l'analisi

Rousseau, luci e ombre alla luce del provvedimento del Garante Privacy

Il Garante Privacy ha dato al Movimento5Stelle e all’Associazione Rousseau, che gestisce la piattaforma online del Movimento, una sanzione da 50.000 euro. Il provvedimento si concentra sulle criticità del sistema di voto online, a rischio di alterazioni o fuoriuscite di dati. Ecco l’analisi e le prospettive

Pubblicato il 05 Apr 2019

Riccardo Berti

Avvocato e DPO in Verona

Franco Zumerle

Avvocato Coordinatore Commissione Informatica Ordine Avv. Verona

privacy-button

Un provvedimento equilibrato, quello con cui il Garante Privacy ha appena sanzionato il M5S con 50 mila euro per la Piattaforma Rousseau: nell’evidenziare i passi avanti compiuti da quest’ultima, segnala che permangono criticità. Tali da dover spingere, probabilmente, il M5S a rivederla profondamente, per garantire la privacy degli iscritti e l’affidabilità del voto.

Come siamo arrivati al provvedimento del Garante Privacy su Rousseau

E’ del resto una storia che viene da lontano. Le preoccupazioni del Garante risalgono ancora all’agosto del 2017 quando vari articoli di stampa hanno riportato la notizia di una intrusione informatica ai danni della “Piattaforma Rousseau” e del blog www.beppegrillo.it, con conseguente violazione dei dati personali di numerosi cittadini.

A seguito dell’intrusione l’utente Twitter “rogue0” ha diffuso sul social dati personali di iscritti o simpatizzanti del Movimento 5 Stelle, apparentemente estratti dal database anagrafico della “piattaforma Rousseau”.

L’indagine del Garante ha permesso di verificare che, sebbene ci si potesse iscrivere ai siti della piattaforma Rousseau solo con autenticazione forte (ovvero l’accertamento dell’identità dell’utente attraverso due o più strumenti di autenticazione) e previa verifica del documento di identità da parte di un operatore, successivamente la login era subordinata unicamente all’inserimento di una password e, il sistema, non richiedeva particolari requisiti di complessità della parola chiave (era ad esempio possibile inserire una password di lunghezza inferiore agli 8 caratteri).

Questo fatto rendeva particolarmente vulnerabile la piattaforma a tentativi di intrusione di tipo “guessing attack” basati sia su un approccio “brute force” (provare una serie di password comuni) sia su un approccio “a dizionario” (provare tutte le combinazioni possibili in sequenza).

Oltre a questo il Garante evidenziava il fumoso inquadramento ai fini privacy dei soggetti che muovono la piattaforma online del Movimento 5 Stelle, l’obsolescenza dei software utilizzati (a partire dal CMS), l’assenza di un certificato SSL, l’assenza di registri di log delle operazioni compiute e numerose ulteriori carenze, prescrivendo a quel punto che la piattaforma venisse adeguata entro trenta giorni dalla comunicazione del provvedimento.

Quindi, con successivi provvedimenti del 16 maggio 2018 e 04 ottobre 2018 il Garante ha prorogato il termine per l’adeguamento fino, da ultimo, al 15 ottobre 2018.

Le migliorie riscontrate in Rousseau

Il provvedimento appena emanato dal Garante fotografa quindi l’adeguamento della piattaforma Rousseau al 15 ottobre 2018, evidenziando notevoli miglioramenti nella gestione dei dati insieme a persistenti vulnerabilità, nonostante il lungo tempo trascorso.

Nelle more dell’adeguamento il titolare del trattamento è peraltro diventato l’Associazione Movimento 5 Stelle (mentre in origine era la Casaleggio & Associati), che ha a sua volta provveduto a designare l’Associazione Rousseau quale responsabile del trattamento ex art. 29 del Codice Privacy in allora vigente.

Il Garante, nel proprio provvedimento del 04 aprile 2019, evidenzia l’aggiornamento dei software utilizzati dalla piattaforma (eccezion fatta per la CMS), l’introduzione di un certificato SSL e il più chiaro inquadramento privacy dei soggetti coinvolti.

Con riguardo poi alle criticità relative alla scelta delle password, il Garante rileva l’inserimento di un sistema di reCaptcha, di un indicatore di qualità della password e di un controllo sulla sua lunghezza, risultando così di fatto superato il problema alla base del data breach dell’agosto 2017.

I problemi persistenti

Rimangono però dubbi circa il sistema dei log, che dovrebbe permettere di tracciare a ritroso le operazioni effettuate sui dati degli utenti.

In particolare le credenziali relative alle utenze degli amministratori di sistema (come tali caratterizzate da ampi privilegi di gestione) risultavano “condivise” fra più soggetti, rendendo quindi impossibile tracciare quale fra i “condividenti” avesse preso conoscenza dei dati.

L’attività ispettiva del Garante ha poi permesso di evidenziare che, nonostante l’Associazione Rousseau avesse predisposto un sistema per la cancellazione dei dati personali dei votanti una volta terminate le operazioni di voto, rimane presente un “codice univoco” associato alla preferenza espressa.

Inoltre, in sede ispettiva è emersa la presenza di un database “parallelo” che continua a conservare i dati (numero di cellulare) dei votanti.

I due data breach

Nonostante i passi avanti nella sicurezza informatica e nella tutela della privacy della piattaforma Rousseau, balzano all’occhio le due residue violazioni relative alle utenze “condivise” degli amministratori e al sistema di e-voting, che hanno comportato l’applicazione di una sanzione per € 50.000 (parametrata sui nuovi criteri di cui al Reg. UE 2016/679).

La prima delle due violazioni di cui si discute (la condivisione delle credenziali degli amministratori di sistema) risulta senz’altro grave se si pensa che un ristretto novero di addetti con particolari capacità tecnica può agire nell’ambito dei sistemi informativi del Movimento 5 Stelle e dell’Associazione Rousseau senza che il loro operato possa essere soggetto a verifiche ex post.

Il sistema di voto è il principale problema

Il grande “bocciato” a seguito dell’attività ispettiva del Garante è però il sistema di voto online della piattaforma Rousseau, che, nonostante il tempo concesso per l’adeguamento continua a non rispettare le caratteristiche di sicurezza di un sistema di e-voting (il garante cita ad esempio le prescrizioni di sicurezza informatica descritte nel documento “E-voting handbook – Key steps in the implementation of e-enabled elections” pubblicato dal Consiglio d’Europa a novembre 2010 e nel documento “Recommendation CM/Rec(2017)5 of the Committee of Ministers to member States on standards for e-voting” adottato dal Comitato dei Ministri del Consiglio d’Europa il 14 luglio 2017).

Un sistema sicuro di voto online deve infatti prevedere da un lato la protezione delle schede elettroniche di voto e, dall’altro lato, l’anonimato dei votanti in tutte le fasi del procedimento elettorale elettronico.

Sul punto le misure adottate dall’Associazione Movimento 5 Stelle non paiono sufficienti a scongiurare la possibilità di identificare il votante, ma soprattutto il rilievo dell’esistenza, in sede ispettiva, di un  database “in chiaro” delle votazioni, legittima le preoccupazioni alla base dell’irrogazione della sanzione.

Il sistema di e-voting della piattaforma Rousseau, secondo quanto rilevato dal Garante, lascia infatti esposti i risultati delle votazioni (per un’ampia finestra temporale che si estende dall’istante di apertura delle urne fino alla successiva c.d. “certificazione” dei risultati” che può avvenire a distanza di diversi giorni dalla chiusura delle operazioni di voto) ad accessi ed elaborazioni di vario tipo (che vanno dalla mera consultazione a possibili alterazioni o soppressioni, all’estrazione di copie anche offline)

L’adozione del provvedimento del Garante, che pur appare equilibrato nella sua analisi e “contenuto” nella sanzione, ha sollevato numerose polemiche che hanno spinto l’Autorità a chiarire, in un comunicato diffuso il 5 aprile, che l’accertamento è stato svolto sulla base dell’adeguamento al termine del periodo concesso all’Associazione per l’adeguamento (peraltro dopo due proroghe) e che quindi lo stesso non può tener conto di miglioramenti successivi e non documentati.

Il provvedimento, al di là delle critiche, mette in luce profili davvero problematici, importante campanello di allarme per l’Associazione Movimento 5 Stelle, tale da consigliare un ripensamento dell’intera architettura del sistema di votazione online su cui si fonda, che tuteli prima di tutto gli associati stessi e garantisca maggiore sicurezza ed efficienza nell’espressione delle preferenze nell’interesse di tutti i soggetti coinvolti.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2