrazia diretta – chi le controlla dovrebbe essere anch’esso eleggibile – poichè ha un potere comparabile o maggiore di quello del segretario e del garante – e in più sottostare a regole e limiti – di trasparenza e responsabilità – definiti dagli elettori M5S e dagli iscritti alla piattaforma o da comitati da esso eletti.

Ho ritrovato lo statuto della associazione Telematics Freedom Foundation (copia sito del 2014), fondata nel 2008 da me, Arturo di Corinto e Vera Simsic per promuovere i medesimi obiettivi della Associazione Rousseau, a corredo del progetto della Lista Partecipata.

Esso prevedeva – cosa legale in Italia per associazione non riconosciuta – che il potere sull’associazione passi agli utenti del servizio telematico di deliberazione non appena essi superino un certo numero, nel nostro caso erano 10.000 unità.

Di seguito un estratto dal capitolo “5. Categorie di Associati” dello statuto di TFF approvato di tale associazione nel suo atto costitutivo (pdf) recita:

Gli associati vengono classificati in distinte categorie:

  • Soci Fondatori: sono coloro che hanno partecipato alla costituzione dell’Associazione, di seguito elencati:
    • […]
  • Soci Onorari: coloro che pur non avendo contribuito alla iniziale fondazione dell’Associazione, per la loro personalità, esperienza e capacità vengono cooptati a maggioranza dai soci fondatori a contribuire alla promozione dell’Associazione e dei suoi scopi;
  • Soci Ordinari: coloro che da utenti attivi diventano soci come di seguito specificato;
  • Utenti: Ogni persona maggiorenne, di qualsiasi nazionalità, iscritta ai servizi telematici gestiti dall’Associazione. E’ utente attivo del mese corrente l’utente che avrà espresso una preferenza o fornito informazioni, da remoto ed attivamente, almeno due volte nel corso di tale mese. L’associazione si impegna alla fine di ogni mese a verificare il numero di utenti attivi e, qualora tale numero superi le diecimila unità, dovrà invitare ogni utente a divenire socio. Se l’utente accetterà l’invito, diventerà automaticamente socio ordinario. Da tale momento, ogni nuovo utente che si iscriva ai servizi di cui sopra, sarà automaticamente invitato a diventare socio con le modalità sopra specificate. 

Gli iscritti del Movimento 5 Stelle che hanno a cuore la democrazia interna dovrebbero richiedere tale modifica statutaria.

Posted in Uncategorized | Leave a comment

ODE AD UN ROBERTO BALDONI 2.0

(L’8-2-2018 ho aggiunto un addendum in coda a questo post,
per fornire dovuti chiarimenti a correzioni)
Il 23 dicembre scorso Roberto Baldoni è stato nominato vice-direttore del DIS e direttore del suo Nucleo di Sicurezza Cibernetica e, pare, importanti ulteriori deleghe.
 
Roberto Baldoni è una persona molto piacevole e simpatica. Da 5 anni lo conosco da vicino con 4 lunghi incontri relativi alle proposte di R&D e di nuovi standard della Trustless Computing Association, e le nostre serie di eventi Free and SAfe in Cyberspace su nuovi standards di cybersecurity per ambiti critici a Brussels, New York e Brasile.
 
E’ uno dei pochissimi esperti in Italia che sanno a fondo le dinamiche tecnologiche e geostrategiche, e a cui piace aggiornarsi. Purtroppo ad oggi praticamente ogni sua azione – e non azione – è stata sempre e solo esclusivamente indirizzata a qualche uscita di stampa a favore del DIS e dei potenti di turno.
 
Riassumiamo le sue iniziative osannate sui media da quasi tutti gli esperti e giornalisti leccapiedi o ignavi:
 
1) Il Framework Nazionale per la Cybersecurity, come i documenti del NIST a cui si ispira, forniscono linee guida parziali, non misurabili e quindi quasi completamente inutili.
 
2) Il Cyberchallenge è un’uscita di stampa, e al più un tentativo con 2 lire di avvicinare hacker di livello basso al DIS.
 
3) L’iniziativa Filiera Sicura è una presa in giro volontaria, perchè non ricomprende nemmeno lontanamente l’intera filiera critica, a differenza del nostra Trustless Computing CivicFab, da cui hanno molto malamente copiato l’idea.
 
Baldoni è stato pedissequamente al servizio DIS di Massolo – e i suoi governi di riferimento – che quasi niente hanno fatto nella nuova era della cybersecurity dopo le sconcertanti rivelazioni dello scandalo Snowden ed Hacking Team. A differenza di Francia, Germania e Brasile, l’Italia il DIS e Baldoni – come leader accademico del settore – non dissero o fecero quasi niente per ridare (o tentare di ridare) un minimo di sovranità alle nostre istituzioni, diritti civili digitali ai cittadini o restituire un capacità autonoma di cyber-investigation.
 
Purtroppo in Italia, con la politica che ci siamo ritrovati fino ad oggi, non ti fanno arrivare a posizioni di potere come quella se non hai ben dimostrato di essere un consolidato “yes man”. Ma poi, chissà, un volta “arrivato” magari puoi pure decidere di prendere qualche rischio seguendo di più la coscienza.
 
Baldoni ha assorbito attentamente le nostre idee e alla fine ci ha fatto da tappo, non facendoci mai incontrare nessuno o invitandoci a parlare ad eventi o a progetti. Insomma a difendere il proprio giardinetto come un’altra dozzina di (più o meno) esperti. Ogni nostro incontro con vari esponenti del vicedirettore del DIS e Difesa sono avvenuti autonomamente, per mezzo di interessamenti alle nostre attività ed eventi dei vertici della European Defense Agency e, più recentemente della Cyber Innovation Hub dell’Esercito Tedesco.
 
Insomma, date le capacità, le conoscenze, la simpatia, la verve personale, e la curiosità intellettuale, possiamo avere ragionevoli aspettative che Baldoni possa smettere di servire ciecamente i potenti, e di scalare, ed agire invece di coscienza per fare qualcosa di buono per il paese perché ne avrebbe sicuramente i mezzi e le conoscenze.
EDITED TO ADD Feb 7th 2018:
Oltre ad evidenziare le gravi mancanze e carenza della politica di cybersicurezza e sicurezza del governo e di Baldoni ad oggi, e dovuto che io riconosca come le strutture pubbliche del paese in tale ambito – come il DIS, Ministero degli Interni, Difesa, il CIS della Sapienza, il CINI e la Difesa – hanno ottenuto il grandissimo risultato di avere prevenuto fino ad oggi gravi atti di terrorismo, nonostante gli esigui mezzi, e di aver promosso un aumento della presa di coscienza dell’importanza della cybersicurezza con le iniziative del CIS e del CINI.
Per chiarezza, inoltre, ho sostenuto che il progetto Filiera Sicura sia una “presa in giro volontaria”. Non ho nessuno modo di sapere le intenzioni di chi ha promosso tale progetto. Posso solo dire che nel merito è un progetto che affronta in maniera inadeguata e parziale certi obiettivi nell’ambito di progetto europeo promosso da Cisco e Leonardo, interessati meramente a migliorare in maniera misurabile la sicurezza delle loro offerte.
Posted in general, Uncategorized, work1 | Leave a comment

Perchè il M5S dovrebbe perseguire un ICO da $25+ milioni per finanziare una nuova piattaforma di partecipazione completamente controllata da cittadini ed utenti

Le donazioni che l’Associazione Rousseau è riuscita ad attrarre per la sua piattaforma fino ad oggi (€480.415) , ormai dopo molti mesi, sono radicalmente insufficienti per il tipo di investimenti e le competenze necessarie per la realizzazione di una infrastruttura informatica che possa raggiungere pienamente i suoi obiettivi di democratizzazione del sisema politico, e mitigare fortemente i forti rischi alla sovranità del paese, degli iscritti e del movimento, che derivano dai livelli di sicurezza della versione attuale relativamente molto bassi in relazione al modo in cui la si viene usata (voto non palese) e per la portata delle decisione che vi si delegano (scelta candidato premier, presidente, etc).

Verrebbe da pensare che gli italiani e gli iscritti siano semplicemente tirchi o indifferenti. Ma questa conclusione si scontra con il fatto che 4 milioni di italiani si misero in fila per ore nel 2005 per donare la media di 11,5 euro a votante per finanziare i costi della nuova forma di partecipazione per le primarie dell’Ulivo, per un totale di 40 milioni di euro. Le difficoltà di finanziamento dell’Associazione Rousseau è dovuta invece alla grave mancanza di trasparenza, sicurezza, governance democratica, il suo utilizza per voto palese; e la totoale mancanza di progetto tecnologico credibile che si metterebbe in atto se si dovesse attrarre milioni di euro di donazioni.

Riteniamo quindi che donazioni di cittadini italiani ed in particolare esteri arriverebbero a decine di milioni di euro se vi fosse un progetto internazionale e credibile che credibilmente va a risolvere tali criticità, ed inoltre specificasse che l’utilizzo sarebbe limitato a permettere voto palese, mentre il voto non-palese sarebbe possibile solo per mezzo di deliberazioni di persona presso diffusi gazebi ed assemblee mensili. Ciò potrebbe ridurre radicalmente i rischi di sicurezza della piattaforma online.

Vi sono inoltre, nuove forme di finanziamento per progetti/comunità tecnologiche che sarebbero ideali per un tale progetto. Il movimento politico australiano MiVote che ha da poco lanciato una non-profit ed una startup chiamata Horizon State che ha lanciato un Initial Coin Offering (“ICO”) per finanziare la radicale investimento (benchè con piani tecnicamente molto scarsi) nella riscrittura della loro attuale piattaforma di partecipazione online, attiva da febbraio con migliaia di utenti in Australia. Altre iniziative di ICO per voto elettronico remoto includono Boule ICO. L’Associazione Rousseau e/o M5S potrebbero seguire un strategia  simile, ma un progetto di sicurezza e di resilienza della governance molto più elevati, per acquisire in tempi 1-2 mesi e in maniera decentralizzata e democratica risorse per decine di milioni di euro per fare un enorme salto di qualità nella infrastruttura di partecipazione.

Ma una tale iniziativa, avrebbe poca attrattiva sull’attuale mercato dell’ICO, che è tipicamente trainato dagli investimenti e la comunicazione di piccoli e medi investitori in criptovalute della prima ora, che ricercano il mantra della decentralizzazione e dell’opensource della blockchain. Associazione Rousseau e Movimento 5 Stelle – da soli e con le criticità sopramenzionate – apparirebbero molto negativamente a tali soggetti per la poca competenza tecnica dimostrata, il software proprietario e la centralizzazione del controllo e dell’auditing.

Come Trustless Computing Association – e la sua startup spin-off TRUSTLESS.AI – proponiamo  all’Associazione Rousseau e al M5S di partecipare alla realizzazione e fundraising delle piattaforme CivicNet e CivicChain – e relativi apparecchi client CivicPod e CivicKiosk. In costruzione da 4 anni, con partner e advisors di classe globale, essa và a realizzare una infrastruttura totalmente governata dagli utenti della stessa e da cittadini italiani selezionati a campione. In line con i Paradigmi del Trustless Computing – inseriti come requisito obbligatorio per servizi critici in proposta di legge regionale lazioale del M5S nel 2015 – ogni componente critica softare  hardware sarà pubblicamente verificabile nel design sorgente, ed estremamente verificata in relazione alla complessità, in ogni componente critica fino anche al livello di CPU e della fase di fabbricazione, unicità sul panorama mondiale. Sarà completamente open source da sistema operativo in su. L’M5S sarebbe utente finale esclusivo fra partiti EU per i primi 12 mesi e partner tecnologico (UX, requisiti), in cambio di una attiva partecipazione alla parte italiana della campagna di investimento per una Initial Coin Offering da $25M

Alla soluzione e piano per l’ICO ampiamente descritti nei documenti linkati al Summary Overview disponibile di TRUSTLESS.AI, sarebbe aggiunta la capacità del previsto client device CivicPod di poter essere integrato all’interno di CivicKiosks (ch 2.2.4.2. della proposta R&D  (pdf), Aprile 2016).per votazione in luoghi presenziati presso uffici pubblici, gazebo o farmacie.

La governance della piattaforma e della stessa Trustless Computing Association (“associazione non riconosciuta”) sarà, dal momento della sua prima utilizzazione continuativa di più di 10.000 utenti, completamente controllata dagli iscritti al Movimento 5 Stelle (33%) e da un campione (1000) cittadini italiani ed internazionali (33%) e investitori dell’ICO autenticati nella piattaforma (1 €, 1 voto). Esercizio di tale governance potrà avvenire (a) per mezzo della piattaforma stessa – ma solo con CivicPod privato o condiviso, o per mezzo di CivicKiosk, ed in maniera palese – oppure (b) di persona, ad eventi per lo meno mensili e con la possibilità di votare e partecipare a in maniera confidenziale.

Lanciando un progetto del genere, assieme ad un rinnovato programma per la cybersicurezza, potrebbe sospendere l’utilizzo di Rousseau senza perdere la faccia, e quindi finalmente “segnare una svolta andando a promuovere un modificato programma di cybersecurity – sia per i sistemi interni che per i sistemi del paese – che siano davvero radicali e all’avanguardia mondiale, per restaurare la sovranità digitale dello stato, dei cittadini e degli iscritti al M5S”, come scrisse nostro Exec. Dir. Rufo Guerreschi in un commento ripostato da Grillo il 16 agosto scorso, cui fecero seguito discussioni e proposte.

Questa proposta nasce da varie intelocuzioni negli ultimi anni con l’M5S, sintetizzati in questo articolo: https://www.trustlesscomputing.org/2017/09/04/interessamenti-di-primarie-forze-politiche-e-media-italiani-alla-trustless-computing/

 

Posted in general, personal1, work1 | Leave a comment

THANK SILICON VALLEY DOGMAS FOR ICOs

Because of the dogma-prone attitude of the Valley, and US in general – with its “lean startup”, the picture-perfect 4 minutes “stand up pitch”, the “Valley-style slide deck nothing else” – tons of great talents and startups have been shunned from funding for a decade or more.

Valley big shot VCs can take the merit for the explosion of the ICO model, whereby brilliant researcher, ideas, executioners and teams can get funded without spending 4-7 months fitting into the dogmas and moving the team to live within 30 minutes from a VC (mostly impractical for costs and Visa)

That said, It think lean startup method is a very good concept, its “customer development process” (i.e. user-driven innovation) is fantastic; while 95%+ of Valley people I’ve met still can’t distinguish an MVP (Minimum Viable Product) from a proof-of-concept, mockup prototype, prototype, beta product or initial product.

Posted in general, personal1, work1 | Leave a comment

AI, HUMANS AND BLACK BOXES

Collective human institutions and wisely educated humans have been proven historically to find ways to sufficiently keep on check their “black box” sides, their “drunken, stung, monkey mind”: Institutions have constitutions, when well done; while single humans has conscience, when well honed in reflection and meditation.

The same black box problem arises in the main “runtime environment” of ever more powerful AIs. We should try to replicate proven “architectures of individual and collective human wisdom”. Such architecture have allowed, in the many good case scenarios, to tackle and even enjoy runaway impredictability, while properly minimizing the suffering.

Posted in general, personal1, work1 | Leave a comment

CYBERSICUREZZA, M5S, AUTONOMIA DELLA LOMBARDIA E PROSSIME ELEZIONI ITALIANE

Se l’M5S non risolve con estrema urgenza la “pessima gestione della cybersicurezza” interna del M5S – come concordò Beppe Grillo nel post dello scorso 16 agosto – il Movimento sarà impossibilitato ad opporsi alla scellerata implementazione del voto elettronico in Lombardia per un “referendum” per l’autonomia del prossimo 22 ottobre, e ne fare la sua parte per proteggere le prossime elezioni nazionali italiane da cyberattacchi esteri e non.
 
Avendo svolto le proprie primarie per candidato premier solo online, con scrutinio in teoria secreto, con sistemi gravemente inadeguati e dimostratamente compromettibili, ed avendo convinto solo 80.000 dei propri iscritti a partecipare, l’M5S non potra infatti dire la loro per evitare che Maroni porti ad un voto per l’autonomia della Lombardia che sarà enormemente compromettibile, ed quindi fortemente contestato.
 
Riporta Repubblica di inizio settembre che si è dato in appalto ad una ditta USA famosissima per macchino di voto ridicolmente vulnerabili: 
“Dopo la sottoscrizione del contratto da 23 milioni di euro per l’acquisto di 24mila tablet, parte la ricerca di 7mila assistenti per il voto: la Regione Lombardia si pepara anche così al referendum per l’autonomia del prossimo 22 ottobre. Ad assumere i 7mila “digital assistant” sarà la Diebold Nixdorf, “una società internazionale leader mondiale in digital and tech solutions”, che avrebbe l’incarico in subappalto. Per farlo si è affidata alla società Manpower, che ha iniziato il recruiting prima di Ferragosto”
Basta andare su Google News “Diebolg voting hack”e trovare piena scelta di fonti primarie sull’enormi vulnerabilità di tali tencologie.  Diventa quindi sempre più urgente che il M5S avanzi con quanto proposi il 16 agosto sul commento che Grillo scelze di riportare integralemnte sul proprio blog, e quindi in qualche modo ha fatto suo:
“Segnare una svolta andando a promuovere un modificato programma di cybersecurity – sia per i sistemi interni che per i sistemi del paese – che siano davvero radicali e all’avanguardia mondiale, per restaurare la sovranità digitale dello stato, dei cittadini e degli iscritti al M5S.”
Eppure la via sarebbe semplice, puntare tutto su una Smart Nation 2.0 in cui la cybersicurezza diventa un fulcro per la protezione dei diritti civili e per lo sviluppo economico. Ma ciò presuppone una radicale, esplicita e condivisa critica alla gestione interna delle procedure di partecipazione online ed offline (assenti!) fino ad oggi. Il tempo stringe. 
Posted in general, personal1, work1 | Leave a comment

M5S e cybersicurezza: non si vede ancora alcuna svolta

Alla recente kermesse a Trieste ““DAL V-DAY A ROUSSEAU – DIECI ANNI DI PARTECIPAZIONE” si è scelto di identificare il Movimento con Rousseau, mettendolo prominentemente nel titolo ed anche come ad ogni singolo speaker.

Identificare il Movimento con la specifica piattaforma Rousseau – invece che con “la “partecipazione” dei cittadini, anche online” – è un enorme errore, come feci notare nel mio commento del 16 agosto ripubblicato sul Blog di Grillo, e in successivi post nel blog della Trustless Computing Association (era Open Media Cluster).

Tale scelta lega ancor di più l’essenza e il senso stesso del movimento alla successo dell’attuale versione di una piattaforma informatica – enormemente inadeguata alla criticità del suo utilizzo – nel prevenire gravi hacks temporizzati da parte di attori statali e/o molto determinati, cosa difficilissima

Dal mio commento del 16 agosto, ripubblicato dal Blog di Grillo, nonostante io abbia indicato soluzioni di breve termine, richiesto confronti ai principali interlocutori, tutti, a parte Barillari, hanno scelto di andare dritti e uniti, e rimandare a dopo la risoluzione di questo problema, e perfino la sua ammissione.

Li capisco, in qualche misura, ma è comunque un gravissimo errore a cui spero ancora vogliano porre rimedio. A tal fine, ed in linea con quanti suggerito il 16 agosto, potete trovare sul nostro blog una prima bozza di proposta partecipata di Programma di Cybersicurezza per l’Italia 2018-2023, che riteniamo doterebbe il paese e le sue forze politiche di tecnologie idonee all’eservizio della loro funzione democratica, oltre a notevoli vantaggi di sviluppo economico.

Dove sono gli esperti di sicurezza italiana che dovrebbe farsi sentire? Perchè anche quelli vicini da sempre al PD non dicono una parola e non fanno una proposta?! Forse perchè è bene tenerseli buoni che poi magari saranno al governo? Mah, si potrebbe dire che è proprio facendo così fino ad oggi che molti di essi sia assorta al riconoscimento di esperti agli occhi di media e politici …

Posted in general, personal1, work1 | Leave a comment

PERCHÉ ANCHE IN ITALIA IL TEMA DELLA CYBERSECURITY DETERMINERÀ LE PROSSIME ELEZIONI

(Questo post era originalmente un mero commento a un post del Blog di Grillo del 15 agosto 2017 a firma Associazione Rousseau. Lo scrissi sul cellulare di ritorno in auto da ritiro buddista in Toscana. Beppe Grillo lo ha ri-postatato il 16 agosto 2017 come post “ospite”, con mia somma e gradita sorpresa, ancorchè senza correggere i refusi. Segue di seguito una versione corretta di tali refusi).

Come riporta bene Raffaele Barberio, il 13 e 14 agosto, articoli in prima pagina della Repubblica descrivono, con orribile qualità ed analisi, presunti scoop su falle critiche di cybersicurezza dello stato. Essi seguono a distanza di giorni due leaks di dati acquisiti per mezzo di falle di sistemi interni M5S, misti a critiche sulla non trasparenza di tali sistemi.

Ancorché sia i sistemi critici dello stato e sia del M5S siano terribilmente inadeguati, le tempistiche e modalità di tali leaks, hacks e articoli portano a pensare che essi possano essere utilizzati per spostare decisamente l’esito delle prossime elezioni, come successo in USA e quasi in Francia.

Se immaginiamo una semplice applicazione in Italia delle dinamiche delle recenti elezioni in USA e Francia, vediamo come il sistema Rousseau può esser visto come l’equivalente nell’M5S dell’improvvido mail server della Clinton – e dei sistemi di comunicazione interna del Partito Democratico USA – che costarono elezioni alla Clinton.

Vediamo se ci sono gli elementi.

-In Usa e Russia, vi sono spesso stati capi di stato che erano ex capi dei servizi segreti (Putin, Bush senior) e in Italia ancora no.

-Minniti, per decenni a capo dei servzi e quindi della cybersicurezza, è lanciato dal governo e PD come leader dell’agenda del giorno immigrazione, e quindi come leader.

– A giugno ci fu un attacco frontale, menzognero e premeditato di Renzi in prima serata contro Angelo Tofalo, principale esponente M5S di cybersicurezza.

-La gestione pessima ad oggi della cybersicurezza interna da parte del M5S, li espone fortemente a critiche, leaks e hacks ben temporizzate, da parte di molteplici attori, per manipolare l’agenda mediatica.

Proviamo ad immaginare una possibile strategia di forze politiche e mediatiche avverse al M5S. Eccola.

Attaccando PD e Minniti con sparate di grandi hackeraggi basate sul quasi niente, la Repubblica ottiene di: (1) consolidare il tema cybersecurity come centrale per elezioni (ancorché in maniera completamente sballata), (2) legittimarsi come testata indipendente sul tema agli occhi di chi non sa del settore, senza criticare minimamente le gravi effettive falle di sicurezza dello stato PD e (3) si apre quindi il campo ad attacchi molto più mirati per rilanciare in controcanto ogni leak in un probabile futuro stillicidio sulla sicurezza sistemi M5S.

In più possono contare di essere coadiuvati, ancorché indipendemente e con fini diversi, da hacker di ogni tipo: stati esteri, hacker indipendenti simpatizzanti PD, e hacker etici simpatizzanti dei fini del M5S ma non interamente dei mezzi (come WikiLeaks e Anonymous) e fortemente critici di alcune sue pratiche digitali e organizzative autocratiche.

Come può l’M5S salvarsi da tale stillicidio e le sue conseguenze?

Segnare una svolta andando a promuovere un modificato programma di cybersecurity – sia per i sistemi interni che per i sistemi del paese – che siano davvero radicali e all’avanguardia mondiale, per restaurare la sovranità digitale dello stato, dei cittadini e degli iscritti al M5S.

Posted in general, work1 | Leave a comment

Intelligenza Artificiale ed Intelligenza Collettiva

E se la soluzione per l’Intelligenza Artificiale fosse l’Intelligenza Collettiva?! Chissa che la chiave del successo – nel controllo umano, allineamento ai valori umanità, e redistribuzione dei benefici – dell’Intelligenza Artificiale futura è la governance delle organizzazioni umane criticalmente coinvolte formalmente (proprietà, ricerca, regulamentazione) e informalmente (hacking). Una Singularity AI positiva per la larga maggioranza degli umani, infatti, sarà niente altro che il prodotto collaterale (“by-product”) di efficaci forme di Intelligenza Collettiva transnazionale – ovvero di governance transnazionale altamente democratica e competente – in ambiti critici, a partire da: mainstream media control, cybersecurity, AI. Alla fine il problema del futuro di AI, e quindi della razza umana, non è un problema tecnologico, ma esclusivamente un problema di governance che vada a produrre e regolare tecnologie e standard di AI che realizzino le enormi opportunità della AI invece dei suoi peggiori incubi.

Posted in general, Uncategorized | Leave a comment

Comment on the new ENISA Report Threat Landscape

ENISA Threat Landscape 2016 report: cyber-threats becoming top priority
https://www.enisa.europa.eu/news/enisa-news/enisa-threat-landscape-2016-report-cyber-threats-becoming-top-priority/

If IT security boils down to that of the weakest “link”, then what is the sense arbitrarily limiting the scope of the annual EU ENISA Cyber Threat Reports by exclude some “links” such as the entire supply chain. Why is that?!

US Defense Science Board said already in 2005: “Trust cannot be added to integrated circuits after fabrication”.

In the Thematic Landscape Hardware document, vulnerabilities introduced during the fabrication and supply chain are out of scope. They say: “According to the scoping performed in Section 1.1, supply chain security aspects which are relevant for invasive/integrated modification of hardware was not in scope of the good practice research.”

Posted in general, Uncategorized, work1 | Leave a comment

Even Google starts admitting AI great risks and hinting at the right direction

The CEO of Google DeepMind is worried that tech giants won’t work together at the time of the intelligence explosion
http://www.businessinsider.com/google-deepmind-demis-hassabis-worries-ai-superintelligence-coordination-2017-2?IR=T

Absolute must read for those that think AI Superintelligence explosion may be just science fiction or decades away. Even the largest groups that have huge economic interests in downplaying the risks of AI, are now clearly spelling out the risks and the hinting in the right direction. Conforting.

Posted in general, work1 | Leave a comment

Sono lo SPID e il software libero sufficienti per una partecipazione deliberativa elettronica comunale in larga scala?!

Con la conquista di 2 grandi città, il Movimento Cinquestelle ha finalmente l’occasione e le risorse per realizzare la promessa democrazia diretta, online e non, in larga scala. Il programma prevede un forte consolidamente e estenzione degli istituti di partecipazione e la progressiva estenzione a tutti i cittadini di strumenti online di partecipazione in larga scala e deliberativa – invece che meramente consultiva – al processo deliberativo dell’amministrazione comunale.

La presidente degli Stati Generali dell’Innovazione, Flavia Marzano – da 15 anni una dei leader italian delle battaglie per il software libero, formati aperti e dati aperti nella pubblica amministrazione – è stata invitata ad essere il nuovo Assessore alla “Roma Semplice” da parte della nuovo amministrazione capitolina M5S. Avrà l’onere, onore e sfida di sviluppare tecnologie e processi ICT che – non solo supportino una radicale trasparenza per combattere la malapolitica – ma vadano realizzare l’agognata democrazia diretta digitale.

La maggioranza degli esperti e giornalisti del settore pensano che l’utilizzo di software e open source della parte server, e l’applicazione del livello 3 dello SPID (Sistema Pubblico di Identità Digitale – ovvero i sistemi di sicurezza comunemente usati per i servizi bancari – possano essere sufficienti per minimizzare sufficientemente i rischi.

As esempio, il vicepresidente di Stati Generali dell’Innovazione, Nello Iacono, ha fatto delle proposte in un post del 23 giugno:

“Alcune riflessioni sulla spinta possibili per Spid: una sua diffusione rapida consentirebbe di renderlo fattore abilitante della cittadinanza digitale e della partecipazione dei cittadini, consentendo di ridurre drasticamente costi e tempi”

Similarmente, il progetto Parelon, sviluppato da volontari del M5S Regione Lazio con risorse solo volontarie e limitate, ha centrato la sua sicurezza su l’utilizzo e sviluppo in sofwtare libero (e.g. open source) e sistemi di autenticazione con chiavetta bancaria (one time password generator). Cionostante, essi ammettono come il loro sistema debba rinunciare alla confidenzialità del voto per offrirne sufficienti livelli di sicurezza. Cosa che può essere accettabile, epr scelta, per un partito, ma è costituzionalmente vietato per il voto politico e amministrativo.

Molti fanno riferimento al voto elettronico online della Estonia (patria dell’attuale Commissioner IT della EU) oppure in qualche zona della Svizzera a livello semisperimentale.

Gli obiettivi e l’idea di base sono di tali proposte sono encomiabili: far si che il desiderio di alcune nuove amministrazioni di espandere in larga scala le possibilità di partecipazione civica online dei cittadini, deliberativa e non solo consultiva -utilizzando i nuovi standard per transazioni e comunicazioni informatiche private e sicure, lo SPID, Sistema Pubblica di Identità Digitale – possa essere sfruttata inoltre per: (a) rendere più semplice ed economica l’interazione del cittadino con l’amministrazione; (b) diffondere fra i cittadini tale SPID, in modo da possa rendere più efficienti le transazioni economiche ed realizzare risparmi potenzialmente enormi di denaro pubblico derivanti dalla dematerializzazione di servizi della pubblica amministrazione.

Tale obiettivi, d’altronde, si scontrano con il fatto che vi è un largo consenso fra i massimi esperti di sicurezza informatica al mondo che anche il terzo e massimo livello dello SPID – come anche ogni altro standard di sicurezza esistente, finanche quello per l’ICT abilitato a trattare segreto di stato – forniscono livelli di sicurezza o privacy che sono ad oggi molto lontani dal fornire garanzie sufficienti contro abuso di larga scala di sistemi di voto online o partecipazione deliberativa online dei cittadini, come ad esempio quello di propossa e sottoscrizione di una proposta di legge ad iniziativa popolare. L’associazione Verified Voting, che aggregò gli esperti sopramenzionati, spiega bene perchè le tecnologie e metodi di sicurezza che usiamo per le transazioni bancarie, controintuitivamente, sono radicalmente inidonee per proteggere il voto dei cittadini.

Ogni report di organi riconosciui delle elezioni in Estonia, ha rivelato un’enorme quantità di vulnerabilità, che porta a concludere che attori con capacità anche moderate possano aver alterato i voto esperssi via internet in tali elezioni, e possano ben farlo in futuro dato che l’Estonia ha preferito investire in pubbliche relazioni che non invece, prendere atto pubblicamente dell’entità della sfida, ed investire adeguatamente nella ricerca di soluzioni adeguate.

I cittadini, sono per lo più tenuti all’oscuro di tali rischi del “voto online” ed anche della grande probilità di abusi già avvenuti e non scoperti, con ricorrenti richiami a migliorare la democrazia attraverso un semplice “voto dal tablet” di vari politici, incluso il M5S, eccetto per qualche sporadico articolo che sottolinea le grandi sfide che prima bisogna affrontare. Anche dopo un battage pubblicitario gigantesco e planetario, nella Estonia E-residency, centrato sulla sicurezza e confidenzialità offerta, hanno creduto in sole 10.000 persone.

A differenza di altri in SGI, Flavia Marzano ha mostrato di essere ben cosciente delle sfide tecniche, organizzative e procedurali che comporta l’offrire in larga scala le possibilità di partecipazione civica online dei cittadini, deliberativa e non solo consultiva. Fu la Marzano, nella primavera del 2014, in qualità di Presidente degli Stati Generali dell’Innovazione (SGI) – la primaria NGO del settore IT solidamente in area PD – che accettò di partecipare all’iniziativa della Open Media Cluster di convocare 2 incontri in Regione Lazio con i capogruppo di PD, M5S e SEL, o loro diretti delegati, per una campagna di legge per il “software libero, hardware documentato, partecipazione e servizi telematici trasparenti”.

Tale proposta di legge, ad oggi nemmeno discussa dal consiglio a maggioranza PD, prevede che ogni servizio critico al cittadino, come e-health o partecipazione online, debba obbligatoriamente essere offerto in rispetto di “servizi telematici trasparenti“, derivato dal concetto di telematica trasparente (evoluto ne concetto di trustless computing della Trustless Computing Initiative) – che prevedono requisiti di verificabilità e livelli di verifica estremi in relazione ala complessità per ogni tecnologia o processo critico coinvolto – dal lato server e dal lato utente – nella fruizione o nel ciclo vita della soluzione, dalla definizione degli standard, an design del CPU, al monitoraggio della fase di fabbricazione. Dopo settimane di enorme pazienza e solleciti da parte di Davide Barillari, portavoce del M5S regione Lazio, il PD e SEL continuavano a comunicarci come fossero in attesa di coinvolgimento di loro esperti per valutare le nostre proposte.

Negli stessi giorni, come risultava evidente che il PD non avesse ne la volontà politica e ne la capacità tecnica di proporre una seria legge sul tema, la direzione generale degli Stati Generali dell’Innovazione bocciò ogni coinvolgimento della SGI stessa nella campagna, nonostante il suo successo e il fatto che Richard Stallman stesso, investore del software libero, fosse venuto a Roma per promuoverla, e ripetuti solleciti da parte della loro presidente. Come sempre in Italia, è difficile concludere quanto dichiarazioni gravemente erronee circa temi assolutamente vitali per la democrazia e la società, da parte di soggetti coinvolti nell’ICT per la PA, siano dovuti a sottomissione politica o a grave impreparazione tecnica.

Molto del silenzio che si è sentito (il silenzio fà un rumore tremendo) su questi temi da parte del M5S, con pochissime eccezioni di Davide Barillari e pochi altri, rischia di trasformare un’enorme opportunità di rilancio del paese in un incubo di votazioni manipolate e, nella misura in cui se en potrà comprovare la comprommissione, una conseguente forte delegittimazione del M5S nella sua capacità di realizzare responsabilmente il suo primario obiettivo di sempre.

Come disse bene George Orwell: “In un tempo di universale inganno, dire la verità è un atto rivoluzionario“. Sono ben cosciente dell’enorme costo di dire la verità, per quasi tutti in questo paese, ma è venuto il momento di dire la verità sull’entità della sfida tecnologica, socio-tecnica ed organizzativa della democrazia diretta online.

Posted in general, work1, work2 | Leave a comment

What EU member states should do after Brexit

What EU member states should do after Brexit:

  1. Push for more empowered EU with more effectiveness, expanding the vote by majority for further unification
  2. Negotiate ruthless economic terms with UK after exit in order to discourage other member states that may want to do the same (it is very concerning that UK stocks lost 2% while Paris and Milan lost 8 and 12%
  3. Assume other nations will leave in the next years, and that will be just fine as it will make life easier for those that remain.
Posted in general, personal1, personal2 | Leave a comment