Il Garante per la privacy prima del natale scorso aveva bacchettato la piattaforma grillina Rousseau perchè non rispettava la normativa.
In difesa dalle accuse di commettere illeciti sul trattamento dei dati e sul voto online era sceso il Movimento 5 Stelle , sostenendo che si trattava di rilievi su una versione precedente della piattaforma.
“In seguito all’attacco hacker dello scorso mese di agosto sono già state attivate le procedure per mettere in sicurezza il sistema Rousseau e la polizia postale ha condotto un’indagine sugli autori degli attacchi”, aveva spiegato l’associazione Rousseau – controllata dalla Casaleggio Associati – che gestisce la piattaforma di democrazia partecipativa dei Cinque Stelle, “A tal riguardo le richieste e le raccomandazioni del garante per la privacy sono già state accolte. Ringraziamo il garante e la polizia postale per la collaborazione”.
Il 16 maggio, due giorni fa, alla vigilia del voto sul “contratto di governo”, la piattaforma Rousseau ancora non è sicura e capace di garantire la privacy dei suoi iscritti. E’ quanto evidenzia il Garante della privacy in un provvedimento datato 16 maggio che, se da un lato riconosce le migliorie apportate negli ultimi mesi alla sicurezza dei dati degli utenti, dall’altro mette in luce alcune delle criticità che ancora caratterizzano il sistema operativo del M5S, finito più volte nel mirino di attacchi hacker. Una serie di lacune che potrebbero risultare pericolose, soprattutto in vista del voto online in programma oggi fino alle 20, che consentirà agli iscritti di votare il contratto di governo.
Tra le criticità riscontrate vi sono innanzitutto quelle riguardanti il sistema di autenticazione degli utenti che, secondo il Garante, risulta “solo parzialmente soddisfatto”. “Le misure relative alla lunghezza delle password e al controllo di qualità non possono essere limitate ai nuovi iscritti e agli interessati che spontaneamente modifichino la password – spiega l’Authority – ma occorre piuttosto intraprendere una campagna di invito alla modifica della password nei confronti degli interessati già iscritti, prevedendo l’obbligo di attuare tale modifica alla prima sessione di collegamento utile attivata con le credenziali (tuttora) deboli”.
Un’altra lacuna riguarda invece la policy per l’individuazione preventiva di falle nei servizi online offerti dal Movimento, “allo scopo di individuare e correggere eventuali vulnerabilità nei servizi prima di renderli fruibili al pubblico”, che secondo il Garante “può essere considerata temporaneamente soddisfacente” ma “deve essere integrata con l’indicazione dell’operatore (società o professionista) che ha condotto l’assessment e dagli esiti di tale attività in forma di report tecnico”. La falla più grave, però, resta tuttora quella relativa alla protezione dei dati sensibili degli utenti, dunque degli iscritti votanti.
Tanto che il Garante, in un precedente provvedimento del 21 dicembre, aveva chiesto l’adozione di misure di “auditing” che garantissero “la tenuta delle registrazioni degli accessi e delle operazioni compiute (log) sul database del sistema Rousseau” proprio allo scopo di “fornire maggiori garanzie a tutela degli iscritti votanti, in accordo al principio di trasparenza che dovrebbe caratterizzare un sistema di e-voting”. Una serie di misure necessarie dunque per la sicurezza informatica degli iscritti che, ricorda l’Authority, dovranno essere attuate entro il 30 settembre 2018.
Il Garante per la privacy prima del natale scorso aveva bacchettato la piattaforma grillina Rousseau perchè non rispettava la normativa.