Un provvedimento equilibrato, quello con cui il Garante Privacy ha appena sanzionato il M5S con 50 mila euro per la Piattaforma Rousseau: nell’evidenziare i passi avanti compiuti da quest’ultima, segnala che permangono criticità. Tali da dover spingere, probabilmente, il M5S a rivederla profondamente, per garantire la privacy degli iscritti e l’affidabilità del voto.
Come siamo arrivati al provvedimento del Garante Privacy su Rousseau
E’ del resto una storia che viene da lontano. Le preoccupazioni del Garante risalgono ancora all’agosto del 2017 quando vari articoli di stampa hanno riportato la notizia di una intrusione informatica ai danni della “Piattaforma Rousseau” e del blog www.beppegrillo.it, con conseguente violazione dei dati personali di numerosi cittadini.
A seguito dell’intrusione l’utente Twitter “rogue0” ha diffuso sul social dati personali di iscritti o simpatizzanti del Movimento 5 Stelle, apparentemente estratti dal database anagrafico della “piattaforma Rousseau”.
L’indagine del Garante ha permesso di verificare che, sebbene ci si potesse iscrivere ai siti della piattaforma Rousseau solo con autenticazione forte (ovvero l’accertamento dell’identità dell’utente attraverso due o più strumenti di autenticazione) e previa verifica del documento di identità da parte di un operatore, successivamente la login era subordinata unicamente all’inserimento di una password e, il sistema, non richiedeva particolari requisiti di complessità della parola chiave (era ad esempio possibile inserire una password di lunghezza inferiore agli 8 caratteri).
Questo fatto rendeva particolarmente vulnerabile la piattaforma a tentativi di intrusione di tipo “guessing attack” basati sia su un approccio “brute force” (provare una serie di password comuni) sia su un approccio “a dizionario” (provare tutte le combinazioni possibili in sequenza).
Oltre a questo il Garante evidenziava il fumoso inquadramento ai fini privacy dei soggetti che muovono la piattaforma online del Movimento 5 Stelle, l’obsolescenza dei software utilizzati (a partire dal CMS), l’assenza di un certificato SSL, l’assenza di registri di log delle operazioni compiute e numerose ulteriori carenze, prescrivendo a quel punto che la piattaforma venisse adeguata entro trenta giorni dalla comunicazione del provvedimento.
Quindi, con successivi provvedimenti del 16 maggio 2018 e 04 ottobre 2018 il Garante ha prorogato il termine per l’adeguamento fino, da ultimo, al 15 ottobre 2018.
Le migliorie riscontrate in Rousseau
Il provvedimento appena emanato dal Garante fotografa quindi l’adeguamento della piattaforma Rousseau al 15 ottobre 2018, evidenziando notevoli miglioramenti nella gestione dei dati insieme a persistenti vulnerabilità, nonostante il lungo tempo trascorso.
Nelle more dell’adeguamento il titolare del trattamento è peraltro diventato l’Associazione Movimento 5 Stelle (mentre in origine era la Casaleggio & Associati), che ha a sua volta provveduto a designare l’Associazione Rousseau quale responsabile del trattamento ex art. 29 del Codice Privacy in allora vigente.
Il Garante, nel proprio provvedimento del 04 aprile 2019, evidenzia l’aggiornamento dei software utilizzati dalla piattaforma (eccezion fatta per la CMS), l’introduzione di un certificato SSL e il più chiaro inquadramento privacy dei soggetti coinvolti.
Con riguardo poi alle criticità relative alla scelta delle password, il Garante rileva l’inserimento di un sistema di reCaptcha, di un indicatore di qualità della password e di un controllo sulla sua lunghezza, risultando così di fatto superato il problema alla base del data breach dell’agosto 2017.
I problemi persistenti
Rimangono però dubbi circa il sistema dei log, che dovrebbe permettere di tracciare a ritroso le operazioni effettuate sui dati degli utenti.
In particolare le credenziali relative alle utenze degli amministratori di sistema (come tali caratterizzate da ampi privilegi di gestione) risultavano “condivise” fra più soggetti, rendendo quindi impossibile tracciare quale fra i “condividenti” avesse preso conoscenza dei dati.
L’attività ispettiva del Garante ha poi permesso di evidenziare che, nonostante l’Associazione Rousseau avesse predisposto un sistema per la cancellazione dei dati personali dei votanti una volta terminate le operazioni di voto, rimane presente un “codice univoco” associato alla preferenza espressa.
Inoltre, in sede ispettiva è emersa la presenza di un database “parallelo” che continua a conservare i dati (numero di cellulare) dei votanti.
I due data breach
Nonostante i passi avanti nella sicurezza informatica e nella tutela della privacy della piattaforma Rousseau, balzano all’occhio le due residue violazioni relative alle utenze “condivise” degli amministratori e al sistema di e-voting, che hanno comportato l’applicazione di una sanzione per € 50.000 (parametrata sui nuovi criteri di cui al Reg. UE 2016/679).
La prima delle due violazioni di cui si discute (la condivisione delle credenziali degli amministratori di sistema) risulta senz’altro grave se si pensa che un ristretto novero di addetti con particolari capacità tecnica può agire nell’ambito dei sistemi informativi del Movimento 5 Stelle e dell’Associazione Rousseau senza che il loro operato possa essere soggetto a verifiche ex post.
Il sistema di voto è il principale problema
Il grande “bocciato” a seguito dell’attività ispettiva del Garante è però il sistema di voto online della piattaforma Rousseau, che, nonostante il tempo concesso per l’adeguamento continua a non rispettare le caratteristiche di sicurezza di un sistema di e-voting (il garante cita ad esempio le prescrizioni di sicurezza informatica descritte nel documento “E-voting handbook – Key steps in the implementation of e-enabled elections” pubblicato dal Consiglio d’Europa a novembre 2010 e nel documento “Recommendation CM/Rec(2017)5 of the Committee of Ministers to member States on standards for e-voting” adottato dal Comitato dei Ministri del Consiglio d’Europa il 14 luglio 2017).
Un sistema sicuro di voto online deve infatti prevedere da un lato la protezione delle schede elettroniche di voto e, dall’altro lato, l’anonimato dei votanti in tutte le fasi del procedimento elettorale elettronico.
Sul punto le misure adottate dall’Associazione Movimento 5 Stelle non paiono sufficienti a scongiurare la possibilità di identificare il votante, ma soprattutto il rilievo dell’esistenza, in sede ispettiva, di un database “in chiaro” delle votazioni, legittima le preoccupazioni alla base dell’irrogazione della sanzione.
Il sistema di e-voting della piattaforma Rousseau, secondo quanto rilevato dal Garante, lascia infatti “esposti i risultati delle votazioni (per un’ampia finestra temporale che si estende dall’istante di apertura delle urne fino alla successiva c.d. “certificazione” dei risultati” che può avvenire a distanza di diversi giorni dalla chiusura delle operazioni di voto) ad accessi ed elaborazioni di vario tipo (che vanno dalla mera consultazione a possibili alterazioni o soppressioni, all’estrazione di copie anche offline)”
L’adozione del provvedimento del Garante, che pur appare equilibrato nella sua analisi e “contenuto” nella sanzione, ha sollevato numerose polemiche che hanno spinto l’Autorità a chiarire, in un comunicato diffuso il 5 aprile, che l’accertamento è stato svolto sulla base dell’adeguamento al termine del periodo concesso all’Associazione per l’adeguamento (peraltro dopo due proroghe) e che quindi lo stesso non può tener conto di miglioramenti successivi e non documentati.
Il provvedimento, al di là delle critiche, mette in luce profili davvero problematici, importante campanello di allarme per l’Associazione Movimento 5 Stelle, tale da consigliare un ripensamento dell’intera architettura del sistema di votazione online su cui si fonda, che tuteli prima di tutto gli associati stessi e garantisca maggiore sicurezza ed efficienza nell’espressione delle preferenze nell’interesse di tutti i soggetti coinvolti.
