Home>News>Hot topics, Security & Cybercrime>Il Garante sanziona la Piattaforma Rousseau del M5S

Il Garante sanziona la Piattaforma Rousseau del M5S

Il Garante Privacy ha emesso in data 4 aprile 2019 il provvedimento con cui sanziona le carenze in materia di protezione dati personali della Piattaforma Rousseau del Movimento 5 Stelle. L’Associazione Rousseau dovrà pagare una sanzione di 50.000 euro in qualità di responsabile dei trattamenti svolti sulla piattaforma.

L’articolato provvedimento giunge al termine di una complessa attività istruttoria avviata in seguito alle violazioni informatiche subite dalla piattaforma nell’agosto 2017 che, già nel dicembre 2017, aveva spinto l’Autorità ad emanare un provvedimento che prescriveva l’adozione di misure urgenti per sanare le vulnerabilità della Piattaforma nonché di tre siti web riconducibili al Movimento. (www.movimento5stelle.it, www.beppegrillo.it, www.blogdellestelle.it).

Il provvedimento sanzionatorio di ieri tiene, dunque, conto sia delle carenze inizialmente riscontrate sia delle attività correttive ad oggi poste in essere dietro le passate sollecitazioni del Garante. Il risultato è una sanzione da 50.000 euro per violazione dell’art.32 (Sicurezza del trattamento) del GDPR causata da:

  • il mancato, completo tracciamento degli accessi al database del sistema Rousseau e delle operazioni sullo stesso compiute (…)”;
  • l’accertata condivisione delle credenziali di autenticazione da parte di più incaricati dotati di elevati privilegi per la gestione della piattaforma Rousseau e la mancata definizione e configurazione dei differenti profili di autorizzazione in modo da limitare l’accesso ai soli dati necessari nei diversi ambiti di operatività (…)”.

L’entità della sanzione è frutto di un bilanciamento tra aggravanti ed attenuanti:

  • rileva il fatto che “(…) il trattamento in questione concerna anche dati particolari di cui all’art. 9 del Regolamento (…)”, “(…) la violazione si sia protratta per un tempo significativo, interessando un rilevante numero di soggetti, evidenziando altresì il ricorso a misure tecniche e organizzative carenti, nonché a dispositivi e sistemi obsoleti (…)”;
  • ma si dà all’Associazione atto “(…) del percorso di progressivo adeguamento e miglioramento delle misure di sicurezza adottate al fine di rafforzare la resilienza della piattaforma”.

Il Garante, tuttavia, ingiunge all’Associazione Movimento 5 Stelle e all’Associazione Rousseau – quale responsabile del trattamento – di implementare ulteriori azioni correttive. Pena l’irrogazione di ulteriori sanzioni, si fa obbligo di:

  • completare entro 60 giorni le attività di auditing informatico finalizzate a garantire la verifica a posteriori delle attività compiute;
  • rimuovere entro 10 giorni le criticità riconnesse alla condivisione di credenziali da amministratore di sistema;
  • risolvere le “gravi limitazioni tecniche” del sistema CMS utilizzato e rivedere le iniziative di sicurezza adottate entro 120 giorni;
  • effettuare entro 60 giorni un data protection impact assessment (DPIA) sulle funzionalità di voto elettronico. Le conclusioni della valutazione d’impatto dovranno essere inviate al Garante entro 10 giorni da detto termine.

Con specifico riguardo al sistema di e-voting del M5S, il provvedimento del Garante propone alcuni passaggi che ne sottolineano l’inadeguatezza. La piattaforma Rousseau – sottolinea l’Autorità – non gode delle proprietà richieste a un sistema di e-voting, come descritte, per esempio, nel documento “E-voting handbook – Key steps in the implementation of e-enabled elections” pubblicato dal Consiglio d’Europa a novembre 2010 e nel documento “Recommendation CM/Rec(2017)5 of the Committee of Ministers to member States on standards for e-voting” adottato dal Comitato dei Ministri del Consiglio d’Europa il 14 luglio 2017, che prevedono la protezione delle schede elettroniche e l’anonimato dei votanti in tutte le fasi del procedimento elettorale elettronico. Secondo il Garante, la piattaforma “non appare in grado, tra l’altro, né di prevenire gli eventuali abusi commessi da addetti interni, non essendo stati in essa previsti accorgimenti per partizionare il loro dominio d’azione (in particolare, degli amministratori di sistema e dei DBA – data base administrators), né di consentire l’accertamento a posteriori dei comportamenti da questi tenuti, stante la limitata efficacia degli strumenti di tracciamento delle attività”.

In altre parole, per il Garante il sistema non è idoneo ad impedire la manipolazione delle votazioni digitali. Un’annotazione non da poco, dal momento che si tratta della piattaforma su cui “gira” il partito che ha vinto le ultime elezioni, il “sistema operativo” su cui si svolgono le primarie del Movimento e dove si votano decisioni importanti per tutto il Paese (ad esempio, la consultazione online su Rousseau si è rivelata decisiva sul diniego dell’autorizzazione a procedere contro il vice premier Matteo Salvini per il caso dei migranti della nave Diciotti, una questione che poteva incidere sulle sorti del Governo in carica).

Il Movimento 5 Stelle non ha affatto gradito le osservazioni mosse dal Garante ed, in un articolo pubblicato il 4 aprile stesso sul Il Blog delle Stelle, ha messo in dubbio l’indipendenza di giudizio dell’Autorità ed in particolare quella del suo Presidente Antonello Soro: “Temiamo che ci sia un uso politico del garante della privacy e che possa risentire della sua pregressa appartenenza al Pd”.

A dir la verità, stando a quanto riportato da Repubblica, il Garante starebbe anche verificando le responsabilità del PD fiorentino per mancata protezione dei dati degli iscritti (tra cui il sindaco Nardella e Matteo Renzi) in relazione all’attacco eseguito da un gruppo affiliato agli hacker di Anonymous che nel febbraio 2018 (qui la notizia resa ai tempi dal Corriere della Sera) carpì ed espose online informazioni private – tra cui recapiti residenziali e di contatto – degli aderenti alla sezione.

La completa affidabilità di Rousseau è in questi giorni messa in dubbio anche dal caso dei falsi profili iscritti alla piattaforma. Secondo quanto riportato dall’Adnkronos, nel giorno stesso delle primarie del 3 aprile Davide Casaleggio si è recato in Procura per denunciare presunti profili clone dopo che una donna si era ritrovata iscritta a sua insaputa. Il sospetto è che questi profili fittizi siano utilizzati per manipolare i numeri delle preferenze.

2019-04-05T17:59:30+00:00 5 aprile 2019|Hot topics, Security & Cybercrime|