Questo post doveva essere pubblicato verso giugno 2019, l’ho scritto in quel periodo, poi si sa, è facile procrastinare, gli imprevisti sono dietro l’angolo, le scalette personali mutano, capitano settimane impegnative, e le bozze rimangono salvate a prendere polvere. Ci tengo molto a ringraziare le persone - tante - che mi hanno fatto sentire il proprio sostegno, in vari modi, durante tutta la vicenda che mi ha coinvolto. Quindi rispolvero questa bozza, riprendo da dove avevo lasciato e la pubblico con colpevole ritardo.


È finita, è finita, è finita. Me lo sto ripetendo da giorni, da giovedì 18 aprile. In realtà devo ancora capacitarmene, è durata mesi questa vicenda ed è stata stancante su più livelli, quindi ho deciso di utilizzare questo mio blog, questo piccolo spazio personale, per scrivere qualche parola sull’accaduto.

Zucchero, cannella ed ogni cosa bella! Questi sono gli ingredienti per creare le ragazzine perfette. Ma il professor Utonium aggiunse per sbaglio un’ulteriore ingrediente alla mistura: il chemical X.

Quest’immagine mi sembra descrivere bene la mia vicenda.

Hack5Stelle

2 agosto 2017. Pubblico il mini-blog #Hack5Stelle in cui scrivo di una vulnerabilità critica riscontrata nella piattaforma Rousseau - non prima di aver avvisato lo staff del sito ed essermi assicurato che la vulnerabilità fosse stata risolta - e consiglio agli utenti di modificare la propria password.

**17 gennaio 2018. **Ricevo la visita della Polizia Postale di Milano, verso le ore 9:00. Dopo avermi spiegato il motivo della perquisizione mi danno un passaggio fino a casa dei miei genitori per l’analisi del materiale informatico, per strada ci fermiamo in un autogrill e mi offrono la colazione. Un’altra squadra della Polizia Postale, nel frattempo, si trova a Padova per la ricerca e l’analisi di eventuali altri dispositivi. Chiamo un amico, da poco diventato avvocato, e gli spiego la situazione - rimarrà il mio avvocato designato fino alla fine della vicenda - la mia morosa annulla la cena al sushi con gli amici. La Polizia Postale non ha fatto irruzione all’alba e sono stati gentili con me, ma è stata comunque una pessima giornata.

6 febbraio 2018. La notizia diventa di pubblico dominio, su stampa e media nazionali si diffonde la notizia che “è stato preso l’hacker della piattaforma Rousseau”. Alcuni fatti riportati sono imprecisi, ad esempio il giorno in cui sarebbe avvenuta la perquisizione. Il mio nome appare su tutti i giornali, molti giornalisti mi cercano, cercano i miei familiari e, ovviamente, i miei legali. È indubbiamente la giornata più pesante di tutte, quella di cui porto il ricordo peggiore. È stata solo un’ulteriore conferma di quanto mi piacciano l’utilizzo degli pseudonimi e l’anonimato in rete. Il leader politico del Movimento 5 Stelle commenta dicendo che “ora tocca ai mandanti”, non ho ancora ben capito a quali mandanti alludesse. È in questa giornata che inizio a comunicare tramite gli anatroccoli e le anatre 🦆.

GIF usata nel mio tweet

La GIF usata nel “famoso” tweet del 6 febbraio 2018

18 aprile 2019. La mia vicenda si conclude alla prima udienza con la remissione di querela da parte dell’Associazione Rousseau. Ero stato rinviato a processo, ma - fortunatamente - l’accusa ha deciso di ritirare la denuncia nei miei confronti, anticipando la notizia durante un evento a Milano a marzo, mantenendo così la parola data a febbraio 2018.

Non sento la necessità di dilungarmi ulteriormente nella narrazione dei fatti, per comodità vi rimando ad alcuni link utili:

Tra agosto 2017 e aprile 2019 sono accadute molte cose, per esempio ho ritrovato il mio gatto che era scappato di casa e non sapeva più tornare (ora sta benissimo), ho partecipato a un documentario - The Choice, prodotto da Unozerozerouno - sono stato all’evento Italian Hacker Camp 2018, portando anche due piccoli talk, sono riuscito a dare un volto a molte persone che seguo su Twitter, ho continuato a segnalare bug e vulnerabilità, mi sono candidato per le Europee 2019 🇪🇺 con il Partito Pirata, ho aperto questo blog. Una delle domande che mi è stata posta più spesso riguardo questa vicenda è “Ma se potessi tornare indietro, la rifaresti la segnalazione?” e la risposta è . Sì, la rifarei, perché penso sia corretto segnalare un problematica, specie se grave, perché dà la possibilità agli sviluppatori di correggerla - sono umani anche loro e nel codice può sempre esserci un errore - e permette così di tutelare tutti. La scienza informatica ci circonda sempre di più nella vita di tutti i giorni, non esistono solo i PC, gli smartphone e i siti Internet: ci sono le automobili, che ormai sono dotate di veri e propri sistemi operativi, ci sono gli elettrodomestici connessi a Internet, le stampanti - ho visto una stampante hackerata tramite un fax, assurdo - gli smartwatch, le smart TV e praticamente moltissimi degli oggetti che ci circondano. Quindi in una realtà sempre più interconnessa penso sia importante - fondamentale - segnalare eventuali criticità che rischiano di mettere a repentaglio la nostra privacy o la nostra sicurezza, e spero che in un futuro prossimo lo si possa fare senza rischiare denunce.

Ora spero di lasciarmi questa storia alle spalle, conservo tutto, sarà un racconto divertente da rispolverare tra qualche anno - “Ti ricordi quella volta che…” - e vorrei ringraziare un po’ di persone, molte in realtà ma cercherò di essere celere. Voglio dire grazie alla mia fidanzata, che è stata ed è molto paziente con il sottoscritto, alla mia famiglia, perché non hanno passato dei mesi facili nemmeno loro e mi hanno sostenuto sia emotivamente che economicamente, al mio gatto, perché è molto importante per me il mio gatto, ai miei due avvocati, Giorgio Mazzucato e Luca Carraro, perché hanno studiato il caso nei minimi dettagli per tutelarmi al meglio da ogni possibile rischio, al professor Stefano Zanero, perché si è esposto pubblicamente per me, e a tutta Secure Network, per essersi occupati dell’analisi forense, a Vincenzo Di Nicola, per aver aiutato a creare un dialogo fondamentale, a Fabrizio Carimati, per una cospicua donazione e per l’abbonamento ad AirVPN (quest’ultima si sta rilevando ormai indispensabile, soprattutto sul telefono quando mi muovo, ce l’ho installata più o meno su ogni dispositivo dotato di connessione) e a tutte le persone che hanno preso le mie difese in più occasioni, che hanno espresso solidarietà nei miei confronti. Essere sotto indagine è stato terribilmente pesante a livello emotivo, e non lo auguro a nessuno.

🦆🦆🦆