PIATTAFORMA ROUSSEAU: COSA HA DETTO IL GARANTE PRIVACY

PIATTAFORMA ROUSSEAU COSA HA DETTO IL GARANTE
Le criticità rilevate dal Garante Privacy

Come noto, il provvedimento del Garante (n. 83 del 4 Aprile 2019) rileva una serie di criticità riguardanti i sistemi di sicurezza implementati sulla piattaforma Rousseau (ad opera della Associazione Rosseau, quale Responsabile del Trattamento dei dati effettuati su tale piattaforma per conto del Titolare, l’Associazione Movimento 5 Stelle).

La parte del provvedimento sul quale è bene soffermarsi – perchè di interesse attuale – è quella attinente le criticità ad oggi irrisolte, che – a detta del Garante – inficiano “… l’integrità, l’autenticità e la segretezza delle espressioni di voto, caratteristiche fondamentali di una piattaforma di e-voting” (cit. pgf. 3.4).
Tali criticità sono state riscontrate nel corso di un accertamento ispettivo, effettuato nei giorni 12 e 13 Novembre 2018, avente lo scopo di verificare quali accorgimenti tecnico-informatici fossero stati adottati dopo l’emanazione di un precedente provvedimento (il n. 548 del 21/12/17), all’interno del quale la stessa Autorità aveva predisposto un elenco di prescrizioni necessarie ad innalzare il livello di sicurezza della piattaforma dopo il verificarsi di una serie di attacchi informatici, a partire da Agosto 2017.
Va detto, ad onor di cronaca, che all’epoca le disposizioni del Garante interessavano anche il sito www.beppegrillo.it, oggi invece non più oggetto di ispezioni, attese le modifiche intervenute alla sua infrastuttura, che hanno eliminato alla fonte ogni ipotesi di trattamento di dati personali.

1. LE CRITICITÀ ATTUALI DELLA PIATTAFORMA ROUSSEAU

  • OBSOLESCENZA TECNOLOGICA DELLA PIATTAFORMA SU CUI SONO SVILUPPATI I SITI WEB.
    Il riferimento è alla piattaforma CMS (acronimo di content management system); per intenderci l’applicativo software che consente di creare, modificare e aggiornare – direttamente dal web – i contenuti testuali e grafici di un sito (fra questi, si può citare WordPress, MediaWiki o Magnolia). Nel caso specifico, l’Autorità ha rilevato che è attualmente in uso una versione obsoleta del CMS, nonostante siano presenti sul mercato versioni aggiornate e conformi ai nuovi standard di sicurezza. I siti del Movimento ( rousseau.movimento5stelle e www.movimento5stelle ) si servono infatti della piattaforma “Movable Type 4”, mentre la versione corrente è “Movable Type 7”, la cui ultima release è del 29 Gennaio 2019.

     

    Il software utilizzato è talmente datato, che lo stesso produttore lo ritiene superato, avendone decretato la c.d. “end of life” a partire dal 31 Dicembre 2013, data in cui si è cessata la distribuzione di qualsiasi aggiornamento e patch di sicurezza.

    CRITICITÀ: La piattaforma Rousseau realizzata su CMS obsoleto si espone a future vulnerabilità senza il supporto da parte del produttore, che non è più in grado di apportare le correzioni neccessarie, in quanto impegnato ad implementare aggiornamenti software solo a favore delle ultime versioni del prodotto.

  • LA REGISTRAZIONE DEGLI ACCESSI AL DATABASE E DELLE OPERAZIONI COMPIUTE (log).
    L’accesso al database della piattaforma avviene attraverso due modalità: la prima da terminale remoto, con l’inserimento di credenziali di autenticazione nominali, assegnate agli amministratori di sistema di una società esterna (ITnet). Questa procedura è stata ritenuta corretta, essendo prevista la registrazione dell’accesso e delle  operazioni compiute una volta entrati nella piattaforma. La seconda modalità, invece, consiste nell’accesso tramite interfaccia web di gestione del DBMS (Data Base Management System) ma “… non prevede alcuna registrazione degli accessi e delle operazioni compiuti e avviene attraverso l’utilizzo di credenziali di autenticazione non nominative (utenze applicative)” (cit. pgf. 2.1. lett.b).  Tale accesso, sebbene sia riservato ad un ristretto numero di persone apparteneneti all’Associazione Rousseau – con qualifica di amministratore di Sistema -, non è dunque soggetto ad alcun tipo di verifica o di tracciamento. Il che desta una certa preoccupazione proprio in occasione delle votazioni on-line: un sistema come questo non consente infatti di controllare ex post chi abbia avuto accesso ai dati relativi alle espressioni di voto, nella finestra temporale che si estende dall’apertura delle urne alla c.d. “certificazione” dei risultati; nè, tantomeno, si può verificare quali operazioni siano state compiute sul database in lettura o in modifica.

     

    Sorge quindi spontanea una domanda: cosa accadrebbe se qualcuno con diritto di accesso e di modifica delle espressioni di voto, decidesse di alterarle nel corso delle votazioni, al punto di stravolgere l’esito elettorale?

    Ebbene, anche in presenza di un forte sospetto nei confronti di un determinato utente, si resterebbe nel campo delle ipotesi essendo preclusa qualsiasi verifica ex post a causa di un sistema che appunto non genera alcuna registrazione di accesso e di interazione con esso.
    CRITICITÀ: Sul punto, meritano di essere richiamate testualmente le parole del Garante: “… coloro che svolgono la funzione di Dba (Data Base Administrator), pur individuati tra persone di elevata affidabilità, sono comunque tecnicamente in grado di accedere alle delicate funzionalità del Dbms in cui vengono registrati i dati relativi alle espressioni di voto mantenendo una capacità d’azione totale sui dati e sfuggendo alle procedure di auditing”. Come a voler dire che la regolarità delle operazioni di voto è demandata alla correttezza personale e deontologica di alcuni incaricati ai quali viene concesso un ambito di operatività pressocchè illimitato, senza prevedere alcuna successiva verifica da parte di terzi. A questo punto viene da chiedersi se abbia un qualche valore il successivo intervento di un notaio o di un altro soggetto terzo, che, a conti fatti, certifica l’esito di votazioni potenzialmente alterabili.

  • LA RISERVATEZZA DELLE OPERAZIONI DI VOTO.
    La situazione descritta in precedenza è ulteriormente aggravata dall’assenza di misure tecniche che siano in grado di proteggere le schede elettroniche e l’anonimato dei votanti in tutte le fasi del procedimento elettorale. In particolare – afferma il Garante – andrebbe quantomeno garantita la cancellazione o la trasformazione in forma anonima dei dati personali trattati, una volta terminate le operazioni di voto.
    CRITICITÀ: in questo senso si amplificano i rischi connnessi al precedente scenario, essendo riconducibile il singolo voto al rispettivo votante; basti pensare alle conseguenze che potrebbero derivare dalla diffusione non autorizzata di tali informazioni.
  • LE MODALITÀ DI ASSEGNAZIONE DELLE CREDENZALI E DEI PRIVILEGI.
    Il concetto espresso dal Garante è molto chiaro: ogni utenza dotata di elevati privilegi, cioè dell’autorizzazione ad accedere alle più importanti risorse e funzionalità della piattaforma, deve essere associata ad un determinato incaricato, a maggior ragione se l’accesso prevede – come in questo caso – il trattamento di dati sensibili su larga scala. L’Autorità ha invece rilevato la condivisione delle credenziali di autenticazione fra più incaricati deputati a gestire la piattaforma Rousseau.
    CRITICITÀ: la circostanza che una stessa credenziale possa essere utilizzata da più soggetti impedisce, per ovvie ragioni, che un’azione compiuta all’interno della piattaforma possa essere attribuita con certezza ad un determinato incaricato “… con pregiudizio anche per il titolare, privato della possibilità di controllare l’operato di figure tecniche così rilevanti” (cit. pgf. 3.5).

Queste, dunque, le odierne debolezze della piattaforma Rousseau in termini di protezione dei dati personali, anche se va registrato – lo dichiara il Garante – un percorso di progressivo adeguamento e miglioramento delle misure di sicurezza rispetto al primo provvedimento del Dicembre 2017.
La strada ora è tracciata: l’Autorità ha stabilito nuove prescrizioni per aumentare la resilienza della piattaforma, ingiungendo il titolare e il responsabile del trattamento a provvedere entro termini molto brevi (da 10 a 120 giorni); in caso contrario, la sanzione sarà di ben altra entità rispetto a quella comminata i giorni scorsi (50.000 €).