Garante della privacy sanziona Rousseau e svela criticità dei siti dell’M5S

L’Associazione Rousseau, referente per i siti del Movimento 5 Stelle, è stata sanzionata dal Garante della Privacy per 50mila euro. La lunga istruttoria iniziata nel 2017, a seguito della violazione dei sistemi informatici di movimento5stelle.it, rousseau.movimento5stelle.it e beppegrillo.it, è giunta al capitolo finale. Nel tempo è stata imposta l’adozione “di misure necessarie e opportune al fine di rendere i trattamenti dei dati personali degli utenti dei predetti siti web conformi ai princìpi della disciplina in materia di protezione dei dati personali”. Ed effettivamente questo è avvenuto, come si legge nel documento dell’Autorità, ma gli ulteriori approfondimenti tecnici hanno evidenziato criticità e debolezze strutturali.

Nel frattempo il sito beppegrillo.it è stato completamente ristrutturato e “non consente più la creazione di account personali”, quindi è stato escluso dall’indagine.

L’attività di vulnerability assessment ha svelato miglioramenti ma anche perplessità sull’obsolescenza dei sistemi in uso. Su tutti la piattaforma di Content Management System (Cms) rimasta alla versione Movable Type 4 mentre quella corrente è Movable Type 7 (release 7.1.1. del 29 gennaio 2019). “Ciò rende particolarmente gravoso il compito di mantenere aggiornato e sicuro il Cms a supporto dei siti web del Movimento, poiché lo stesso produttore ha cessato la distribuzione di aggiornamenti e di patch di sicurezza al raggiungimento della End of Life del prodotto, verificatasi il 31 dicembre 2013”, puntualizza il Garante.

Un’altra criticità è stata rilevata sul sistema di e-voting. Sebbene siano stati introdotti miglioramenti, soprattutto di carattere organizzativo, sono lasciati esposti “i risultati delle votazioni (per un’ampia finestra temporale che si estende dall’istante di apertura delle urne fino alla successiva c.d. “certificazione” dei risultati, che può avvenire a distanza di diversi giorni dalla chiusura delle operazioni di voto) ad accessi ed elaborazioni di vario tipo (che vanno dalla mera consultazione a possibili alterazioni o soppressioni, all’estrazione di copie anche offline)”. Insomma non viene garantita “un’adeguata protezione dei dati personali relativi alle votazioni online”.

Non viene neanche effettuato alcun auditing informatico con verifica ex post delle attività compiute. Quindi non si può “garantire l’integrità, l’autenticità e la segretezza delle espressioni di voto, caratteristiche fondamentali di una piattaforma di e-voting (almeno sulla base degli standard internazionali comunemente accettati)”.

“Infatti, gli addetti tecnici alla gestione della piattaforma e, in particolare, coloro che svolgono la funzione di Dba (Data Base Administrator), pur individuati tra persone di elevata affidabilità, sono comunque tecnicamente in grado di accedere alle delicate funzionalità del Dbms in cui vengono registrati i dati relativi alle espressioni di voto mantenendo una capacità d’azione totale sui dati e sfuggendo alle procedure di auditing”, puntualizza il Garante.

La piattaforma insomma sfugge alle “proprietà richieste a un sistema di evoting, come descritte, per esempio, nel documento ‘E-voting handbook – Key steps in the implementation of e-enabled elections’ pubblicato dal Consiglio d’Europa a novembre 2010 e nel documento ‘Recommendation CM/Rec(2017)5 of the Committee of Ministers to member States on standards for e-voting’ adottato dal Comitato dei Ministri del Consiglio d’Europa il 14 luglio 2017, che prevedono la protezione delle schede elettroniche e l’anonimato dei votanti in tutte le fasi del procedimento elettorale elettronico”.

Infine la condivisione delle credenziali di autenticazione assegnate a incaricati dotati di elevati privilegi per la gestione delle piattaforme applicative a supporto dei siti movimento5stelle.it e rousseau.movimento5stelle.it risulta inadeguata “sotto il profilo della sicurezza poiché la condivisione delle credenziali impedisce di attribuire le azioni compiute in un sistema informatico a un determinato incaricato, con pregiudizio anche per il titolare, privato della possibilità di controllare l’operato di figure tecniche così rilevanti”.

In sintesi il Garante intima all’Associazione Rousseau di provvedere, oltre al pagamento della sanzione, a:

• a completare l’adozione delle misure necessarie di auditing informatico prevedendo che anche gli accessi al database effettuati tramite interfaccia XX siano oggetto di completa registrazione  in modo da consentire la verifica a posteriori delle attività compiute
• a rimuovere la criticità emersa a seguito dell’accertamento ispettivo del novembre 2018,  ovvero provvedere ad assegnare credenziali di autenticazione ad uso esclusivo di ciascun utente con privilegi amministrativi definendo per ciascuno i differenti profili di autorizzazione ad una rivisitazione complessiva delle iniziative di sicurezza adottate
• all’effettuazione  di una valutazione d’impatto sulla protezione dei dati, specificamente riferita alle funzionalità di e-voting attribuite alla piattaforma. Solo in base ad una rigorosa progettazione  e a una attenta valutazione dei rischi è, infatti, possibile realizzare un sistema di e-voting in grado di fornire garanzie di resilienza nonché di assicurare l’ autenticità e la riservatezza delle espressioni di voto.