Il Garante della privacy valuterà sanzioni nei confronti dell’Associazione Rousseau, responsabile del trattamento dati del sito del Movimento 5 Stelle e della piattaforma Rousseau. L’authority guidata da Antonello Soro l’ha comunicato al termine dell’indagine sugli attacchi hacker che la scorsa estate hanno riguardato il sistema operativo e altri siti web riconducibili all’M5S. L’istruttoria era stata aperta lo scorso agosto, in relazione agli episodi di violazione dei sistemi informatici M5S. Nel provvedimento del garante, che risale al 21 dicembre ma è stato reso noto il 2 gennaio, vengono anche espresse perplessità sulle misure di sicurezza connesse al controllo delle operazioni di voto” tramite il sito.
Infatti la preferenza espressa dagli iscritti “in occasione della scelta di candidati da includere nelle liste elettorali del Movimento o per orientare altre scelte di rilevanza politica viene registrata in forma elettronica mantenendo uno stretto legame, per ciascun voto espresso, con i dati identificativi riferiti ai votanti”. In particolare “nello schema del database risulta che ciascun voto espresso sia effettivamente associato a un numero telefonico corrispondente (come del resto confermato dal dottor Casaleggio in sede ispettiva, cfr. verbale 5 ottobre 2017) al rispettivo iscritto-votante. Tale riferimento sarebbe mantenuto nel database per asserite esigenze di sicurezza, comportando, tuttavia, la concreta possibilità di associare, in ogni momento successivo alla votazione, oltre che durante le operazioni di voto, i voti espressi ai rispettivi votanti”, spiega l’Authority.
Di conseguenza “i voti espressi tramite le funzionalità di e-voting offerte dalla piattaforma vengono archiviati, storicizzati e restano imputabili a uno specifico elettore anche successivamente alla chiusura delle operazioni di voto, consentendo elaborazioni a ritroso con – in astratto – la possibilità di profilare costantemente gli iscritti sulla base di ogni scelta o preferenza espressa tramite il “sistema operativo”. Il garante auspica che il sistema venga riconfigurato “in modo da minimizzare i rischi per i diritti e per le libertà delle persone fisiche”, prevedendo “la cancellazione o la trasformazione in forma anonima dei dati personali trattati (laddove per specifiche esigenze fossero presenti), una volta terminate le operazioni di voto”.
Quanto all’aspetto relativo al trattamento dei dati personali degli utenti, “la mancata designazione delle società Wind Tre S.p.a. e Itnet S.r.l. quali responsabili del trattamento dei dati personali degli utenti dei diversi siti riferibili al Movimento 5 Stelle configura l’illiceità del trattamento medesimo in ragione della comunicazione dei dati a soggetti terzi, in mancanza del consenso degli interessati”. Pertanto, l’Authority “si riserva di verificare, con autonomo procedimento, la sussistenza dei presupposti per l’eventuale contestazione delle sanzioni amministrative di cui all’art. 162, comma 2bis del Codice”.
Nel provvedimento il Garante indica una serie di misure per aumentare il livello di sicurezza del sistema operativo, per rendere più consapevoli gli utenti dei flussi di dati personali (sia rispetto alle varie componenti della cosiddetta galassia 5 Stelle, sia rispetto alle società esterne che svolgono ruoli di supporto tecnico), per evitare il ripetersi di episodi di hackeraggio. Per esempio, “i futuri sviluppi della piattaforma Rousseau e degli altri strumenti on-line del Movimento dovranno sempre essere validati sul piano della sicurezza informatica da adeguate azioni di vulnerability assessment attuate precedentemente alla messa in esercizio, allo scopo di individuare e correggere eventuali vulnerabilità nei servizi prima di renderli fruibili al pubblico”.
Il sistema di autenticazione informatica degli utenti “dovrà essere modificato in modo che le password relative alle utenze degli iscritti ai siti on-line del Movimento siano di lunghezza non inferiore a otto caratteri e siano sottoposte a un controllo automatico di qualità che impedisca l’uso di password “deboli” costituite, ad esempio, da parole reperibili in dizionari o comunque facilmente individuabili”. Contestualmente “devono essere introdotte strette limitazioni al numero di tentativi di accesso online con password erronea, per impedire attacchi brute force interattivi”.