Garante della Privacy, 50mila euro di multa all'Associazione Rousseau: "Voto manipolabile"

Di redazione Blogo.it giovedì 4 aprile 2019

"La piattaforma Rousseau non gode delle proprietà richieste a un sistema di e-voting"

Il Garante per la Privacy ha ingiunto "all’Associazione Rousseau (…) il pagamento, entro 180 giorni dalla data di ricezione del presente provvedimento, di euro 50.000 a titolo di sanzione". La motivazione di questa multa è semplice: "La piattaforma Rousseau non gode delle proprietà richieste a un sistema di e-voting". In buona sostanza, secondo il Garante per la Privacy, il risultato del voto può essere manipolato e gli iscritti non godono di adeguate garanzie di sicurezza.

Il Garante aveva già intimato all'Associazione Rousseau di intervenire per migliorare la sicurezza in una precedente ispezione, che aveva evidenziato diverse falle. Questa una descrizione sintetica degli interventi richiesti:

A. conduzione di un’attività di vulnerability assessment con lo scopo di individuare e correggere eventuali vulnerabilità nei servizi prima di renderli fruibili al pubblico, da rinnovare periodicamente e in occasione di evoluzioni o modifiche, al fine di contribuire ad assicurare un livello costantemente adeguato di protezione dei dati personali. Al riguardo, il 12 novembre 2018, l’Associazione Rousseau ha dichiarato che “tutte le vulnerabilità classificate Critiche, Alte e Medie sono state risolte” e dalle verifiche effettuate è stato effettivamente constatato come le componenti software affette da tali vulnerabilità siano state rimosse dal sistema (cfr. verbale ispezione presso l’Associazione del 12 novembre 2018, p. 4); residuano alcune perplessità più generali, legate essenzialmente all’obsolescenza dei sistemi in uso, per le quali si rinvia al par. 3.1.

B. si tratta di una prescrizione volta a rimediare alle debolezze individuate nella procedura di creazione degli account individuali (da parte degli utenti) e nella successiva fase di autenticazione informatica, da un lato migliorando la qualità delle password, dall’altro suggerendo misure idonee a mitigare l’impatto di eventuali attacchi brute force (volti a individuare la componente riservata delle credenziali tramite la enumerazione di tutte le possibili stringhe alfanumeriche che possono costituire una password); sul punto, tenuto conto che i siti web in questione sono stati dotati di un sistema di reCaptcha, di un indicatore di qualità della password in fase di scelta da parte degli utenti e di un controllo sulla lunghezza della password, l’adeguamento deve ritenersi compiuto;

C. si tratta di una prescrizione relativa all’adozione di protocolli di rete sicuri e di certificati digitali, con lo scopo, da una parte, di proteggere i dati nel loro transito in rete, dall’altra, di scongiurare il rischio di inganno degli utenti derivante dalla possibile contraffazione dei siti web del Movimento (ossia l’attrazione degli utenti visitatori, tramite artifizi e raggiri, verso siti contraffatti – fake sites - riproducenti le sembianze del sito originario); tali misure risultano essere state adottate già nei primi riscontri pervenuti all’Autorità (prima delle due proroghe poi concesse);

D. la quarta prescrizione intendeva porre rimedio alla debolezza del metodo di conservazione delle password di accesso ai servizi on-line del Movimento 5 Stelle, dovuta all’utilizzo di algoritmi crittografici deboli e all’obsolescenza tecnologica della piattaforma di Content Management System (Cms) su cui sono stati sviluppati i siti stessi; sul punto, a seguito degli accertamenti tecnico-informatici effettuati anche in modo incrociato presso la sede dell’Associazione Rousseau, tramite accesso al database mysql, e presso il data center di Wind, è stato constatato che, alla data del 12 novembre 2018, “per la maggior parte degli utenti, circa il 77%, le password risultano memorizzate attraverso l’utilizzo di algoritmi crittografici robusti” (cfr. verbale ispezione 12 novembre 2018 presso Wind, p. 4);

E. la prescrizione concerneva le misure di auditing, che obbligano alla tenuta delle registrazioni degli accessi e delle operazioni compiute (log) sul database del sistema Rousseau, anche come misura di attuazione del provvedimento generale del Garante del 27 novembre 2008 in tema di amministratori di sistema. Ciò come necessario presupposto a garanzia dell’integrità dei dati e con lo scopo di permettere almeno il controllo ex post delle attività svolte dagli incaricati.

Ad oggi l'autorità "pur ritenendo che nel complesso sia stato realizzato un sostanziale innalzamento dei livelli di sicurezza dei trattamenti effettuati nell’ambito dei siti web oggetto del provvedimento del 21 dicembre 2017" ha evidenziato come residuino "tuttavia alcune importanti vulnerabilità rispetto alle quali l’Autorità (valutata anche l’urgenza di intervenire su una struttura, come la piattaforma Rousseau, di particolare rilevanza e delicatezza anche sotto il profilo della partecipazione democratica dei cittadini alle scelte politiche) è tenuta ad intervenire".

Il Garante, dunque, ingiunge all'Associazione Movimento 5 Stelle e all’Associazione Rousseau di provvedere a:

1. a completare l’adozione delle misure necessarie di auditing informatico previste al par. 7, lett. E, del provvedimento n. 548, prevedendo che anche gli accessi al database effettuati tramite interfaccia XX siano oggetto di completa registrazione in modo da consentire la verifica a posteriori delle attività compiute (cfr. punti 2.1 e 3.3), entro il termine di 60 giorni dalla ricezione del presente provvedimento; l’eventuale inosservanza del presente ordine è soggetta alla sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento;

2. a rimuovere la criticità emersa a seguito dell’accertamento ispettivo del novembre 2018, come evidenziata ai punti 2.1 lett. e) e 3.5 - ovvero provvedere ad assegnare credenziali di autenticazione ad uso esclusivo di ciascun utente con privilegi amministrativi definendo per ciascuno i differenti profili di autorizzazione, entro il termine di 10 giorni dalla ricezione del presente provvedimento; l’eventuale inosservanza del presente ordine è soggetta alla sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento;

3. entro il termine di 120 giorni dalla ricezione del presente provvedimento, ai fini del rispetto del principio di responsabilizzazione di cui all’articolo 24 del Regolamento, ad una rivisitazione complessiva delle iniziative di sicurezza adottate (cfr. par. 3.1 sulle “Attività di vulnerability assessment”),alcune delle quali, per quanto conformi, in termini di stretto adempimento, alle prescrizioni di cui al par. 7, lett. A del provvedimento n. 548 del 2017, risultano comunque inficiate nella loro efficacia dalle gravi limitazioni tecniche intrinseche al sistema utilizzato (CMS - Movable Type 4). L’eventuale inosservanza del presente ordine è soggetta alla sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento;

4. all’effettuazione, entro il termine di 60 giorni dalla ricezione del presente provvedimento, di una valutazione d’impatto sulla protezione dei dati, specificamente riferita alle funzionalità di e-voting attribuite alla piattaforma. Solo in base ad una rigorosa progettazione e a una attenta valutazione dei rischi è, infatti, possibile realizzare un sistema di e-voting in grado di fornire garanzie di resilienza nonché di assicurare l’ autenticità e la riservatezza delle espressioni di voto. Le conclusioni della valutazione d’impatto dovranno pervenire a questa Autorità entro 70 giorni dalla ricezione del presente provvedimento. L’eventuale inosservanza del presente ordine è soggetta alla sanzione amministrativa prevista dall’art. 83, par. 5, lett. e) del Regolamento.

Le predette criticità costituiscono "una violazione dell’art. 32 del Regolamento (UE) 2016/679 che individua alcuni parametri di sicurezza che il titolare e il responsabile del trattamento sono tenuti ad adottare al fine di garantire un livello di sicurezza adeguato in rapporto al rischio per i diritti e le libertà delle persone", in modo particolare:

1) il mancato, completo tracciamento degli accessi al database del sistema Rousseau e delle operazioni sullo stesso compiute (di cui alla specifica misura necessaria, tecnica e organizzativa, prescritta dall’Autorità con il provvedimento del 21 dicembre 2017 e oggetto di due proroghe) configura la violazione di quel generale dovere di controllo sulla liceità dei trattamenti che grava sul titolare del trattamento e, in particolare, dell’obbligo di assicurare più adeguate garanzie di riservatezza agli iscritti alla piattaforma medesima; ciò sia in ragione delle dimensioni delle banche dati in questione, sia della tipologia di dati raccolti nonché delle funzionalità che le caratterizzano (tra cui, in particolare, il sistema di e-voting che deve essere necessariamente assistito da idonei accorgimenti a tutela dei dati personali dei votanti). Ciò a maggior ragione tenendo conto che tali banche dati sono particolarmente esposte al rischio di attività di hakeraggio o comunque ad attacchi informatici, quali quelli verificatisi più volte, anche successivamente al data breach di agosto 2017;

2) l’accertata condivisione delle credenziali di autenticazione da parte di più incaricati dotati di elevati privilegi per la gestione della piattaforma Rousseau e la mancata definizione e configurazione dei differenti profili di autorizzazione in modo da limitare l’accesso ai soli dati necessari nei diversi ambiti di operatività, nel previgente ordinamento erano addirittura qualificate come misure minime di sicurezza (cfr. regole nn. 2, 3 e 13 del disciplinare tecnico di cui all’allegato B del Codice) che i titolari del trattamento erano tenuti ad adottare al fine di assicurare un livello minimo di protezione dei dati personali. E’ pertanto evidente come la mancata adozione di tali misure e, per converso, l’avvenuta condivisione delle credenziali di autenticazione tra più soggetti legittimati alla gestione della piattaforma rappresentino una violazione dell’obbligo di predisposizione, da parte del responsabile del trattamento, di misure tecniche e organizzative adeguate.